Cloud Computing
Bevor wir darüber sprechen, was Cloud Security ist, möchte ich zunächst einmal klären, welche Arten von Cloud Computing es gibt. Cloud Computing beschreibt ein Modell, dass zeitnah und mit wenig Aufwand IT-Ressourcen bereitstellt. Diese IT-Ressourcen können zum Beispiel Server, Datenbanken oder Services sein. Eine Skalierung von Cloud Ressourcen ist fast beliebig und auch kurzfristig möglich. Bei den meisten Cloud-Anbietern zahlt man nur die in Anspruch genommenen Ressourcen. Das bietet den Vorteil, dass man keine eigenen Server in Form eines Rechenzentrums aufbauen muss. Für ein Unternehmen entstehen somit keine Fixkosten. Mit denen in Anspruch genommenen Cloud Services entstehen für ein Unternehmen nur variable Kosten. Diese sind für die Planung einfacher zu handhaben.
Servicemodelle
Cloud Computing gibt es in vier verschiedenen Servicemodellen.
- Infrastructure as a Service: Hierbei stellt der Cloud-Anbieter die virtuelle Hardware zur Verfügung. Das Unternehmen, welches diesen Service in Anspruch nimmt, ist für das Betriebssystem und die Software verantwortlich. In diesem Modell ist der Cloud-Anbieter aus Sicht der IT-Security dazu verpflichtet den physischen Schutz der Hardware zu gewährleisten. Alle Sicherheitsmaßnahmen, die darüber hinaus gehen, liegen im Verantwortungsbereich der Kunden.
- Platform as a Service: Bei dieser Cloud Variante stellt der Cloud-Anbieter seinen Kunden Server mit dem gewünschten Betriebssystem zur Verfügung. Der Kunde kann auf dem Betriebssystem frei die gewünschte Software installieren. In diesem Modell muss der Cloud-Anbieter neben dem physischen Schutz der Hardware außerdem das Betriebssystem absichern und es auf dem neusten Stand halten. Der Kunde kann sich hierbei auf die IT-Sicherheit der von ihm verwendeten Software kümmern. Alle anderen Teile sind für ihn transparent. Das bedeutet, diese liegen nicht in dem Verantwortungsbereich des Kunden.
- Software as a Service: In diesem Modell stell der Cloud-Anbieter die gewünschte Software zur Verfügung. Der Kunde hat hierbei keinen Zugriff auf die Hardware oder das Betriebssystem. Damit hat der Cloud-Anbieter in diesem Modell die größte Verantwortung für die IT-Security.
- Function as a Service: In der Variante Function as a Service erhält der Kunde lediglich den Zugriff auf bestimmt Funktionen, mit denen er Berechnungen, die viele Ressourcen benötigen, durchführen kann.
Wenn ein Unternehmen Cloud-Anbieter, als Teil seines Geschäftsmodells nutzt, dann muss es sicherstellen, dass seine Services entsprechend vor Cyberangriffen gesichert sind. Wie das funktioniert und was Cloud Security bedeutet, erkläre ich in diesem Video.
Cloud Security
Cloud Security hilft dabei die Services des eigenen Unternehmens vor Datenverlust und Cyber-Angriffen zu schützen. Hierunter fallen verschiedene Maßnahmen, die speziell Cloud-Umgebungen absichern. Cloud Security besteht aus Richtlinie, Prozesse und technischen Maßnahmen, die auf den Schutz der Cloud ausgerichtet sind. Damit sich ein Unternehmen mit der Cloud verbinden kann, nutzt es die API des Cloud-Anbieters.
Hierbei ist es besonders wichtig, dass Daten verschlüsselt in die Cloud übertragen werden und dort auch verschlüsselt gespeichert sind. Dadurch hat niemand Zugriff auf die Daten, wenn jemand versucht die Kommunikation zu belauschen und es ist auch nicht möglich an die Daten zu gelangen, wenn man den physischen Zugriff auf die Server bekommt, wo die Daten liegen.
Es ist wichtig den Zugriff auf die API des Cloud-Anbieters zu kontrollieren und auch zu überwachen. Jeder Auffälligkeit sollte nachgegangen werden, damit es hier nicht zu Datenverlusten kommt.
Im Falle eines Security Incidents muss es festgelegte Prozesse geben, die regeln, wie in einem solchen Fall vorzugehen ist. Auch der Austausch von Informationen mit dem Cloud-Anbieter sollte in diesen Prozessen geregelt werden, damit man im Ernstfall auch schnell reagieren kann und die Gefahr verringert. Die Behandlung von Security Incidents verläuft ähnlich wie bei einem on-premise Rechenzentrum. Der Unterschied ist hier, dass man sich noch zusätzlich mit dem Cloud-Anbieter abstimmen muss und man keine Möglichkeit eines physischen Zugriffs auf seine Daten hat. Die Abstimmung müssen in Verträgen geregelt werden und es ist sehr wichtig, dass sogenannte Service Level Agreements (SLA)s vereinbart werden. Zu diesen SLAs verpflichtet sich der Cloud-Anbieter bestimmte Vorgaben einzuhalten. Das kann zum Beispiel die Verfügbarkeit der Server sein oder auch die Reaktionszeit bei der Behandlung von Security Incidents.
Risiken von Cloud-Diensten
Durch die Verwendung von Cloud-Diensten entstehen für ein Unternehmen Risiken aus dem Verlust der Vertraulichkeit, der Verfügbarkeit oder der Integrität seiner Daten. Die Cloud Security muss ich daher mit den folgenden Themen befassen.
- physischen Schutz der Cloud-Rechenzentren,
- Schutz der Server,
- Sicherung der IT-Infrastruktur,
- Überwachung der Cloud-Zugänge,
- Schutz der Betriebssysteme und der Software,
- Schutz und Verwaltung von Schlüsseln und Benutzer-Accounts.
Eine Cloud-Umgebung stellt ein Unternehmen vor neue Herausforderungen. Das Löschen von Daten ist in einer Cloud anders zu bewerten als in einem lokalen Rechenzentrum, den in der Cloud weiß man nicht genau, wo die Daten nun liegen. Das Löschen von Daten ist dadurch nicht vollständig nachvollziehbar. Der Kunde muss also auf die Services des Cloud-Anbieters vertrauen, dass dieser seinen Verpflichtungen nachkommt.
Der Cloud-Anbieter muss gegenüber seinen Kunden nachweisen, dass er die Vorgaben aus dem Datenschutz erfüllt. Die Vorgaben an einen Cloud-Anbieter können durch Audits oder Zertifikate überprüft werden. Dies gibt ein Indiz dafür, dass der Cloud-Anbieter den Schutz der Daten seiner Kunden ernst nimmt. Er zeigt außerdem, dass er bestimmte Mindestvoraussetzungen der IT-Security betreibt und diese auch einhält.
Fassen wir das ganze nochmal zusammen. Wenn man sich als Unternehmen auf einem Cloud-Anbieter festlegt, dann ist es wichtig vorab zu klären, welche Service Zeiten der Cloud-Anbieter dem Kunden zusichern kann. Außerdem sollte man prüfen, welche IT-Security Maßnahmen der Cloud-Anbieter selbst betreibt und als zusätzlichen Service zur Verfügung stellt. Wenn man die Möglichkeit hat einen Cloud-Anbieter zu regelmäßigen Audits zu verpflichten, dann hilft dies zusätzliches Vertrauen in die IT-Security des Cloud-Anbieters zu erlangen. Für Cloud-Anbieter gibt es zum Beispiel die C5 Zertifizierung des BSI. Das ist ein spezieller Kriterienkatalog, welcher Mindestanforderungen an sicheres Cloud Computing definiert. Diese orientieren sich an der Norm ISO27001 und der Cloud Control Matrix der Cloud Security Alliance.
Zur ISO27001 habe ich ein anderes Video erstellt, welches ich hier verlinke 👉ISO27001 aber keinen Schutz gegen Cyberangriffe.
Wenn ein Cloud-Anbieter die vorgegebenen Mindestanforderungen erfüllt, dann kann er sich auch danach zertifizieren lassen. Eine solche Zertifizierung hat den Vorteil, dass zu mehr Vertrauen der Kunden in die IT-Security des Cloud-Anbieters führt.
Wenn Ihnen dieses Video gefallen hat, dann hinterlassen Sie einen Like und abonnieren Sie meinen Kanal: