Die meisten Unternehmen kombinieren heute verschiedene Public Clouds, Private Clouds und On-Premises-Infrastrukturen. Dabei verschieben sie Workloads ganz nach Bedarf zwischen den Umgebungen. Eine solche dynamische Multi-Cloud richtig abzusichern, ist jedoch eine große Herausforderung.
Laut einer IDG-Umfrage nutzen bereits 96 Prozent der Unternehmen in irgendeiner Form die Cloud [1]. Die neue Technologie hat sich mittlerweile also flächendeckend durchgesetzt. Abgeschlossen haben Unternehmen ihre Cloud-Transformation damit allerdings noch lange nicht – denn tatsächlich ist der Weg in die Wolke keine Einbahnstraße. Wie eine von Fortinet beauftragte aktuelle IHS Markit-Studie zeigt, haben fast drei Viertel (74 Prozent) der Befragten schon einmal eine Anwendung aus der Public Cloud wieder in die eigene Infrastruktur zurückgeholt [2]. Manche davon wollten ihre Cloud-Installationen ohnehin nur temporär nutzen, etwa um eine Übergangsinfrastruktur für eine Fusion einzurichten. Andere nannten Sicherheitsbedenken, mangelnde Performance in der Cloud, unerwartete Kosten, neue Regularien oder Technologieänderungen als Gründe für den Schritt zurück ins Rechenzentrum.
Natürlich machen Unternehmen nicht ihre gesamte Cloud-Transformation wieder rückgängig. Vielmehr geht der Trend dahin, verschiedene Public Clouds, Private Clouds und On-Premises-Umgebungen parallel zu nutzen. Der Vorteil: Unternehmen können Workloads ganz nach Bedarf dorthin verschieben, wo es für den jeweiligen Anwendungsfall gerade am besten passt.
Security als größte Herausforderung. So schön die Vielfalt und Dynamik der Multi-Cloud auch ist – so schwierig ist ihre Absicherung. Denn Unternehmen müssen jetzt dafür sorgen, dass ihre Daten und Applikationen überall richtig geschützt sind – egal in welcher Cloud sie liegen. Dabei stehen sie grundsätzlich vor dem Problem, dass Cloud Security anders funktioniert als gewohnt. Viele Anwender machen zum Beispiel Konfigurationsfehler. So geht Gartner davon aus, dass 95 Prozent aller Sicherheitsvorfälle in der Public Cloud von Kunden selbst verschuldet sind und nicht vom Cloud Provider [3]. IT-Mitarbeiter haben oft wenig Cloud-Erfahrung und DevOps-Teams, die Cloud-Applikationen entwickeln, wissen meist nicht, worauf sie in puncto Sicherheit achten müssen. Ganz zu schweigen davon, dass kaum ein Unternehmen über genügend Ressourcen verfügt, um Security in vielen verschiedenen Umgebungen gleichzeitig zu managen.
Schon jeder Cloud-Typ für sich alleine genommen ist eine Herausforderung. Nutzt ein Unternehmen zum Beispiel drei Private Clouds, müssen sich IT-Verantwortliche um drei verschiedene Hypervisoren, drei Infrastrukturen und drei Ressourcen-Sets kümmern – wobei alle ihre eigenen Sicherheitsprofile haben. Auch die Public Clouds im Bereich Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS) verfügen jeweils über verschiedene Protokolle, Features und Möglichkeiten, mit denen man sich auseinandersetzen muss. Dazu kommt die Vielzahl an SaaS-Applikationen, die Mitarbeiter heute einsetzen. Selbst kleine Unternehmen mit bis zu 50 Angestellten nutzen im Durschnitt 40 verschiedene Cloud Services. Ganz zu schweigen von der hohen Dunkelziffer in der Schatten-IT, die eine Absicherung zusätzlich erschwert.
Die dynamische Multi-Cloud richtig schützen. In der Multi-Cloud treten all die genannten Schwierigkeiten gesammelt auf. Noch komplexer wird die Situation dadurch, dass Workloads, die heute in der einen Cloud liegen, morgen vielleicht schon in eine andere verschoben werden. Wie aber sorgt man für durchgängige Security der Applikationen und Daten? Dafür brauchen Unternehmen eine übergreifende Security-Fabric-Strategie und geeignete Tools. Die folgenden vier Aspekte sollten sie berücksichtigen:
- Cloud Security Tools sind nicht gleich Cloud Security Tools
Man unterscheidet zwei Arten von Cloud-Sicherheitslösungen. Native Security Tools, die Teil der Cloud-Infrastruktur sind, und speziell entwickelte Lösungen, die obenauf gesetzt werden. Um möglichst viele Funktionen auszuschöpfen und effektive Security zu erzielen, empfiehlt sich eine Kombination aus beiden Lösungen, am besten konsistent gemanagt. - Jedes Szenario erfordert passende Sicherheitslösungen
Cloud-Umgebungen sind komplex. Um sie richtig zu schützen, müssen die Security-Lösungen auf das Einsatzgebiet abgestimmt sein. So erfordert die agile Anwendungsentwicklung Tools, die sich in Code integrieren oder in Container laden lassen und dann in eine Kette von Anwendungselementen eingebunden werden können. Zur Absicherung von Cloud-Infrastrukturen benötigt man Next Generation Firewalls, Web Application Firewalls, IPS-Systeme sowie Lösungen für Advanced Threat Protection. SaaS-Anwendungen wiederum erfordern Tools wie CASB, Sandboxing und andere Security-Services, um den Zugriff auf Applikationen und Daten zu kontrollieren. - Security-Tools müssen Informationen über Cloud-Grenzen hinweg teilen
Sicherheitslösungen müssen in der Lage sein, miteinander zu kommunizieren und Informationen auszutauschen – und das auch über die Cloud-Grenzen hinweg. Außerdem sollten sich Security-Richtlinien in allen Umgebungen konsistent umsetzen lassen. Denn andernfalls entstehen Sicherheitslücken, die Cloud-versierte Cyberkriminelle nur allzu gerne ausnutzen. Deshalb sollten Unternehmen darauf achten, dass sie möglichst integrierte Security-Lösungen aus einer Hand beziehen. So vermeiden sie Silos und reduzieren gleichzeitig die Komplexität in der Administration. - Eine zentrale Kontrolle ist essenziell
Um IT-Aufwände möglichst gering zu halten, sollten sich die verschiedenen Security-Lösungen über eine zentrale Administrations- und Orchestrierungs-Konsole managen lassen. Das schafft eine granulare Transparenz und ermöglicht eine konsistente Kontrolle im verteilten Netzwerk. So sollten zum Beispiel Konfigurations-Management und -überprüfung, Richtlinien- und Update-Orchestrierung sowie Ereignis- und Intelligenzkorrelation zentralisiert erfolgen. Wichtig ist außerdem, dass man bei einem Malware-Vorfall oder einer Sicherheitsverletzung eine koordinierte Reaktion steuern kann.
Fazit. In den kommenden Jahren wird sich die dynamische Multi-Cloud weiterhin durchsetzen. Denn sie ermöglicht es Unternehmen, die Vorteile von verschiedenen Public Clouds, Private Clouds und On-Premises-Infrastrukturen ganz nach Bedarf zu nutzen. Damit dies nicht auf Kosten der Sicherheit geht, brauchen sie eine umfassende Security-Strategie, die alle Umgebungen umspannt und sich auch auf neue Cloud Services ausdehnen lässt. Sicherheits-Tools müssen miteinander kommunizieren und sich konsistent von einer zentralen Konsole aus managen lassen. Security Policies müssen umgebungsübergreifend durchsetzbar sein. So können Unternehmen die Vorteile der Multi-Cloud nutzen, ohne dass Cyberkriminelle zum Zug kommen.
Christian Vogt,
Senior Regional Director Germany,
Fortinet
[1] https://www.cio.com/article/3267571/it-governance-critical-as-cloud-adoption-soars-to-96-percent-in-2018.html
[2] https://www.fortinet.com/content/dam/fortinet/assets/analyst-reports/ar-2019-ihsm-fortinet-wp-q2.pdf
[3] https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/
Illustration: © Betacam-SP/shutterstock.com
2949 Artikel zu „Cloud Sicherheit“
NEWS | CLOUD COMPUTING | STRATEGIEN
Cloud-Sicherheit: Unternehmen verlangen skalierbare Elastizität
Wenn Unternehmen ihre Sicherheit in die Cloud verlagern, profitieren Nutzer von einheitlichen Sicherheitsstandards und einer verbesserten Benutzererfahrung. Ein Aspekt ist dabei ähnlich wie bei traditionellen Sicherheitsansätzen. Sowohl für lokale als auch für Cloud-Sicherheitslösungen ist die Kapazitätsplanung von entscheidender Bedeutung, um Verzögerungen oder Störungen im Unternehmen zu vermeiden. Palo Alto Networks erläutert, worauf Unternehmen unter dem…
NEWS | TRENDS 2019 | TRENDS SECURITY | IT-SECURITY
Cloud-Sicherheit durch Insider-Attacken gefährdet
Die Cloud macht Insider-Attacken leichter und zudem schwerer erkennbar. Die Ergebnisse einer Studie von Cybersecurity Insiders in Zusammenarbeit mit Securonix, zeigen, dass die Cloud Unternehmen nicht nur anfälliger für Insider-Bedrohungen macht, sondern diese auch wesentlich schwieriger zu erkennen sind. Laut Angaben von 39 % der im Rahmen des 2019 Insider Threat Report befragten Cybersecurity-Fachkräfte…
NEWS | CLOUD COMPUTING | IT-SECURITY
Sicherheit in der Cloud: Darauf sollten Unternehmen heute achten
Die Cloud bietet zahllose Vorteile, auf die heute kaum mehr ein Unternehmen verzichten kann. Wer sich jedoch für den Schritt in die Cloud entscheidet, sollte sich im Vorfeld vor allem mit einem Thema auseinandersetzen: der Sicherheit. Die meisten denken dabei wohl zuerst an entsprechende Softwarelösungen. Wirkliche Sicherheit in der Cloud lässt sich jedoch nur über…
NEWS | CLOUD COMPUTING | SECURITY SPEZIAL 7-8-2019
Reiseunternehmen Sales-Lentz nutzt die Sophos XG-Firewall aus der Cloud – Sicherheit für Mobilität aus der Cloud
Mobilität ist eines der großen Themen unserer Zeit. Das Reisen von A nach B ist heute ein komplexes Unterfangen, das – digital eingebettet – nicht nur ein Erlebnis für die Reisenden selbst, sondern auch für deren virtuelles -Publikum ist, organisatorische Höchstleistung mit sich bringt und auch bei privaten Reisen zu einem professionellen Maß an Effizienz gelangt ist. Mobilität entwickelt sich in rascher Geschwindigkeit weiter und ist große Aufgabe für Infrastruktur und Sicherheit.
NEWS | TRENDS 2019 | TRENDS SECURITY | TRENDS KOMMUNIKATION | IT-SECURITY | KOMMUNIKATION
Markt für E-Mail-Sicherheit boomt, da sich Cyberangriffe häufen und Unternehmen zunehmend Cloud-Mailboxen nutzen
Für integrierte Lösungen, die mit mehrstufigen, komplexen Angriffen umgehen können, werden erhebliche Wachstumschancen bestehen, so Frost & Sullivan. E-Mail ist zum bevorzugten Medium für die Verbreitung von Malware und Malware-freien Angriffen geworden, und Hacker haben begonnen, Social-Engineering-Techniken für das Vorgeben, jemand anders zu sein, und andere Formen von Täuschung und Betrug einzusetzen. Die ständig wachsende…
NEWS | CLOUD COMPUTING | FAVORITEN DER REDAKTION | IT-SECURITY | RECHENZENTRUM | TIPPS
Cloud Security: Sechs Maßnahmen für effektive Cloud-Sicherheit
Sicherheitsverantwortung in der Cloud durch Shared-Responsibility-Modell: Unternehmen tragen als Kunden Eigenverantwortung für kritische Bereiche. Die zunehmende Nutzung von Public-Cloud-Ressourcen macht es erforderlich, dass Unternehmen ihre Sicherheitsverantwortung ernster nehmen. Basierend auf dem Modell der geteilten Sicherheitsverantwortung von Anbieter und Kunde ergeben sich einige entscheidende Anforderungen an zuverlässige Cloud-Sicherheit. Sechs grundlegende Maßnahmen für effektive Cloud-Sicherheit helfen das…
NEWS | IT-SECURITY | PRODUKTMELDUNG
Rohde & Schwarz Cybersecurity und Utimaco bieten hardwaregestützte Sicherheit in der Cloud
Mit der Kombination von R&S Trusted Gate des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity und dem High-Security-Modul von Utimaco bieten die beiden Unternehmen jetzt auch hardwaregestützte Sicherheit in der Cloud. Kryptografisches Material kann separat in einem Hardware-Sicherheitsmodul generiert werden. Somit steht den Kunden zukünftig auch eine zusätzliche Hardwareoption zur Einhaltung höchster Sicherheitsanforderungen mittels R&S Trusted Gate…
NEWS | CLOUD COMPUTING | IT-SECURITY | RECHENZENTRUM | TIPPS
Sicherheit in der Cloud: Herausforderungen bei Cloud-First-Strategie bewältigen
Die heutige vernetzte Welt basiert auf der Datenzugänglichkeit von überall, zu jeder Zeit und auf jedem Gerät. Die Geschwindigkeit und Agilität, die mit Hosting-Diensten und -Anwendungen in der Cloud einhergeht, sind für den Erfolg zentral. Die damit verbundenen Vorteile haben Unternehmen in den letzten Jahren gezwungen, zumindest einige und in manchen Fällen sogar alle ihre…
NEWS | CLOUD COMPUTING | IT-SECURITY | AUSGABE 1-2-2019
IT-Sicherheitsprognosen 2019 – Fokus auf die Cloud
Im Jahr 2019 werden Cyberkriminelle neue innovative Wege beim Ausnutzen von Sicherheitslücken finden. Sie werden weiterhin IoT-Geräte auf ihrem Radar haben und außerdem in der Cloud nach neuen Möglichkeiten suchen, um gefährdete Anwendungen angreifen zu können. Unternehmen sollten daher daran arbeiten, effektivere Sicherheitslösungen einzusetzen, die aber auch ihr Budget nicht überfordern.
NEWS | CLOUD COMPUTING | IT-SECURITY | TIPPS
Datensicherheit in der Cloud: Best Practices gegen Man-in-the-Cloud-Attacken
Das Nutzen von Cloud-Services gehört für die Mehrheit der Unternehmen längst zum festen Bestandteil der IT-Strategie. Die Möglichkeit des Datenzugriffs jederzeit und überall bringt zahlreiche Vorteile mit sich, allen voran verbesserte Flexibilität und erhöhte Produktivität. Die gestiegene Popularität dieser Dienste ist jedoch von böswilligen Akteuren nicht unbemerkt geblieben, was neue Arten von Cyberangriffen hervorgebracht hat.…
NEWS | TRENDS SECURITY | CLOUD COMPUTING | TRENDS SERVICES | TRENDS 2018 | IT-SECURITY | RECHENZENTRUM | SERVICES
Die 5 häufigsten Bedenken hinsichtlich der Public-Cloud-Sicherheit
Wer ist eigentlich für die Sicherheit in der Public Cloud verantwortlich? Keine leichte Frage. Vor allem, weil Sicherheitsverletzungen weitreichende Folgen nach sich ziehen können. Aus Sicht von Rackspace sind dies die 5 häufigsten Bedenken von Unternehmen, wenn es um die Public-Cloud-Sicherheit geht: 1) Schützen Amazon, Microsoft und Google meine Cloud nicht? Die Cloud-Sicherheit besteht…
NEWS | TRENDS SECURITY | TRENDS CLOUD COMPUTING | CLOUD COMPUTING | TRENDS 2018 | IT-SECURITY | SERVICES
Europas Unternehmen haben Nachholbedarf in Sachen Cloudsicherheit
Nutzung von Cloudanwendungen deutlich gestiegen. Office 365 und AWS auf dem Vormarsch. Eine aktuelle Studie liefert einen Überblick zur Nutzung von Cloudanwendungen in Europa [1]. Untersucht wurden dafür 20.000 Unternehmen in Deutschland, Frankreich, den Niederlanden, Italien, Spanien und Großbritannien. Während die Nutzung von Office 365 mit 65 Prozent einen neuen Rekordwert erreicht hat, lässt…
NEWS | CLOUD COMPUTING | IT-SECURITY | OUTSOURCING | SERVICES | STRATEGIEN
Die Vorteile ausgereifter Cloud-Sicherheitsstrategien
Ein neues Cloud-Security-Maturity-Model mit Benchmarks bietet Unternehmen Orientierung bei der Nutzung von nicht-IT-geführten Cloud-Services. Erfahrene Unternehmen haben doppelt so wahrscheinlich einen Cloud-Security-Architekten eingestellt wie andere Unternehmen. Netskope stellt den neuen »The Maturity of Cloud Application Security Strategies«-Report vor, in dem die Enterprise Strategy Group (ESG) im Auftrag von Netskope die geschäftlichen Vorteile der Nutzung…