nobeastsofierce - Fotolia

Cloud-Sicherheit: Darauf sollten Sie achten

Die Sicherheitsmodelle der Cloud-Angebote wie SaaS und IaaS unterscheiden sich erheblich. Daher sollten Unternehmen einige Punkte beachten.

Laut einem kürzlich veröffentlichten Verizon Bericht (PDF-Download) gehen 94 Prozent aller Unternehmen davon aus, dass sich innerhalb von zwei Jahren mehr als ein Viertel ihrer Workloads in der Cloud befinden werden. Die Nutzung und Bereitstellung von IT-Services für Unternehmen erfolgt zunehmend mit einem Cloud-Modell, und das aus verschiedenen Gründen: IT-Unternehmen können durch die Skalierung nach Bedarf besser auf Geschäftsanforderungen reagieren, die Unternehmen können sich zunehmend auf ihre Kernkompetenz konzentrieren (normalerweise nicht der Betrieb von Rechenzentren) und die Langzeitkosten sind mitunter mehr als 65 Prozent niedriger als bei traditionellen IT-Modellen.

Das zehnjährige Bestehen des Cloud-Angebotes Amazon Web Services ist ein guter Anlass, um sich darüber Gedanken zu machen, was der Markt im ersten Jahrzehnt des Cloud Computings über Sicherheit gelernt hat und was Unternehmen beachten müssen, wenn sie sich auf die Reise in die Cloud machen.

Bei der Planung der Migration in die Cloud ist es wichtig zu wissen, dass die Sicherheitsmodelle für Software as a Service (SaaS) und Infrastructure as a Service (IaaS) grundverschieden sind. Obwohl diese beiden Servicearten oft gemeinsam in den Topf der öffentlichen Cloud geworfen werden, sind die Datenhoheit, das Verschlüsselungs-Management und der Servicezugriff bei beiden Cloud-Services vollkommen unterschiedlich.

Obwohl SaaS-Lösungen normalerweise einfacher zu konsumieren sind als IaaS-Produkte, da die Verwaltung der Anwendungsebene wegfällt, sind sie gleichzeitig nicht so sicher wie die personalisierten Strategien von IaaS-Lösungen.

Es ist wichtig zu wissen, dass diese Unterschiede in der Architektur grundlegend dafür sind, wie ein Dritter Zugriff auf Ihre Daten erhalten könnte. Und es gibt einige sehr bekannte Fälle, in denen die Cloud-Sicherheit nicht von einem Anwendungsfall auf andere übertragen werden kann.

Verschlüsselung

Die mittlerweile sehr berühmte Klage des FBIs gegen Apple hat zu einer weltweiten Debatte über die Herausforderungen der End-to-End-Sicherheit geführt (sowohl im guten als auch schlechten Sinne). Zumindest kann man daraus jedoch eine Lehre für die quellseitige Verschlüsselung ziehen. Der Fall macht deutlich, wie vom Benutzer generierte Sicherheitscodes den Datenzugriff verhindern können, und hat gleichzeitig zu einem der bekanntesten öffentlichen von einem Staat finanzierten Hackingkampagnen aller Zeiten geführt.

Abbildung 1: Die Sicherheitsmodelle der verschiedenen Cloud-Angebote unterscheiden sich im Detail erheblich.

Datenhoheit

Im genannten Fall hat Apple alle Daten über die Angreifer von San Bernadino, die über seinen iCloud-SaaS-Service gemanagt wurden, vollständig und vorschriftsmäßig den Ermittlern offengelegt – und das konnte geschehen, weil das Unternehmen die Hoheit über seine Kundendaten hat. Auf der ganzen Welt gibt es ähnliche Fälle, wo die nationalen Interessen nicht so gut abgestimmt waren, so zum Beispiel der Fall von Microsoft gegen die US-Regierung. Eins wird immer deutlicher: Wenn Sie nicht die Hoheit über Ihre Services und Daten haben, besteht immer die Möglichkeit, dass ein SaaS-Anbieter auf eine Weise handelt, mit der Sie nicht gerechnet haben und vor der Sie sich nicht so leicht schützen können.

Bedrohungsradius

Die Speicherung der Daten von und über zahlreiche Unternehmen in einem einzigen System war schon immer eine kritische Schwachstelle von öffentlichen und privaten Clouds. Es gibt einen direkten Zusammenhang zwischen der Anzahl der Benutzer einer SaaS-Lösung einer öffentlichen Cloud und dessen Attraktivität für Hacker – je größer der Benutzerstamm, desto höher der Datenertrag für Hacker. In den letzten zwei Jahren gab es unzählige Fälle von hochkarätigen Hackingangriffen – vom US-amerikanischen Amt für Personalverwaltung (US Office of Personnel Management) über Target bis hin zu Ashley Madison und mehr. Als Reaktion auf diesen Anstieg an Sicherheitsverletzungen empfehlen Sicherheitsmanager Organisationen, ihre Datensätze zu trennen, das Volumen von besonders begehrten Assets zu verringern und sichere, verschlüsselte Mandanten mit einer möglichst hohen Granularität für Benutzer zu erstellen.

Best Practices für die Migration in die Cloud

Behalten Sie die Hoheit über Ihre Codes und generieren Sie sie selbst. Die Generierung von Verschlüsselungscodes durch einen Dritten erhöht die Angreifbarkeit und ist damit nicht geeignet für den Schutz moderner Unternehmen.

„Die Speicherung der Daten in einem einzigen System war schon immer eine kritische Schwachstelle von öffentlichen und privaten Clouds.“

 Jeff Denworth, CTERA Networks

 

Nutzen Sie eine private Cloud. Virtual Private Clouds haben ebenso hohe Sicherheitslevel erreicht, wie private Rechenzentren von jeher bieten. Dadurch können Organisationen sich nun voll und ganz in das Abenteuer der Cloud stürzen, ohne Kompromisse in der Anwendungs- und Datensicherheit eingehen zu müssen.

Teilen Sie Ihre Benutzer, Abteilungen und Daten in Gruppen ein, um den Bedrohungsradius so gering wie möglich zu halten. Skalierbare Systeme, die einmalige Verschlüsselungscodes erstellen und die Daten der einzelnen Cloud-Mandanten voneinander isolieren, können gewährleisten, dass mögliche Sicherheitsverletzungen auf den entsprechenden Benutzer, die Anwendung oder den Segmentdatensatz beschränkt bleiben.

Über den Autor:
Jeff Denworth ist Senior Vice President Marketing bei CTERA Networks.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close