Der Wechsel in die Cloud hilft Unternehmen, Kosten einzusparen und ihre Agilität und Effizienz zu steigern. Deshalb ist es wenig verwunderlich, dass Cloud-Computing inzwischen in deutschen Unternehmen angekommen ist: 53,5 % der Unternehmen in der DACH-Region nutzen bereits Cloud-Services und weitere 24 % planen oder prüfen den Wechsel, wie eine Studie von IDC in Zusammenarbeit mit Trend Micro ergab. Eine Vorreiterrolle nehmen dabei Unternehmen der chemisch-pharmazeutischen Industrie ein: 88 % von ihnen nutzen bereits Cloud-Dienste wie Software-as-a-Service.
In den letzten Jahren hat sich die Hybrid Cloud als am weitesten verbreitetes und zukunftsträchtiges Modell herauskristallisiert. Als Hybrid Cloud wird eine Cloud-Umgebung bezeichnet, in der Unternehmen einen Teil ihrer IT-Ressourcen lokal („on-premises“) verwalten während ein anderer Teil außerhalb des Unternehmens von Cloud Service Providern wie AWS oder Microsoft Azure betrieben wird. So können bestimmte Services, beispielsweise Software, bei einem öffentlichen Anbieter laufen. Besonders kritische Anwendungen und Daten verbleiben hingegen im Unternehmen.
Ob im Rahmen der Erweiterung interner Ressourcen oder einer vollständigen Verlagerung in die Cloud – in jedem Fall tragen Unternehmen und ihr jeweiliger Cloud Service Provider die Sicherheitsverantwortung gemeinsam. Cloud Service Provider sind für die Sicherheit der physischen und der Netzwerkinfrastruktur sowie der Virtualisierungsebene zuständig. Unternehmen müssen dagegen sicherstellen, dass von ihnen in die Cloud verschobene Workloads umfassend geschützt sind und ihre Sicherheitslösung interne und behördliche Compliance-Vorgaben erfüllt. Jede Partei sollte dabei auf einen umfassenden und wirksamen Schutz achten. Denn bei Vernachlässigung auch nur eines einzelnen Sicherheitsaspekts kann es zu Lücken in der Verteidigungslinie kommen, die Bedrohungen Einlass gewähren und zu schwerwiegenden Datenverlusten führen können.
Eine wirksame Sicherheitslösung muss deshalb sowohl die IT-Infrastruktur als auch die Daten in der Cloud schützen. Dabei müssen sich Unternehmen entscheiden, ob sie die einzelnen Sicherheitsfunktionen getrennt managen oder über eine gemeinsame Konsole alle Funktionen zusammen führen möchten.
Zu den wichtigsten Funktionen, die auf jeden Fall sichergestellt sein sollten, gehören folgende:
- Schutz vor Netzwerk- und Anwendungsbedrohungen mithilfe Host-basierter Netzwerksicherheitskontrollen, wie der Erkennung und Abwehr von Eindringlingen (IDS/IPS)
- Schutz vor Sicherheitslücken durch die Abschirmung unzureichend geschützter Anwendungen und Server mittels eines virtuellen Patches, bis betroffene Workloads ersetzt werden können
- Applikationskontrollen, die sicherstellen, dass nur zulässige Prozesse ausgeführt werden können
- Schutz von Workloads vor Malware, wie beispielsweise Ransomware
- die Identifikation von verdächtigen Änderungen auf Servern, beispielsweise an Registrierungseinstellungen, Systemordnern und Anwendungsdateien, die nicht geändert werden dürfen
Besonders hohe Sicherheitsanforderungen gelten dabei immer dann, wenn sensible Informationen wie persönliche Daten (Personally Identifiable Information, PII), beispielsweise von Kunden, gespeichert und verarbeitet werden. In diesem Fall ist eine wirkungsvolle Zugriffskontrolle einzurichten, die nicht nur den Zugriff von außen verhindert, sondern auch sicherstellt, dass nur befugte Mitarbeiter Zugriff auf die Daten haben.
Flexible Sicherheit
Ein weiteres Kriterium bei der Wahl der richtigen Sicherheitslösung stellt deren Skalierbarkeit dar. Viele Unternehmen entscheiden sich nicht zuletzt deshalb für einen Wechsel in die Cloud, um flexibler auf den Ressourcenbedarf im IT-Bereich reagieren zu können. Eine gute Cloud-Sicherheitslösung ist ebenso skalierbar wie die Cloud-Dienste, die sie schützt und kann bei erhöhtem Bedarf „mitwachsen“.
Damit einher geht eine möglichst einfache Provisionierung. Die Sicherheitslösung sollte im Rahmen des Bereitstellungsprozesses für das Rechenzentrum automatisiert werden. So wird sichergestellt, dass physische Server und virtuelle Maschinen direkt nach ihrer Bereitstellung geschützt sind. Besonders einfach geht dies, wenn die Lösung für den jeweiligen Cloud Service Provider, beispielsweise AWS oder Microsoft Azure, optimiert ist und ohne großen Aufwand in dessen Angebot integriert werden kann.
Eine einfache Provisionierung erleichtert darüber hinaus die Migration von Cloud-Instanzen, beispielsweise beim Wechsel des Cloud-Anbieters oder auch, wenn Teile davon wieder ins eigene Netzwerk zurückgeholt werden. In all diesen Fällen sollte die Sicherheit möglichst einfach mit den Daten „mitwandern“.
Herausforderung Compliance
Die Komplexität und der dynamische Wandel virtualisierter und cloudbasierter Umgebungen stellt Unternehmen im Hinblick auf behördliche und interne Compliance-Vorgaben immer wieder vor Herausforderungen. Um diese bestmöglich zu bewältigen, ist zu empfehlen, dass die Sicherheitslösung nach Common Criteria EAL zertifiziert ist.
Gerade in Branchen, in denen potentiell kritische Infrastrukturen betrieben werden, wie der Chemie- und Pharmaindustrie müssen Unternehmen mit regelmäßigen Audits rechnen. Hier kann die richtige Sicherheitslösung viel Zeit und Ressourcen sparen, indem sie zentrale Sicherheitskontrollen und Reportings unterstützt. Dabei ist darauf zu achten, dass die für Audits benötigten Daten möglichst bereits aufbereitet zur Verfügung gestellt werden. Wenn dies bereits für alle Bereiche in Netzwerk und Cloud im selben Format geschieht, erleichtert das die Arbeit zusätzlich.
Schutz sensibler Infrastrukturen
Um nicht nur die in der Cloud gespeicherten Daten, sondern auch die Infrastruktur im Unternehmen selbst zu schützen, müssen alle Schnittstellen zum Unternehmensnetzwerk abgesichert werden, beispielsweise durch Firewalls und IPS. Wenn Verbindungen zu Produktionsanlagen bestehen, sollten diese ebenfalls besonderen Schutz erfahren. Hierbei sollte auch ein kritischer Blick auf die bereits vorhandene Sicherheitsstrategie geworfen werden und diese gegebenenfalls aktualisiert oder angepasst werden. Gerade das eigene Netzwerk bietet in vielen Fällen Fallstricke und Schwachstellen, die häufig übersehen werden. So ist der Compliance-Status oftmals veraltet und sollte durch aktuelle Lösungen auf den neuesten Stand gebracht werden.
Keine Angst vor der Cloud
Die Anforderungen an die Sicherheit in der Cloud mögen auf den ersten Blick umfangreich erscheinen und den ein oder anderen Verantwortlichen abschrecken. Mit der richtigen IT-Sicherheit sind sie jedoch ohne Probleme zu bewältigen. Diese sollte dem Unternehmen größtmögliche Flexibilität gewähren. Als Maßstab gilt hierbei, dass keine Business-Entscheidung an einer unzureichenden Sicherheitslösung scheitern darf. Dann bietet die Cloud den Unternehmen, die sie nutzen, zahlreiche wirtschaftliche Vorteile, die im Wettbewerb den entscheidenden Unterschied ausmachen können.
Suchwort: cav0617trendmicro
Autor Richard Werner
Business Consultant,
Trend Micro