Was ist Cloud-Sicherheit?

Cloud-Sicherheit definiert

Bei der Cloud-Sicherheit handelt es sich um eine Reihe von Richtlinien, Kontrollen und Technologien zum Schutz von Daten, Anwendungen und Infrastrukturdiensten. Alle diese Komponenten wirken dabei zusammen, um die Sicherheit von Daten, Infrastruktur und Anwendungen zu gewährleisten. Diese Sicherheitsmaßnahmen schützen eine Cloud-Computing-Umgebung vor externen und internen Bedrohungen und Schwachstellen in Bezug auf die Cybersicherheit.

Warum ist die Cloud-Sicherheit so wichtig?

Unternehmen beschleunigen derzeit ihre Initiativen zum digitalen Wandel (DX), rüsten mit Hochdruck ihre Betriebsabläufe um und revolutionieren ganze Geschäftsmodelle mithilfe von Cloud-Services. Diese Einführung der Cloud-Technologie auf breiter Ebene eröffnet aber auch neue Möglichkeiten für Kriminelle zum Cyberbetrug. Da Unternehmen ihre Abläufe möglichst schnell digital transformieren wollen, werden wirksame Sicherheitskontrollen oft vernachlässigt. Firmen verzichten oft auf die Anwendung bewährter Best Practices und machen es so schwer – wenn nicht gar unmöglich –, Risiken genau zu bewerten und zu minimieren. Wenn sich Unternehmen an kontinuierliche Veränderungen anpassen und mit Hochdruck Prozesse in die Cloud verlagern, müssen sie dabei auch divergierende Perspektiven und Zielsetzungen zu einer kohärenten Strategie vereinheitlichen. Firmen, welche die Reise in die Cloud als Chance nutzen, um proaktiv eine Security-First-Kultur zu etablieren, müssen ein Gleichgewicht zwischen den Nutzungsmöglichkeiten von Cloud-Services und dem Schutz sensibler Transaktionen und Daten finden.

Oracle Cloud Guard und Security Zones schützen Oracle Cloud Infrastructure (1:44)

Vorteile der Cloud-Sicherheit

  • Nutzen Sie künstliche Intelligenz (KI) und maschinelles Lernen (ML), um sich automatisch an Sicherheitsbedrohungen anzupassen und diesen zu begegnen.
  • Verwenden Sie autonome Funktionen, um Sicherheitsreaktionen zu skalieren, Risiken zu beseitigen und Fehler zu beheben
  • Schützen Sie proaktiv Daten durch Zugriffskontrollen, managen Sie Nutzerrisiken und -visibilität und stellen Sie Tools für die Identifikation und Klassifizierung bereit
  • Setzen Sie das Cloud-Modell für eine geteilte Sicherheitsverantwortung um, um eine bewusste Abdeckung der Sicherheitsaktivitäten zwischen dem Kunden und dem Cloud Service Provider zu gewährleisten
  • Lassen Sie im Rahmen eines Security-First-Ansatzes die Sicherheit in das Design der Architektur einfließen

Cloud-Sicherheit – Was sind einige der Schlüsseltechnologien?

Die Cloud-Sicherheit bietet Unternehmen einen Ansatz, um Sicherheitsbestimmungen zu erfüllen und sicherzustellen, dass die gesetzlichen Compliance-Anforderungen eingehalten werden. Eine effektive Cloud-Sicherheit erfordert mehrere Verteidigungsebenen im Cloud-Technologie-Stack. Diese bestehen aus:

  • Vorbeugenden Kontrollen, die darauf ausgelegt sind, einen autorisierten Zugriff auf vertrauliche Systeme und Daten zu blockieren
  • Detektionskontrollen, die dazu dienen, nicht autorisierte System- und Datenzugriffe oder -änderungen durch Prüfungen, Überwachung und Berichterstellung aufzudecken
  • Automatisierte Kontrollen, die entwickelt wurden, um sowohl regelmäßige wie auch kritische Sicherheitsupdates zu verhindern, zu erkennen und darauf zu reagieren
  • Administrationskontrollen, deren Aufgabe die Berücksichtigung von Sicherheitsrichtlinien, -standards, -praktiken und -verfahren ist

Maschinelles Lernen und künstliche Intelligenz erweitern die kontextbezogenen Erkenntnistechnologien über ein Cloud-Sicherheitsportfolio hinweg. Die Cloud-Sicherheit bietet Unternehmen Schutz über IaaS, PaaS, und SaaS hinweg und erweitert die Sicherheit auf die Netzwerk-, Hardware-, Chip-, Betriebssystems-, Storage- und Anwendungsebenen.

Worum handelt es sich bei dem Modell der geteilten Verantwortung für die Cloud-Sicherheit?

Im Rahmen der Cloud-Sicherheit wird Sicherheitsverantwortung zwischen dem Cloud-Provider und dem Kunden aufgeteilt. Das Cloud-Modell für die gemeinsame Sicherheitsverantwortung ist ein grundlegendes Konstrukt der Cloud-Sicherheit und des Risikomanagements und dient der Umsetzung der Arbeitsteilung zwischen dem Cloud Service Provider und dem Abonnenten des Dienstes. Ein klares Verständnis des Modells der gemeinsamen Sicherheitsverantwortung bei allen Arten von Cloud-Services ist für Cloud-Sicherheitsprogramme von entscheidender Bedeutung. Leider handelt es sich bei dem Modell der gemeinsamen Sicherheitsverantwortung auch um eines der am wenigsten verstandenen Sicherheitskonzepte in der Cloud. Tatsächlich verstehen nur 8 Prozent der CISOs wirklich ihre Rolle bei der Sicherung von SaaS im Vergleich zu der des Cloud Service Providers (CSP). Einfach ausgedrückt umreißt das Modell der gemeinsamen Sicherheitsverantwortung den Verantwortungsbereich des Cloud Service Providers im Hinblick auf die Aufrechterhaltung der Sicherheit und Verfügbarkeit des Dienstes und den Verantwortungsbereich des Kunden in Bezug auf die Gewährleistung einer sicheren Nutzung des Dienstes. Es legt auch fest, wo beide Seiten eine bestimmte Aufgabe gemeinsam wahrnehmen müssen.

Unternehmen müssen ihre Verantwortlichkeiten verstehen. Ein Versäumnis, Daten angemessen zu schützen, kann schwerwiegende und kostspielige Folgen haben. Viele Unternehmen, bei denen es zu Verstößen gegen die Sicherheit kommt, sind möglicherweise nicht in der Lage, die finanziellen Konsequenzen zu bewältigen. Selbst bei großen Unternehmen fallen dadurch möglicherweise erhebliche finanzielle Einbußen an. Der Zweck eines Modells für die gemeinsame Sicherheitsverantwortung besteht darin, Flexibilität mit integrierter Sicherheit zu bieten, sodass eine schnelle Bereitstellung möglich ist. Daher müssen Unternehmen ihre Verantwortlichkeiten für die Cloud-Sicherheit verstehen – im Allgemeinen als Sicherheit „der“ Cloud im Vergleich zur Sicherheit „in der“ Cloud bezeichnet.

Welche anderen wichtigen Anforderungen gibt es, um die Sicherheit von Cloud-Daten zu gewährleisten?

Heutzutage steht Unternehmen eine breite Palette an Tools für die Cloud-Sicherheit zur Verfügung, um ihre Umgebungen beim Verschieben von Workloads und Daten in die Cloud zu schützen. Allerdings beinhalten einige dieser Tools maßgeschneiderte Anweisungen und werden als individuelle Dienstleistungen angeboten. Von Cloud-Nutzern und -Administratoren wird erwartet, dass sie wissen, wie Cloud-Sicherheitsdienste funktionieren, wie man sie korrekt konfiguriert und wie ihre Cloud-Bereitstellungen verwaltet werden müssen. Es stehen zwar eine Vielzahl an Sicherheitsoptionen zur Verfügung, aber diese lassen sich oft nur umständlich einrichten, sodass sich leicht Fehler dabei einschleichen können. Darüber hinaus belastet der endlose Kreislauf aus Phishing, Malware, zunehmendem Cyberbetrug und einer Reihe falsch konfigurierter Cloud-Services die bereits stark beanspruchten Cybersicherheitsprogramme noch weiter. Dies hat dazu geführt, dass es bei Unternehmen zu Verletzungen der Datensicherheit und infolgedessen zu Markenschäden, Wiederherstellungskosten und Geldstrafen kam. Im Folgenden sind einige wichtige Anforderungen aufgeführt, um die Sicherheit von Cloud-Daten zu gewährleisten:

  • Geteilte Sicherheitsverantwortung und gegenseitiges Vertrauen: Vertrauen ist bei der Auswahl eines Cloud-Partners von entscheidender Bedeutung, um zu gewährleisten, dass dieser seine Verpflichtungen im Rahmen des gemeinsamen Sicherheitsmodells erfüllt. Unternehmen müssen ein klares Verständnis der Rollen und Verantwortlichkeiten haben. Darüber hinaus benötigen sie auch Zugang zu unabhängigen Sicherheitsüberprüfungen und -bescheinigungen durch Dritte.
  • Automatisierung und maschinelles Lernen: Cloud-Bedrohungen bewegen sich mit Maschinengeschwindigkeit, während traditionelle Unternehmenssicherheit mit menschlicher Geschwindigkeit analysiert und reagiert. Deswegen muss die moderne Sicherheit in Cloud-Umgebungen die Erkennung von Bedrohungen und die Reaktion darauf automatisieren. Technisch ausgereifte Bedrohungen erfordern ebenso ausgefeilte Sicherheitslösungen mit maschinellem Lernen. Nur so lässt sich eine zuverlässige Prognose von Bedrohungen sowie ihre Prävention und Erkennung und eine angemessene Reaktion sicherstellen.
  • Defense-in-Depth: Mehrere Sicherheitsebenen im gesamten Technologie-Stack müssen präventive, detektive und administrative Kontrollen für die richtigen Personen, Prozesse und Technologien umfassen, um die physischen Data Center der Cloud-Provider zu schützen.
  • Identitätsverwaltung: Da mobile Geräte, Apps und Benutzer-Personas allgegenwärtiger werden, ist die Identität zum neuen Perimeter geworden. Die Kontrolle von Zugriffen und Berechtigungen in der Cloud und On-Premises anhand sicherer Anmeldeinformationen ist von entscheidender Bedeutung.
  • Sichtbarkeit: Ein Cloud Access Security Broker und eine Lösung zur Verwaltung des Cloud-Sicherheitsstatus erweitern die Transparenz und Kontrolle über die gesamte Cloud-Umgebung eines Unternehmens.
  • Kontinuierliche Compliance: Die Einhaltung von Vorschriften ist nicht optional. Außerdem sind Compliance und Sicherheit nicht dasselbe. Bei Unternehmen kann es zu Compliance-Verstößen kommen, ohne dass Sicherheitsverletzungen auftreten, z. B. aufgrund von Konfigurationsabweichungen oder Fehlern. Für ein Unternehmen ist es entscheidend, über eine Cloud-Management-Lösung zu verfügen, die umfassende, zeitnahe und umsetzbare Compliance-bezogene Daten über seine gesamte Cloud-Umgebung hinweg bereitstellt.
  • Standardmäßige Sicherheit: Sicherheitskontrollen sollten standardmäßig vom Cloud-Provider aktiviert werden, anstatt es den Unternehmen zu überlassen, an die Sicherheitsfunktionen zu denken. Nicht jeder besitzt ein fundiertes Verständnis für die verschiedenen Sicherheitskontrollen und wie sie zusammenarbeiten müssen, sodass Risiken minimiert und eine vollständige Sicherheitslage implementiert werden. Beispielsweise sollte die Datenverschlüsselung standardmäßig aktiviert sein. Konsistente Datenschutzkontrollen und -richtlinien müssen über alle Clouds hinweg eingehalten werden.
  • Überwachung und Migration: Sicherheitsrichtlinien für Cloud-Mandanten und Compartments sollten eingerichtet und durchgesetzt werden, damit Administratoren Workloads sichern können. Eine einheitliche Ansicht der Cloud-Sicherheitslage über die Cloud-Mandanten hinweg ist ebenfalls notwendig, um falsch konfigurierte Ressourcen und unsichere Aktivitäten zwischen Mandanten zu erkennen. Außerdem bietet sie Sicherheitsadministratoren Visibilität, um Sicherheitsprobleme in der Cloud zu untersuchen und zu lösen.
  • Aufgabentrennung und Zugriff mit den geringsten Berechtigungen: Die Prinzipien der Aufgabentrennung und Zugriff mit den geringsten Berechtigungen sind Best Practices für die Sicherheit, die in allen Cloud-Umgebungen implementiert werden sollten. Dadurch wird sichergestellt, dass Einzelpersonen keine übermäßigen Administratorrechte haben und ohne zusätzliche Autorisierung nicht auf sensible Daten zugreifen können.
Webcast: Cloud Guard und Security Zones (21:37)

Was sieht die Zukunft der Cloud-Sicherheit aus?

Da die Nutzung von Clouds im Zuge des digitalen Wandels immer weiter zunimmt, müssen Unternehmen die Komplexität bei der Sicherung ihrer Cloud-Umgebungen vorhersehen und steuern. Es ist von wesentlicher Bedeutung, einen Cloud-Provider auszuwählen, bei dem Sicherheit automatisch über den gesamten Cloud-Stack (IaaS, PaaS, SaaS) integriert wird. Desweiteren muss im Hinblick auf die Zukunft der Cloud-Sicherheit beachtet werden:

  • Sicherheit der Cloud-Infrastruktur: Schützen Sie Workloads mit einem Security-First-Ansatz für Rechenressourcen, Netzwerk und Storage der Cloud-Infrastruktur – beginnend mit der Architektur. Nutzen Sie wesentliche Sicherheitsdienste, um die erforderlichen Sicherheitsniveaus für Ihre geschäftskritischsten Workloads zu gewährleisten.
  • Database Cloud-Sicherheit:: Reduzieren Sie das Risiko einer Datenschutzverletzung und beschleunigen Sie die Compliance in der Cloud. Führen Sie Datenbanksicherheitslösungen ein, die Verschlüsselung, Schlüsselverwaltung, Datenmaskierung, privilegierte Zugriffskontrollen für Nutzer, Aktivitätsüberwachung und Auditing umfassen.
  • Sicherheit von Cloud-Anwendungen: Der Schutz kritischer Anwendungen vor Betrug und Missbrauch ist für den Schutz der unternehmenskritischen Daten Ihres Unternehmens unerlässlich. Fein abgestufte Zugriffskontrollen, Sichtbarkeit und Überwachung sind entscheidende Komponenten der heutigen mehrschichtigen Abwehr.
  • Unternehmenssicherheit und Datenschutz: Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Systeme, die in der Cloud gehostet werden, unabhängig davon, welches Cloud-Produkt Sie wählen.
  • Advanced Customer Service: Beim Übergang zu Cloud- oder Multicloud-Umgebungen stehen Sicherheitsteams oft vor dem Problem einer vergrößerten Angriffsfläche, einer Alarmüberlastung und eines Mangels an ausreichender Kompetenz im Bereich der Cybersicherheit. Führen Sie die Advanced Services Ihres Cloud Service Providers ein, um diese Herausforderungen zu bewältigen.
  • Identitäts- und Zugriffsverwaltung (IAM): Kontrollieren Sie, wer Zugriff auf Ihre Daten hat, welche Art von Zugriff sie haben und auf welche spezifischen Ressourcen, indem Sie sichere Anmeldeinformationen verwenden, unabhängig davon, ob die Daten in der Cloud oder On-Premises gehostet sind.

  1. Bericht von Oracle und KPMG zu Cloud-Bedrohungen (PDF)
  2. Technischer Leitfaden: Sicherung der Oracle Database (PDF)