Auswahl des Cloud-Anbieters
Bei der Auswahl des Cloud-Anbieters ist es natürlich nicht von Vorteil einfach nur den günstigsten zu nehmen. Die zwei größten Cloud-Anbieter sind derzeit Amazon mit AWS und Microsoft mit Azure. Das bedeutet aber nicht, dass diese für jedes Unternehmen automatisch die beste Wahl sind. Ein Unternehmen muss sich bewusst sein, dass es zukünftig seine Daten bei diesem Anbieter speichert und auf dessen Infrastruktur arbeitet. Daher ist neben der Erfüllung von technischen und gesetzlichen Anforderungen an die Cloud-Infrastruktur auch ein gewisses Vertrauen zum Anbieter notwendig. Nachdem die Cloud-Umgebung bei einem der Anbieter aufgesetzt und konfiguriert wurde, ist es oft nur unter großem Aufwand möglich, diese zu einem anderen Anbieter zu übertragen, wodurch ein gewisser „Vendor Lock-In“ entsteht. Es empfiehlt sich eine strukturierte Evaluierung der in Frage kommenden Anbieter auf Basis der erhobenen Anforderungen durchzuführen um die technischen, organisatorischen und rechtlichen Aspekte zu beleuchten und eine Basis für eine Entscheidung zu bieten.
Bei wem liegt die Verantwortung?
Die Aufteilung der Verantwortung kommt auf die jeweils verwendete Cloud-Lösung an. Bei „Infrastructure as a Service“ (IaaS) stellt der Cloud-Anbieter die Netzwerkfunktionalität, die physischen Server und die Virtualisierungsumgebung zur Verfügung und ist für diese auch verantwortlich. Für das eingesetzte virtuelle Betriebssystem, die darauf laufende Software, sowie verarbeitete und gespeicherte Daten ist das Unternehmen selbst verantwortlich. Bei einer „Platform as a Service“ (PaaS) Lösung erweitert sich die Verantwortung des Cloud-Anbieters zusätzlich um das Betriebssystem, sowie dessen Funktionalität. Ein Unternehmen muss sich hierbei nur um die eingesetzte Anwendung und dazugehörige Daten kümmern. Außerdem werden „Software as a Service“ (SaaS) Lösungen angeboten, bei welchen der Cloud-Anbieter alles, bis hin zum Betrieb der Anwendung zu seiner Verantwortung zählt. Ein Unternehmen hat hier nur mehr die Verantwortung über die erzeugten Daten. Auf jeden Fall sollte die Verantwortung für Entwicklung, Betrieb und Wartung aller Komponenten schon vor einem „Umzug“ klar definiert sein und auch gegen die Anforderungen geprüft werden. Das gilt auch für das spätere Zusammenspiel der Sicherheitsmechanismen, seien sie technischer (wie zum Beispiel zentrales Monitoring und Protokollierung) oder organisatorischer (etwa die Behandlung von Informationssicherheitsvorfällen) Natur.
IAM -> Wer darf was?
IAM steht für „Identity and Access Management“, mit welchem die Zugriffsrechte von Mitarbeitern in der Cloud-Oberfläche verwaltet werden können. Grundsätzlich sollte nie mit dem Root-Account gearbeitet werden und streng darauf geachtet werden, dass Root-Access-Keys unter keinen Umständen veröffentlicht werden, da diese einen Vollzugriff auf das Cloud-System ermöglichen. Zum Pflichtprogramm für zusätzliche Sicherheit gehört natürlich auch in der Cloud der Einsatz von Multi-Faktor-Authentifizierung. Ein Berechtigungskonzept sollte in der jeweiligen Lösung von Beginn an umgesetzt werden um Prinzipien wie „Segregation of duties“ oder „Least privilege“ einhalten zu können.
Überblick behalten
Um keine Schwachstelle in der Cloud-Umgebung zu übersehen, sollte jederzeit ein Überblick über eingesetzte Ressourcen vorhanden sein. Sollte sich eine Cloud-Umgebung über mehrere Anbieter erstrecken, ist es umso wichtiger ein zentrales Monitoring einzuführen, um verwendete Applikationen und deren Konfigurationen ständig überwachen und auf dem neuesten Stand halten zu können. Dadurch können Sicherheitsrisiken, welche durch veraltete Software entstehen, eingeschränkt werden. Effektive Prozesse zu Asset- und Configuration Management sowie Patch- und Vulnerability Management sind hier für einen sicheren Betrieb essentiell.
Cloud Services
Moderne Cloud-Anbieter bieten eine Vielzahl an „serverless applications“, welche es, ohne eigens aufgesetzter virtueller Maschine ermöglichen, gewisse Services abzurufen. Somit können Ressourcen gespart und Fehler bei der Konfiguration, welche ein enormes Sicherheitsrisiko darstellen, verhindert werden. Ein Beispiel hierfür sind API-Gateways, Datenbanken, Online-Speicher und E-Mail-Versand. Um Compliance-Anforderungen erfüllen zu können, kann in den meisten Fällen vorab den von Dienstleistern bereitgestellten Listen entnommen werden, welche Services zu bestimmten Standards konform sind.
Ausfallsicherheit in der Cloud
Um für Ausfallsicherheit in der Cloud zu sorgen, bieten die meisten Cloud-Anbieter die Möglichkeit Services in mehreren Regionen bzw. verschiedenen „Availability Zones“ zur Verfügung zu stellen. Fällt eine aus, so wird einfach auf eine zweite verwiesen, wodurch es im schlimmsten Fall für Anwender nur zu einer höheren Latenzzeit kommt. Zusätzlich kann mit „Load-Balancern“ die Last gleichmäßig auf mehrere Maschinen aufgeteilt werden. Auch für DDoS-Protection lassen sich bei den größeren Cloud-Anbietern ebenfalls Services finden. Einziges Problem, das dann noch bleibt: fällt die Internetverbindung bei einem selbst im Büro aus, so fehlt natürlich auch die Verbindung zur Cloud und den darauf laufenden Services.
Backup und Wiederherstellung
Die meisten Cloud-Anbieter stellen einen Backup-Service zur Verfügung. Von einzelnen Instanzen bis hin zu kompletten Datenbanken können verschlüsselte Sicherungen erstellt werden. Diese Backups lassen sich automatisieren und zentral managen. Dadurch können Backup-Richtlinien in der Cloud umgesetzt werden, um mit internen und gesetzlichen Anforderungen konform zu bleiben. Weitere Services bieten die Möglichkeit, komplette Regionen zu replizieren und bei Bedarf in einer anderen Region erneut hochzufahren. Ein Backup-Plan sowie zugehörige Recovery-Pläne sollten alle gespeicherten Daten umschließen und auch regelmäßig getestet werden.
Web Application Firewall
Zur Absicherung von Web Anwendungen und APIs werden in der Cloud „Web Application Firewalls“ (WAF) angeboten, welche bereits vorgefertigte Regelsets gegen häufige Angriffe wie SQL-Injections oder Cross-Site Scripting beinhalten. Diese Regelsets sollten individuell für die eingesetzten Technologien und Applikationsspezifika angepasst und erweitert werden.
Cloud PenTest
Regelmäßige Schwachstellen- und Penetrationstests in der eigenen Cloud-Umgebung helfen, bestehende Sicherheitsprobleme zu identifizieren und zu behandeln. Hierbei muss jedoch streng beachtet werden, was getestet werden darf. In der Cloud erstellte Virtuelle Maschinen können beispielsweise problemlos getestet werden aber „Shared“ Services, die der Anbieter zur Verfügung stellt, dürfen meist nicht geprüft werden. Für umfangreiche Tests ist eine Abstimmung mit dem Cloud-Anbieter erforderlich. Oft können die Tests auch einfach über Online-Formulare angemeldet werden. Für Schwachstellenscans in der Cloud können auch spezielle Scanning-Technologien zum Einsatz kommen, das gilt im Besonderen für Containervirtualisierung.
Mit unserer Expertise im Bereich Cloud-Security stehen wir Ihnen gerne bei Ihrem Umzug in die Cloud, zum Beispiel für die Durchführung von Evaluierungen, Architekturreviews und Penetrationstests in der Cloud, zur Verfügung.
Eine Antwort
Danke für Ihren Artikel zum Thema Sicherheit in der Cloud. Meine Tochter fragte mich vor Kurzem, was bei der Auswahl der Cloud-Anbieter zu beachten ist. Ich werde ihr weiterleiten, dass es sich empfiehlt, eine strukturierte Evaluierung der infrage kommenden Anbieter auf Basis der erhobenen Anforderungen durchzuführen.