Fünf Sicherheitsbedenken bei Cloud Computing und ihre Lösung

Unternehmen setzen vermehrt auf die Cloud. Das bringt neue Security-Probleme mit sich. Wir erläutern diese und zählen verschiedene Lösungen auf.

Im ökologischen Umfeld gibt es ein Konzept, das sich „Empty Niche Hypothesis“ (Hypothese von ökologischen Nischen) nennt. Es besagt, dass nicht genutzte Ressourcen ein oder mehr Organismen die Gelegenheit bieten, diese Nische erfolgreich zu besetzen. In gewisser Weise hilft uns diese Analogie beim Verständnis, was in Unternehmen im Bezug auf Sicherheit in der Cloud vor sich geht.

Die Cloud bildet neue Herausforderungen für die Sicherheit von Unternehmen. Die stark wachsende Benutzung von Cloud-Diensten in Firmen führt zu Vorbehalten bei den zuständigen Administratoren. Bisher musste man bezüglich einzelner Unternehmensbereiche keine Bedenken haben. Genauso wie in der Nischen-Theorie in der Ökologie, muss man sich seinen Platz suchen. Dies erfordert innovative Lösungen.

Daher sollten wir nicht überrascht sein, dass manche von einer Renaissance der Security-Tools, -Diensten und weitere Produkte für die Problembehebung sprechen. Wir haben die Entstehung dieser Problemzonen beobachtet und sehen nun innovative Ideen auftauchen, die sich diesen annehmen. MIT Technology Review nennt diese Phase „die kommende Welle von Security-Startups“.

In diesem Tipp untersuchen wir fünf Schlüsselbereiche, in denen sich solche Technologien langsam aber sicher materialisieren. Die Produkte wollen mit innovativen Ideen diese Problemzonen ausbessern.

Nische 1: Commodity Computing und Multi-Mandantenfähigkeit

In der Cloud sind die untersten Ebenen des Applikations-Stacks für den Klienten undurchsichtig (das lässt sich mit einer Black Box vergleichen). Je nach Art des eingesetzten Cloud-Modells, könnte der Stack mehr oder weniger Teil der üblichen mandantenfähigen Infrastruktur des benutzten Cloud-Providers sein. Wir sprechen hier zum Beispiel von Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS). Neue Tools sollen die Daten in den multi-mandantenfähigen Umgebungen abschotten und schützen. Beispiele: Cloud Audit von CipherCloud Inc. protokolliert alle lesenden und schreibenden Cloud-Dienste. Die Tools von PerspecSys Inc. verschlüsseln das Gateway. Lösungen, wie PrivateCore vCage schützen Daten im Arbeitsspeicher, die sich auf halb-vertrauenswürdigen multi-mandantenfähigen Umgebungen befinden.

Nische 2: Cloud-Nutzung und Schatten-IT

Akzeptanz sowie flexible Abrechnungen können unerwartete Überraschungen mit sich bringen und zu einer kaum nachvollziehbaren Cloud-Nutzung führen. Das gilt speziell für Situationen, bei denen Abteilungen selbst, ohne weiteres Eingreifen sowie Genehmigungen Dienste anfordern können. Möglicherweise erfährt die IT-Abteilung nicht einmal etwas davon. Das führt dazu, dass die IT nicht einmal über alle laufenden Cloud-Dienste in Kenntnis gesetzt ist. Sie weiß somit auch nicht, wofür und wie diese eingesetzt werden. Neue Produkte zur Aufdeckung helfen Unternehmen, die verwendeten Services zu identifizieren. Beispiele sind Skyhigh Networks Inc. und Netskope Inc. IT-Abteilungen haben nun die Möglichkeit, unangemessene Nutzung oder hohe Risiken aufzudecken. Auch Lizenzierung und andere Aktionen lassen sich kontrollieren.

Nische 3: Erweiterter Malware-Schutz

Mit zunehmender Komplexität und steigender Anzahl von Geräten im Netzwerk, ist das Erkennen bösartiger Aktivitäten eine immer größere Herausforderung. Die Cyberkriminellen werden raffinierter und die reduzierte Wirksamkeit der traditionellen Netzwerk- und Host-Monitoring-Tools in einer Cloud-Umgebung machen die Sache nicht leichter. Der Grund ist, dass eine Vielzahl dieser Dienste in der Cloud unterhalb des sichtbaren Stacks ablaufen. Für diese Probleme gibt es entsprechende Werkzeuge von Carbon Black, Triumfant, CrowdStrike und AhnLab. Diese Tools sammeln mehr und verschiedene Daten, indizieren diese besser und verwenden unterschiedliche Methoden. Firmen haben mit ihnen wirksame Maßnahmen in der Hand, um gegen ausgeklügelte Angriffe vorzugehen.

Nische 4: Intelligente Bedrohungen

Aufgrund von Sicherheitbedenken müssen Unternehmen ausgefeilte Angriffs-Techniken verstehen. Die Cloud bietet Nützliches, um diese Art von Informationen verfügbar zu machen. Zudem gibt es Möglichkeiten, die Monitoring-Aktivitäten zu verbessern. Tools von Anbietern wie Risk.I/O Inc. und Qualys Inc. verwenden die Cloud als Plattform, um Daten von Quellen zu bündeln, die von Unternehmen bereits im Einsatz sind. Beispiele hierfür sind Daten von gefährdeten Scannern für Betriebssysteme, Netzwerke, Applikationen und Tools zur Auflistung von Ports. Durch die Analyse und dem Erkennen von Zusammenhängen bei den Daten, versprechen diese Tools, verwundbare Komponenten aufzufinden. Unternehmen können auf diese Weise ihr technisches Risiko reduzieren.

Nische 5: Kürzere Release-Zyklen bei Anwendungen

Die Cloud hat die Art der Anwendungslandschaft revolutioniert: Entwicklung und Release-Zyklen haben sich beschleunigt (zum Beispiel DevOps). Qualitätssicherung und Veröffentlichung laufen mehr und mehr automatisiert ab. Damit wird die Einhaltung der Software-Lizenzierung immer entscheidender. Neue Hersteller wie SourceDNA Inc. Aber auch etablierte, innovative Firmen wie Sonotype Inc. helfen Unternehmen beim Aufschlüsseln der Bestandteile. Somit verstehen Anwender konkret, welche Bibliotheken, Komponenten und Programmierschnittstellen in der von ihnen kreierten Software Verwendung finden.

Fazit

Die aufgezählten Punkte sind bei weitem nicht alle Bereiche, bei denen Unternehmen aufgrund steigender Auslagerungen der IT der Schuh drückt. Es gibt weitere innovative Unternehmen, die entsprechende Software entwickeln. Diese Beispiele dienen lediglich als Hinweise, um die „kommende Welle“ zu illustrieren. Sie wird unweigerlich kommen und eine neue Spezies zum Vorschein bringen, die eine Nische füllt.

Über den Autor: Ed Moyle ist derzeit Leiter von „Emerging Business and Technology“ bei ISACA. Er hat früher als Senior-Security-Stratege bei Savvis Inc. und als Senior-Manager bei CTG gearbeitet. Davor war er als Vize-Präsident und Information Security Officer bei Merrill Lynch Investment Managers tätig.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Cloud-Sicherheit

ComputerWeekly.de

Close