Sie sind hier: Startseite » Markt » Tipps und Hinweise

In fünf Schritten zu mehr Sicherheit in der Cloud


Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen?
Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann


Der beschleunigte Wandel der technischen Infrastruktur, die digitale Transformation und die zunehmende Cloud-Nutzung verändern die Herausforderungen für Unternehmen, ihre kritischen Vermögenswerte zu sichern, erheblich. Cloud-Security gewinnt somit immer mehr an Bedeutung.

Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann. Die großen Plattformen Amazon, Google und Microsoft nehmen einen immer größeren Anteil des Cloud-Markts ein. Grund genug für Hacker, diese Plattformen aktuell sehr genau ins Visier zu nehmen, um deren Schwachstellen zu finden. Welche Maßnahmen können Unternehmen ergreifen, um ihre Cloud-Umgebung besser zu schützen?

1. Zero Trust
Um Unternehmenssysteme in dieser grundsätzlich offenen Struktur der Cloud abzusichern, sollte die Haltung Zero Trust (Kein Vertrauen) gelten. Sie bedeutet in diesem Zusammenhang, dass der Nutzer sowohl seine Identität als auch die Sicherheit des Standorts und der Umgebung seines Geräts nachweisen muss, ehe er die Cloud nutzt. Je nach Kontext kann das Sicherheitsniveau variieren, von der einfachen Identifizierung und Verschlüsselung für risikoarme SaaS-Lösungen bis hin zur umfassenden Verifizierung der Geräte. Diese höchste Sicherheitsstufe bietet sich bei risikoreichen Anwendungen, die eine lokale Datenspeicherung oder einen administrativen Zugang benötigen, an. Dabei werden alle Zugriffe vom Security Operations Centre (SOC) protokolliert und geprüft, damit es keine Sicherheitsrisiken gibt.

2. Verschlüsselung
Alle in der Cloud gespeicherten Daten sollten verschlüsselt werden. Zwar sichern die Cloud-Anbieter ihre Systeme bestmöglich ab. Dennoch: Die Cloud ist ein offenes System, das viele verschiedene Kunden – wenn auch in ihrem eigenen Bereich – gemeinsam nutzen. Kommt es im schlimmsten Fall zum kompletten Systemversagen, können Unternehmensdaten zu anderen Kunden oder auch in die Öffentlichkeit gelangen. Umso essenzieller ist hier die Verschlüsselung. Dies gilt nicht nur für die Speicherung, sondern auch während der Übertragung von Daten. Sie sollten nur dann entschlüsselt werden, wenn dies für die Verarbeitung unbedingt nötig ist. Nur so lässt sich gewährleisten, dass Daten nicht mit einem Man-in-the-Middle-Angriff abgefangen werden, für den derzeit 95 Prozent der HTTPS-Server anfällig sein sollen.

3. DevSecOps
Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen? Zusätzlich zu Akzeptanztests sollten Unternehmen automatisierte Sicherheitstests, Sicherheitsupdates mit Patches für bekannte Schwachstellen, Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) in ihren CI/CD-Prozess einführen. Hinzu kommen standardmäßig in die Container integrierte Sicherheitsscanner. Durch diese Schritte können sie den Prozess verbessern, um die Sicherheit zu erhöhen und Schwachstellen schneller zu erkennen.

4. Runtime Application Self-Protection (RASP)
Die Selbstvalidierung über eine effektive RASP-Lösung erweitert die Prinzipien von Zero Trust bis in den Anwendungscode und verhindert die böswillige Nutzung der Applikation. Sie prüft, was jeder Prozess oder jede Funktion produzieren soll und vergleicht dies mit dem tatsächlichen Output der Anwendung. Es gibt viele RASP-Produkte, die so konzipiert sind, dass sie eine herkömmliche Web Application Firewall durch die Analyse des tatsächlichen Anwendungscodes ergänzen. Sie können entweder in einen Monitor- und Alarmmodus oder alternativ in einen Blockiermodus versetzt werden, der einen automatischen Schutz der Anwendung ohne menschliches Zutun ermöglicht. RASP-Lösungen sind in den Anwendungscode integriert und können somit in containerisierten und serverlosen Lösungen eingesetzt werden – und das ohne Kompatibilitätsprobleme.

5. Security Operations Center (SOC)
Ein rund um die Uhr aktives SOC ist für Unternehmen von entscheidender Bedeutung. Automatisierte Tools bilden eine gute Basis, stellen aber nur einen Teil der Security-Strategie dar. Ein gut ausgestattetes SOC erkennt Sicherheitsvorfälle sofort und kann auf erfahrene Analysten zurückgreifen, die ein Unternehmen jederzeit schützen. Mit ihrer Unterstützung können auch fortgeschrittene und anhaltende Bedrohungen identifiziert und abgewehrt werden. Das SOC-Team hat Zugriff auf alle Datenfeeds aus Authentifizierungen und kann die Informationen aggregieren und analysieren. Mit Hilfe von Sicherheitstechnologien schützt ein SOC-Team die Anwendungen in Echtzeit und verhindert somit Datendiebstahl.

Dennoch: Ein durchschnittliches SOC-Team erhält täglich 10.000 Warnungen. Umso wichtiger sind qualifizierte Personen mit ausgezeichneten Analysefähigkeiten. Nur wenige Unternehmen können einen solchen Service aus eigener Kraft stemmen. Ein Managed Security Partner wie Rackspace mit seinem Service Rackspace Managed Security (RMS) kann Organisationen hier auf operativer und finanzieller Ebene entlasten und dabei unterstützen, die Komplexität des Themas Cloud-Security zu reduzieren. Unabhängig von der entsprechenden Cloud Computing-Umgebung erkennt dieser Bedrohungen, reagiert darauf und minimiert die Risiken durch Bereitstellung von Expertise und zukunftssicheren Tools. (Rackspace: ra)

eingetragen: 16.10.19
Newsletterlauf: 26.11.19

Rackspace Technology: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • Umstieg auf Cloud Computing-Technologien

    Ähnlich wie bei Banken und ihren geliebten Mainframes verlassen sich viele in der Rundfunk- und Fernsehbranche in Deutschland noch immer auf Technologien und Prozesse, die mittlerweile als veraltet gelten. Warum sollte sich auch etwas verändern, wenn die lokalen Komponenten, Systeme und Server im Rahmen der Content-Erstellung, Postproduktion sowie Ausstrahlung weiterhin zuverlässig ihren Dienst tun?

  • Cloud-Assets oft schwer zu lokalisieren

    Mit der zunehmenden Verbreitung von Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) explodiert die Zahl der Cloud-Ressourcen. Virtuelle Maschinen, Kubernetes-Cluster, Storage-Buckets und andere Assets nehmen zu.

  • Containerisierung als Herausforderung

    Im Zuge eines immer stärkeren Wachstums des traditionellen Cloud Computing-Marktes hat sich mit Serverless Computing ein innovativer neuer Ansatz entwickelt, der die Verwaltung physischer Server überflüssig macht.

  • Cloud Detection and Response

    Die 5/5/5-Faustregel für Cloud Detection and Response stellt Organisationen vor die Herausforderung, Bedrohungen innerhalb von fünf Sekunden zu erkennen, relevante Daten innerhalb von fünf Minuten zu korrelieren und innerhalb von weiteren fünf Minuten zu reagieren.

  • Einsatz der digitalen KI-Assistenten

    Generative KI ist in aller Munde: Immer mehr Menschen nutzen sie, immer mehr Expertinnen und Experten heben den mahnenden Finger. Auch in Industrieunternehmen fragen sich die Verantwortlichen, wo und wie sie ChatGPT-ähnliche Technologien sinnvoll einsetzen können. Antworten, worauf es bei KI-Assistenten und Copiloten ankommt, hat Augmentir.

  • Kriterien für Ausfall eines Cloud-Anbieters

    Die Cloud-Landschaft hat sich in den letzten Jahren stark verändert. Im Wirtschaftsraum Europa, dem Nahen Osten und Afrika (EMEA) setzen Unternehmen vermehrt auf hybride Cloud-Strategien und auf eine Vielfalt von Anbietern. Laut einer Studie von Cloudera kombinieren 70 Prozent der IT-Entscheidungsträger in Deutschland Public Clouds mit Private Clouds und On-Premises-Infrastrukturen, um eine flexible und kosteneffiziente IT-Architektur zu schaffen.

  • Keine internen Ressourcen mehr verwalten

    Managed Service Provider (MSPs) sind mit ihrem Know-how, sei es im Bereich Cybersicherheit oder Softwarelösungen, für viele Unternehmen längst zu einem wichtigen Ansprechpartner geworden. Für MSPs ist wiederum von wesentlicher Bedeutung, dass sie sich als strategischer Partner ihres Kunden positionieren, der dynamisch entlang der gesamten Lieferkette agieren kann.

  • Neben KI auch an OCM denken

    Künstliche Intelligenz (KI)-Systeme werden in einer Vielzahl von Anwendungen eingesetzt, darunter Automatisierung, Entscheidungsunterstützung und Datenanalyse. Um KI jedoch erfolgreich einzusetzen, ist ein effektives Organizational Change Management (OCM) erforderlich. OCM ist ein Prozess zur Überwachung, Verwaltung und Optimierung von IT-Systemen und -Prozessen.

  • Auswahl des Cloud-Speicherdienstes

    Die Deutschen achten bei der Auswahl von Cloud-Speichern auf Sicherheits-Features: 27,2 Prozent ist die verschlüsselte Übertragung und die verschlüsselte Speicherung von Daten in der Cloud wichtig. Ein ebenfalls wichtiges Argument für einen Anbieter ist dessen Angebot, viel kostenlosen Speicherplatz nutzen zu können.

  • Monetarisierungsplattformen gehören die Zukunft

    Die aktuelle PwC Managed Services Studie 2023 zeigt, dass eine große Mehrheit der darin befragten Unternehmen Flexibilität und Reaktionsfähigkeit (98 Prozent) für eine wichtige Eigenschaft bei Managed Service Providern (MSPs) halten. Wer Managed Services anbietet muss dabei heute sowohl technische als auch vertriebliche Unterstützung anbieten können - und das vor allem schnell und auf die unterschiedlichsten Kundenbedürfnisse angepasst.

Einsatz Cloud-basierter ERP-Systeme Steigende Beliebtheit von Cloud-Lösungen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen