Sicherheitsverantwortung in der Cloud durch Shared-Responsibility-Modell: Unternehmen tragen als Kunden Eigenverantwortung für kritische Bereiche.

Die zunehmende Nutzung von Public-Cloud-Ressourcen macht es erforderlich, dass Unternehmen ihre Sicherheitsverantwortung ernster nehmen. Basierend auf dem Modell der geteilten Sicherheitsverantwortung von Anbieter und Kunde ergeben sich einige entscheidende Anforderungen an zuverlässige Cloud-Sicherheit. Sechs grundlegende Maßnahmen für effektive Cloud-Sicherheit helfen das Sicherheitsniveau zu steigern.

In traditionellen lokalen Systemen sind Unternehmen für die Sicherheit verantwortlich – von den physischen Standorten über die Hardware, das Betriebssystem, das Netzwerk und die Anwendungen. In der Public Cloud – sowohl im Falle von Infrastructure- als auch Platform-as-a-Service – wird die Sicherheitsverantwortung zwischen dem Cloud-Service-Provider und dem Unternehmenskunden geteilt. Dem Anbieter obliegt die Sicherheit der physischen Schicht und der Infrastrukturaspekte der Cloud sowie der von ihm angebotenen Rechen-, Speicher-, Datenbank-, Netzwerk- und Anwendungsdienste. Der Kunde ist für die Sicherheitskonfiguration seiner eigenen Betriebssysteme, den Netzwerkverkehr und die Firewall-Einstellungen sowie alle Sicherheitseinstellungen der eigenen Systeme, die für die Verbindung zur Cloud verwendet werden, verantwortlich. Die Sicherheitsexperten von Palo Alto Networks haben daraus sechs grundlegende Maßnahmen abgeleitet.

1. Klassifizierung von Anwendungen und Daten

Geschäftsführung und Sicherheitsverantwortliche sollten sich fragen, welche Anwendungen und Daten vorliegen, die für den Betrieb des Unternehmens entscheidend sind: Welche kompromittierten Anwendungen und Daten würden dazu führen, dass Führungskräfte, Aktionäre oder Kunden betroffen wären? Welche Daten könnten, wenn sie abhandenkommen, die Fähigkeit zur Geschäftstätigkeit oder die Wettbewerbsstärke beeinträchtigen? Die Offenlegung welcher Daten würden die Regulierungsbehörden auf den Plan rufen und möglicherweise zu Geldbußen oder Sanktionen zu führen? Vertrauliche Geschäftsdaten und staatlich regulierte Daten müssen als kritisch eingestuft und geschützt werden.

2. Anwendungssicherheit im Auge behalten

Angreifer zielen oft auf Schwachstellen in Webanwendungen ab. Um zu gewährleisten, dass Anwendungen frei von Softwareschwachstellen sind, empfiehlt Palo Alto Networks, aktiv nach Schwachstellen zu suchen, die Sicherheitsrisiken bergen. Wenn es sich bei den Anwendungen um Open-Source- oder Standard-Anwendungen handelt, gilt es sicherzustellen, dass regelmäßig Patches durchgeführt und kritische Sicherheitsmängel sofort behoben werden. Für die Erstellung der Anwendungen sollten Entwickler in der Nutzung sicherer Codierungspraktiken geschult sein und die Anwendungen kontinuierlich auf mögliche Fehler überprüfen. Anleitungen zum Starten eines Anwendungssicherheitsprogramms liefert beispielsweise das Open Web Application Security Project (OWASP).

3. Benutzeridentitäten und Zugriff unter Kontrolle bringen

Unternehmen sollten Prozesse zur Verwaltung ihrer Benutzeridentitäten bereitstellen. Dazu gehört, zu wissen, wer die Benutzer sind, welche Jobrollen sie haben und auf welche Anwendungen und Ressourcen sie zugreifen dürfen sollten. Es ist wichtig, den Zugang auf diejenigen Mitarbeiter zu beschränken, die einen angemessenen Bedarf an diesen Ressourcen haben. Wenn sich die Rollen dieser Personen ändern, gilt es entsprechend deren Zugang zu ändern. Wenn jemand aus irgendeinem Grund das Unternehmen verlässt, wird ihm der Zugang entzogen. Dies ist eine der wichtigsten Maßnahmen, um ein gutes Sicherheitsniveau aufrechtzuerhalten, aber auch einer der Bereiche, die so oft übersehen werden.

4. Erstellen und Verwalten von Richtlinien und Konfigurationen

Es ist wichtig, Richtlinien für Sicherheitsprüfungen, Einstellungen und Konfigurationsebenen für alle Systeme, Workloads und Anwendungen festzulegen. Wie bei Schwachstellenüberprüfungen kommt es in erster Linie darauf an, veraltete Systeme zu finden und dann zu checken, ob die Systeme gemäß den Richtlinien konfiguriert und ausgeführt werden.

5. Was automatisierbar ist, sollte automatisiert werden

Wenn es eine Sicherheitsaufgabe gibt, die durch Skripte automatisiert oder kostengünstig an einen Anbieter von Sicherheitsservices übertragen werden kann, sollte dies geschehen. Dieses E-Book bietet einige hilfreiche Tipps. Handelt es sich um ein kleineres Unternehmen, lassen sich die Empfehlungen größengerecht skalieren, aber die Regeln bleiben ähnlich.

6. Reaktionsbereitschaft gewährleisten

Natürlich ist es wichtig, ständig auf der Suche nach Sicherheitsmängeln im Unternehmen zu sein, aber viele Unternehmen machen sich leider nicht die Mühe, darüber nachzudenken, was als nächstes kommt: die Behebung. Wenn Sicherheitsverantwortliche anfangen, nach Schwachstellen zu suchen, was wird das Unternehmen tun, um diese zu beheben? Wenn Verstöße gegen die Richtlinieneinhaltung festgestellt werden, wie kann diese Lücke schnell geschlossen werden? Palo Alto Networks empfiehlt Unternehmen, über diese Fragestellungen nachzudenken und zu planen, um im Ernstfall reaktionsbereit zu sein und gezielt und effektiv vorgehen zu können.

Diese sechs grundlegenden Aspekte der Cloud-Sicherheit sind nicht als umfassendes Maßnahmenpaket gedacht. Sie sind ein Ausgangspunkt, um die Weichen in Richtung eines effektiven Cloud-Sicherheitsprogramms zu stellen.