Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Zehn Maßnahmen zur sicheren Public-Cloud-Nutzung

10 Sicherheitstipps für die Public Cloud

Bild: Palo Alto Networks
Bild: Palo Alto Networks

Palo Alto Networks hat zehn Sicherheitstipps zusammengestellt, damit die Nutzung der öffentlichen Cloud zu vertretbaren Kosten sicher möglich wird.

Kostenfokussierte Abteilungen in Unternehmen fordern die Verlagerung in die öffentliche Cloud, während das IT-Sicherheitsteam potenzielle Sicherheitsrisiken sieht und versucht, die Kontrolle nicht zu verlieren. Palo Alto Networks hat auf der Grundlage allgemeiner Erfahrungen zehn Sicherheitstipps zusammengestellt, damit die Nutzung der öffentlichen Cloud den Anforderungen beider Gruppen gerecht wird. Dazu stellt Palo Alto Networks auch einen mehrseitigen Leitfaden "Top 10 der Sicherheitsempfehlungen für die Public Cloud" zur Verfügung.

Das Ziel von Angreifern ist es, Netzwerke zu kompromittieren und Benutzerdaten, geistiges Eigentum oder Ressourcen zu stehlen. Dabei spielt es keine Rolle, ob diese sich in der öffentlichen Cloud, in der privaten Cloud oder in einem physischen Rechenzentrum befinden. Anhand der folgenden Empfehlungen können Unternehmen dafür sorgen, dass der Sicherheit in der öffentlichen Cloud dieselbe Aufmerksamkeit wie beim Schutz des eigenen Rechenzentrums zuteilkommt.

1. Das Modell der gemeinsamen Sicherheitsverantwortung. Anbieter wie Amazon Web Services (AWS) und Microsoft Azure propagieren die "gemeinsame Verantwortung" für die Sicherheit. Dabei ist der Betreiber dafür verantwortlich, dass die Plattform immer aktiv, verfügbar und aktuell ist. Der Kunde ist aber für den Schutz der eigenen Anwendungen und Daten in der öffentlichen Cloud selbst verantwortlich.

2. Frühzeitige Einbeziehung von Abteilungen und DevOps-Team. Zahlreiche Projekte im Zusammenhang mit der öffentlichen Cloud werden von Abteilungen wie DevOps vorangetrieben, die in kürzester Zeit neue Produkte oder funktionale Prototypen erstellen. Im Idealfall sollten das Sicherheitsteam und die betreffende Abteilung gemeinsam dafür sorgen, dass Sicherheitsrisiken vermieden werden.

3. Die eigene potenzielle Anfälligkeit kennen. Da es so einfach ist, ein Cloud-Konto einzurichten, wird die Nutzung der öffentlichen Cloud häufig als "Schatten-IT" bezeichnet. Mitarbeiter können unwissentlich Sicherheitslücken schaffen. Daher ist es wichtig, den Überblick zu haben, wer im Unternehmen öffentliche Cloud nutzt, und es ist unabdingbar, sicherzustellen, dass die Umgebung fachgerecht konfiguriert wird.

4. Den Angreifer verstehen. Angreifer nutzen Automatisierung, um in Minutenschnelle potenzielle Ziele ausfindig zu machen. Dann suchen sie nach Sicherheitslücken oder falsch konfiguriertem SSH (Secure Shell) und probieren Standardkennwörter aus. Zu verstehen, wie Angreifer agieren, ist entscheidend für den effektiven Schutz von Anwendungen und Daten in der öffentlichen Cloud.

5. Auswertung von Sicherheitsoptionen. Beim Wechsel in die öffentliche Cloud stehen verschiedene Sicherheitsoptionen zur Auswahl:

  • Systemeigene Sicherheit für die öffentliche Cloud: Cloudanbieter bieten systemeigene Sicherheitsdienste wie Sicherheitsgruppen und WAFs (Web Application Firewalls) an. Diese Tools tragen zu einer Reduzierung der Angriffsfläche bei, enthalten jedoch selbst einige Sicherheitslücken.
  • Punktuelle Sicherheitsprodukte: Zum Erkennen und Abwehren von Bedrohungen dienen oft Host-basierte punktuelle Produkte. Ein IPS (Intrusion-Prevention-System) sucht jedoch nur nach bekannten Bedrohungen und übersieht möglicherweise Zero-Day- oder unbekannte Bedrohungen. Es bietet ebenso wie ein IDS (Intrusion-Detection-System) keine ganzheitliche Sicht auf die Cloudumgebung.
  • Sicherheit Marke Eigenbau: Einige Unternehmen verwenden zum Schutz der Cloudbereitstellungen Skripting- und Transparenz-Tools. Mögliche Nachteile dieser Strategie sind fehlendes Know-how bei der Verwaltung sowie nicht vorhandener Support im Falle einer Sicherheitsverletzung.
  • Virtualisierte Inline-Appliances: Eine virtualisierte Inline-Appliance wie eine virtualisierte Firewall bildet die Grundlage für den Überblick über den gesamten Datenverkehr in der Cloudbereitstellung. Mithilfe von anwendungs-, benutzer- und inhaltsbasierten Erkennungstechnologien lässt sich exakt ermitteln, wer zu welchem Zweck worauf zugegriffen hat. Entsprechend kann eine Richtlinie zur dynamischen Sicherheit umgesetzt werden, um Daten und Anwendungen in der öffentlichen Cloud vor gezielten Bedrohungen und Bedrohungen aus Unachtsamkeit zu schützen.

6. Wissen ist Macht. Wissen bedeutet in diesem Fall die Gewissheit, dass der gesamte Datenverkehr die aus mobilen Geräten, Netzwerk und Cloud bestehende Umgebung sicher passiert. Durch die Nutzung einer virtualisierten Next-Generation-Firewall im Rahmen einer integrierten Sicherheitsplattform können sich Unternehmen den Überblick zu Identität und Merkmalen des Datenverkehrs verschaffen, um besser fundierte Entscheidungen zum Schutz von Anwendungen und Daten treffen zu können.

7. Abwehr ist alles. Es gibt diejenigen, die glauben, dass die Angreifer bereits "gewonnen" haben und daher ein Erkennungs- und Wiederherstellungskonzept implementieren. Mit einer umfassenden Übersicht über die Umgebung ist eine effektive Abwehr jedoch tatsächlich möglich. Im Wesentlichen sind hierzu vier Funktionen erforderlich: Vollständige Transparenz, eine geringere Angriffsfläche, die Abwehr bekannter Bedrohungen und die Abwehr unbekannter Bedrohungen.

8. Cloudorientiertes Konzept. Im eigenen Rechenzentrum werden die hohen Anforderungen an die Verfügbarkeit durch redundante Hardware erfüllt. Beim cloudorientierten Konzept wird dies mithilfe der Struktur des Cloudanbieters und den entsprechenden Ausfallsicherheitsfunktionen wie etwa dem Lastausgleich problemlos und schnell erzielt.

9. Automatisierung zur Vermeidung von Engpässen. Durch die schnellere, präzisere Aktualisierung von Sicherheitsregeln ist ein Betrieb mit der Geschwindigkeit der Cloud möglich. Unternehmen sollten in den Sicherheitsmechanismen ihrer öffentlichen Cloud nach den folgenden Automatisierungstools Ausschau halten: Berührungslose Bereitstellungen z.B. mithilfe wie Bootstrapping; bidirektionale Integration in Ressourcen von Drittanbietern via API; und Richtlinienaktualisierungen mithilfe von Automatisierungsfunktionen wie XML API und DAG (Dynamic Address Groups).

10. Durchsetzung von Richtlinienkonsistenz durch zentrales Management. Die zentrale Steuerung des verteilten Netzwerks mit physischen und virtualisierten Firewalls und die Nutzung einer einzigen konsistenten Basis mit Sicherheitsregeln vom Netzwerk bis zur öffentlichen Cloud ist besonders wichtig. Dadurch wird bei sich ändernden Workloads in der öffentlichen Cloud das Management vereinfacht und Verzögerungen werden minimiert.

Schwache Passwörter als großes Sicherheitsrisiko

Exotische und komplexe Angriffsszenarien kommen vor und man...

Weiterlesen

Mehr Angriffe auf Finanzsektor

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

VRZ Informatik gründet Ally Lohn & Personal GmbH

Aus dem Geschäftsbereich "Lohn und Personal" der VRZ...

Weiterlesen

Wie funktionieren Endpoint-Attacken?

Ein besseres Verständnis über die verschiedenen Schritte...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Mit Neuronen auf Cybergangsterjagd

In der Cybersicherheits-Branche wird der Begriff "Machine...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Zu viele Angriffspunkte? Veraltete Systeme?

Umfassende Security ist eine große Herausforderung. Dennoch...

Weiterlesen

Überlegen, was Kunden interessiert

Ein Suchmaschinen-Treffer steht heute zumeist am Anfang...

Weiterlesen

Sicherheitsrisiko Führungskraft

NTT Security, das "Security Center of Excellence" der NTT...

Weiterlesen

Was bedeutet KI für Cybersecurity?

Künstliche Intelligenz und Machine Learning liegen auch im...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Keine Angst vor digitaler Transformation mit VDI

Virtual Desktop Infrastructure bzw. Desktop-Virtualisierung...

Weiterlesen

Vorsicht, Open-Source-Falle!

Die Euphorie rund um das 20-jährige Open-Source-Jubiläum ist...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

ESET: Suhl neuer Country Manager DACH

Holger Suhl übernimmt ab sofort die Position des Country...

Weiterlesen

IT-Sicherheit: Resignation ist unangebracht

Je besser ein Hausbesitzer Fenster und Türen absichert,...

Weiterlesen

Best Architecture Practices für Kettle und IoT

Was müssen Verantwortliche von Pentaho Data Integration...

Weiterlesen

66 Prozent schützen Office-365-Umgebung nicht!

Barracuda hat kürzlich eine Umfrage unter seinen...

Weiterlesen

EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in...

Weiterlesen