Was bedeutet Cloud-Security?

Cloud-Security umfasst die erforderlichen Prozesse, Strategien und Tools für den Schutz, die Sicherung und die Risikominderung im Zusammenhang mit der Cloud-Computing-Nutzung einer Organisation. Heutzutage verwenden die meisten Organisationen Cloud-basierte Dienste, wie etwa Software und Infrastrukturprodukte. Daher ist Cloud-Security eine der obersten Prioritäten.

Wenn Organisationen die Cloud nutzen, übertragen sie Daten über das Internet und speichern sie in der Cloud. Dies ist zwar hilfreich im Hinblick auf Leistung und Zusammenarbeit, führt jedoch auch zu Sicherheitsrisiken, die berücksichtigt werden müssen.

Cloud-Computing bedeutet, dass Daten über das Internet freigegeben und gespeichert werden. Anstatt Informationen und Daten auf einer Festplatte oder auf lokalen Servern zu speichern, werden beim Cloud-Computing Netzwerke und Dienste eingesetzt, um die Daten online zu verwalten und von jedem beliebigen Ort mit einer Internetverbindung erreichbar zu machen.

Früher wurden persönliche Fotos, Dokumente oder Musikdateien oft auf externen Festplatten oder USB-Sticks gespeichert. Heutzutage werden diese Daten in einem Cloud-Speicher abgelegt und gesichert. Analog dazu haben viele Unternehmen ihre Daten ebenfalls von lokalen Servern in einen Cloud-Speicher verschoben. Cloud-Technologien für Verbraucher sind inzwischen völlig alltäglich.

Immer mehr Unternehmen und Organisationen nutzen Cloud-Computing und Cloud-Speicher, teils sogar für ihren gesamten Datenbestand. Diese Technologie eröffnet zahlreiche neue Möglichkeiten im Bereich der Anwendungsentwicklung. Sie ist kosteneffektiv, fördert Remote-Arbeit und bietet Flexibilität für Produkt-Deployments.

Beim Cloud-Computing müssen wie bei allen Arten von Datenspeichern bestimmte Sicherheitsrisiken berücksichtigt werden. Organisationen, die Cloud-Umgebungen nutzen, arbeiten meistens mit externen Cloud-Anbietern zusammen. Dies bedeutet, dass vertrauliche Daten einem externen Unternehmen anvertraut werden.

Organisationen sollten ihre Sicherheitsmaßnahmen überprüfen, bevor sie Daten in der Cloud speichern. Es gibt verschiedene Arten von Cloud-Computing, jeweils mit eigenen Risiken und Verantwortlichkeiten für Nutzer und Cloud-Anbieter. Ihre Cloud-Sicherheitsmaßnahmen sollten nach Möglichkeit eng mit Ihren vorhandenen Prozeduren, Richtlinien und Technologien integriert werden.

Es gibt drei grundlegende Arten von Cloud-Computing. Jede dieser Arten bietet einzigartige Funktionen, um die Anforderungen bestimmter Anwendungsfälle zu erfüllen. Je nachdem, wie Sie diese Funktionen nutzen, sollten Sie sich darüber im Klaren sein, dass kein Cloud-Anbieter eine völlig wartungsfreie Lösung anbietet. Sie sind weiterhin verantwortlich für die Datensicherheit, den Zugriff und den Schutz von Kundendaten.

Software as a Service (SaaS)

SaaS oder auch Software as a Service ist ein beliebtes und häufig eingesetztes Cloud-Dienstmodell. SaaS bedeutet, dass externe Cloud-Anbieter ein Produkt für Endnutzer erstellen und lizenzieren.

Tools wie Google Workspace und Microsoft 365 sind Beispiele für SaaS-Cloud-Dienste. Anstatt eigene Produktivitätsanwendungen zu entwickeln, können Sie die Produkte von Microsoft oder Google über deren Cloud-Plattform nutzen.

Infrastructure as a Service (IaaS)

Infrastructure as a Service (IaaS) bietet Organisationen die Möglichkeit, ihre Dateninfrastruktur in der Cloud anstelle von lokal zu verwalten. Organisationen können also mit einem externen IaaS-Anbieter zusammenarbeiten, um ihre Daten in der Cloud-Umgebung zu nutzen und zu bearbeiten. Die Art der Nutzung hängt von den Anforderungen der Nutzer ab.

Einer der wichtigsten Vorteile von IaaS ist die Tatsache, dass Sie keine Server kaufen und verwalten müssen. Der Cloud-Anbieter nimmt Ihnen diese Tätigkeiten ab und berechnet Ihnen eine Gebühr für den Zugriff. Amazon Web Services (AWS), Microsoft Azure und Google Cloud sind einige Beispiele für beliebte IaaS-Anbieter.

Platform as a Service (PaaS)

Unternehmen, die Anwendungen entwickeln und erstellen, nutzen oft einen Cloud-Dienst, den man Platform as a Service (PaaS) nennt. Diese Cloud-Technologie liefert Organisationen die notwendigen Tools, um Anwendungen in einer Cloud-Umgebung bereitzustellen.

Der Cloud-Anbieter ist für die Verwaltung der Infrastruktur verantwortlich, während der Kunde die Anwendung entwickelt.

Cloud-Umgebungen können verschiedene Deployment-Typen verwenden. Der Deployment-Typ legt fest, wie ein Unternehmen auf die Cloud zugreift und die enthaltenen Daten verwendet. Jeder Typ bietet eigene Merkmale, und Sie sollten gemeinsam mit Ihrem Cloud-Anbieter den optimalen Typ für Ihre Organisation ermitteln.

Öffentliche Cloud

Öffentliche Cloud-Modelle basieren auf dem Internet und sind gebührenpflichtig. Der Cloud-Anbieter ist für alle Aspekte der Diensterbringung zuständig. Öffentliche Cloud-Dienste sind für alle Arten von Nutzern verfügbar. Beispiele für solche Dienste sind Google Workspace (oder Google Photos für Verbraucher). Tausende von Nutzern verwenden öffentliche Clouds zu verschiedensten Zwecken.

Private Cloud

Eine private Cloud wird speziell für ein Unternehmen und dessen Daten erstellt. Private Clouds können von einer Organisation oder einem externen Cloud-Anbieter lokal erstellt und verwaltet werden. Mit einer privaten Cloud erhalten Unternehmen mehr Kontrolle über ihre Daten und mehr Flexibilität für Änderungen. Außerdem können nur zur Organisation gehörende Personen auf den Dienst zugreifen.

Hybrid-Cloud

Hybrid-Cloud-Deployments nutzen sowohl lokale Rechenzentren als auch Cloud-Umgebungen, um Informationen zu verwalten. Diese Option eignet sich hervorragend für Unternehmen, die mehr Kapazität benötigen als ihre lokalen Server bereitstellen können. Außerdem können Organisationen auf diese Weise ihr Datenhosting diversifizieren.

Multi-Cloud

Ein Multi-Cloud-Deployment verwendet zwei oder mehr Cloud-Dienste und kann eine Kombination aus öffentlichen und privaten Cloud-Umgebungen enthalten. Diese Variante bietet Organisationen zusätzliche Flexibilität beim Erstellen und Veröffentlichen von Anwendungen.

Hyperscaler

Der Geschäftsbetrieb in Unternehmen ist oft sehr dynamisch (z. B. ein deutlicher Anstieg des E-Commerce-Webdatenverkehrs in der Vorweihnachtszeit) und erfordert schnelle und umfangreiche Skalierungsmöglichkeiten. Hyperscale-Cloud-Anbieter nutzen Multi-Mandanten-Plattformen, um Skalierungsfunktionen bereitzustellen, mit denen Unternehmen ihre Datenzugriffsanforderungen erfüllen können.

Laut einer Gartner-Prognose¹ wird bis 2025 der Kunde an 99 % aller Cloud-Ausfälle schuld sein. Für Organisationen, die vertrauliche Daten in der Cloud schützen, kommt es daher auf die richtige Strategie und die richtigen Ressourcen an.

Laut dem Global Threat Report der Elastic Security Labs sind die häufigsten Ursachen für Bedrohungen im Zusammenhang mit der Cloud bei den drei größten Anbietern – Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure – unter anderem gestohlene Zugriffstoken, Brute-Force-Angriffe und Kontomanipulationen.

Cloud-Speicher werden immer selbstverständlicher eingesetzt. Daher müssen sich die Nutzer unbedingt mit dem Thema Cloud-Security auseinandersetzen. Diese Umstellung kann sehr tiefgreifend sein, insbesondere falls das Unternehmen bisher eigene Server und Netzwerke verwendet hat.

Studien haben gezeigt, dass zahlreiche Unternehmen im Begriff sind, die Cloud als primäre Ressource für ihre Informationsverwaltung zu nutzen. Genauer gesagt sind 85 % aller Organisationen dabei, ein Cloud-First-Modell einzuführen.

Im Verlauf dieser Umstellung müssen sich die Unternehmen mit den Anfälligkeiten und Bedrohungen im Zusammenhang mit Cloud-Speichermodellen auseinandersetzen. Zusätzlich zu diesen Risiken muss auch die Verantwortung zwischen Cloud-Anbietern und ihren Kunden aufgeteilt werden.

Eine der Herausforderungen beim Aufbau einer effektiven Cloud-Security ist der Mangel an Einblicken, die aus Cloud-basierten Apps, Diensten usw. erfasst und analysiert werden können. Sicherheitsteams können nur Eigenschaften schützen, die für sie sichtbar sind.

Unternehmen müssen wissen, welche Maßnahmen zum Schutz der Daten und zur Risikoverwaltung ergriffen werden, bevor sie ihre Anwendungen bereitstellen und entscheiden, in welchem Umfang sie Cloud-Computing nutzen werden. Datenpannen oder Störungen der Cloud-Dienste können das Kundenerlebnis beeinträchtigen und im schlimmsten Fall dazu führen, dass Unternehmens- oder Kundendaten offengelegt werden.

Viele Branchen müssen beim Speichern von Kundendaten gesetzliche Anforderungen erfüllen. Daher ist es wichtig, diese Vorgaben bei der Implementierung von Cloud-Security-Maßnahmen zu berücksichtigen.

Cloud-Security ist ein fortlaufender Prozess zum Schutz der Daten. Wenn eine Organisation komplexe Cloud-Netzwerke implementiert, wird die Sicherheit durch die entstandene Fragmentierung oft beeinträchtigt.

Der erste Schritt zum Schutz von Cloud-Umgebungen ist die Zugriffssteuerung. Es ist wichtig zu wissen, wer mit welchen Geräten auf welche Informationen zugreifen darf, um unbefugte Zugriffe zu verhindern.

Unternehmen können Technologien für Workload-Überwachung und Bedrohungsschutz einsetzen, um Regeln zu erstellen, die bei potenziellen Bedrohungen Alarmmeldungen auslösen. Anhand von Geräte- und Benutzereinblicken können Organisationen Zugriffsprobleme analysieren und herausfinden, welche Ereignisse möglicherweise zu einer Datenpanne geführt haben.

Tools zur Verwaltung der Cloud-Sicherheitshaltung sind entscheidend für die Cloud-Security. Mit der richtigen Cloud-Sicherheitshaltung können Unternehmen Probleme aufdecken, die durch Fehlkonfigurationen verursacht wurden.

Cloud-Dienstanbieter und Kunde teilen die Verantwortung für die Cloud-Security untereinander auf. Alle Beteiligten müssen ihre Rolle bei der Verwaltung und beim Schutz der Daten kennen.

Jede Art von Datenspeicher ist mit gewissen Risiken verbunden, aber bei der Nutzung externer Dienste entstehen einzigartige Herausforderungen. Beispielsweise besteht die Gefahr von Datenpannen oder Angriffen, bei denen die Daten der Organisation kompromittiert werden können. Wenn der Dienst des Cloud-Anbieters ausfällt, sind vermutlich außerdem interne Anwendungen und möglicherweise auch Anwendungen für Kunden betroffen, was zu Ertragsausfällen führen oder die Anfälligkeit für Cyberbedrohungen erhöhen kann.

Viele der Risiken im Zusammenhang mit der Cloud-Security ähneln den Risiken herkömmlicher Speichermodelle. Es besteht die Gefahr, dass Mitarbeiter versehentlich Daten offenlegen oder auf Phishing oder Malware hereinfallen. Weitere mögliche Probleme umfassen verlorene Daten, unzureichenden Schutz der Daten, gestohlene Anmeldedaten sowie einen allgemeinen Mangel an Transparenz, der einen effektiven Schutz erschwert. Cloud-Speicher ist oft schwer nachzuverfolgen und zu überwachen, insbesondere im Fall von stark verteilten Belegschaften. Compliance- und gesetzliche Anforderungen können zusätzliche Probleme mit sich bringen, insbesondere in der Finanzbranche.

Unternehmen, die einen externen Cloud-Anbieter einsetzen, sind damit nicht vom Schutz ihrer internen und Kundendaten entbunden. Alle Arten von Cloud-Diensten sind mit unterschiedlichen Risiken verbunden. In praktisch allen Fällen sind die Unternehmen letztendlich weiterhin für ihre Daten verantwortlich, egal welche Art von Cloud-Dienst sie einsetzen.

Mit SaaS-Tools sind die Nutzer für die von ihnen genutzten Daten und für ihre Geräte verantwortlich. Wenn Sie SaaS einsetzen, sind Sie für die Datensicherheit der Quellen verantwortlich, die Sie in der Plattform erstellen. Außerdem verlassen Sie sich auf die Sicherheitsmaßnahmen des Dienstanbieters zum Schutz Ihrer Informationen, nachdem Sie diese in der Cloud bereitgestellt haben.

Unternehmen, die PaaS einsetzen, müssen ihre Benutzerzugriffe, ihre Daten und die von den Endnutzern verwendeten Tools schützen. Die Cloud-Anbieter sind verantwortlich für verschiedene Plattformelemente wie Gebäude, Middleware, Laufzeit und Core-Computing-Dienste. Beim PaaS-Modell werden Ihre Anwendungen vom Cloud-Dienst ausgeführt. Wenn der Cloud-Dienst ausfällt, sind Ihre Apps ebenfalls nicht mehr verfügbar.

Beim IaaS-Modell sind die Kunden für die Sicherheit aller Komponenten oberhalb der Betriebssystemebene zuständig, und der Cloud-Anbieter verwaltet das Infrastrukturnetzwerk.

1. Abwehrstrategien

   Jedes Unternehmen sollte bestimmte Abwehrstrategien und Tools zum Schutz der Cloud-Umgebung implementieren. Technologien für Workload-Überwachung und Bedrohungsschutz können mit Cloud-Netzwerken integriert werden, um Bedrohungen einzuschätzen, auf potenzielle Schwachstellen hinzuweisen und aufgetretene Probleme zu untersuchen.

2. Verschlüsselungstechnologien

   Verschlüsselungstechnologien und Verwaltungsmaßnahmen für Benutzerzugriffe sind Grundpfeiler der Datensicherheit. Vertrauliche Daten werden oft durch menschliches Versagen offengelegt. Wenn Sie wissen, wer Zugriff auf Ihre Daten hat, können Sie Bedrohungen und Datenpannen leichter identifizieren. Unternehmen sollten Multi-Faktor-Anmeldungen einsetzen, um ungebetenen Gästen den Zugriff zu erschweren.

3. Kontinuierliches Monitoring

   Mit Ressourcen, die ein kontinuierliches Monitoring Ihrer Cloud-Plattform ermöglichen, können Sie Schwachstellen in Ihrer Infrastruktur identifizieren und die notwendigen Schritte ergreifen, um Bedrohungen abzuwehren. Bei der Zusammenarbeit mit Cloud-Anbietern müssen Sie unbedingt darüber sprechen, wie Ihre vertraulichen Daten geschützt werden. Fragen Sie nach den eingesetzten Verschlüsselungs-Tools, Backup-Plänen und Protokollen, falls eine Sicherheitsverletzung auftritt.

4. Überwachung der Sicherheitshaltung

   Laut einer aktuellen Studie erwartet knapp die Hälfte (49 %) aller Organisationen bei der Einführung cloudnativer Technologien, dass im Verlauf der nächsten zwei Jahre Sicherheitsverletzungen durch Fehlkonfigurationen auftreten werden. Mit Tools für die Cloud-Sicherheitshaltung können Unternehmen ihre Cloud-Risiken analysieren.

   Manche Unternehmen legen Wert darauf, ein internes Cloud-Security-Team einzurichten. Cloud-Computing-Experten brauchen nicht unbedingt Coding-Kenntnisse für alle Cloud-Dienste. Organisationen, die PaaS-Anwendungen entwickeln möchten, brauchen vermutlich ein fachkundiges Team mit Coding-Kenntnissen.

1. Besserer Datenschutz

   Die Daten einer Organisation sind in der Cloud oft besser geschützt. Cloud-Anbieter haben die nötigen Tools und Ressourcen, um Bedrohungen im Gegensatz zum SOC der Organisation rund um die Uhr zu überwachen. Die inhärent sicheren Zugriffskontrollen und Verschlüsselungsmaßnahmen von Cloud-Anbietern stärken die Sicherheitshaltung der Organisation gegenüber unbefugten Zugriffen zusätzlich.

2. Flexibilität und Kostenvorteile

   Die Sicherheitsvorteile von Cloud-Anbietern sind nicht nur für Großunternehmen erschwinglich. Der günstige Preis ist eines der wichtigsten Merkmale von Cloud-Umgebungen. Unternehmen aller Größen können einen Anbieter finden, der ihre Sicherheitsanforderungen erfüllt und ein Produkt für die Speicherung und Verwaltung ihrer Daten mit einem Pay-as-you-Grow-Lizenzierungsmodell anbietet.

3. Transparenz und Kontrolle

   Die Unternehmen geben zwar einen Teil der Kontrolle über ihre Daten auf, erhalten dafür jedoch mehr Einblicke in die Vorgänge in ihrem Netzwerk. Robuste Überwachungs-Tools und -Anwendungen liefern Unternehmen Einblicke darin, was mit ihren Daten geschieht und wo potenzielle Probleme entstehen können.

4. Nutzung interner Fähigkeiten

   Organisationen, die ihre Cloud-Security-Mitarbeiter weiterbilden möchten, haben zahlreiche Kurse und Zertifizierungen zur Auswahl. Mit gut ausgewählten Zertifizierungen zum Thema Cloud-Security können die Mitarbeiter ihre Wissensbasis erweitern, insbesondere im Hinblick auf spezielle Cloud-Dienste.

   Die großen Cloud-Dienstanbieter bieten eigene Kurse und Zertifizierungen an, wie etwa Google Professional Cloud Security Engineer oder AWS Certified Security. Daneben gibt es mitgliedschaftsbasierte Organisationen, die Schulungen und Zertifizierungen anbieten, wie etwa Certified Cloud Security Professional (CCSP) oder Certificate of Cloud Security Knowledge (CCSK).

5. Verfügbarkeit

   Jede Minute, die ein Dienst nicht verfügbar ist, bedeutet für die Organisation Gelegenheitseinbußen durch entgangene Verkäufe, potenzielle Kundenabwanderung und Reputationsverluste. Mit einer umfassenden Cloud-Security-Lösung können Unternehmen sicherstellen, dass sie vor DDoS-Angriffen geschützt sind und dass Lastspitzen im Datenverkehr von einer globalen Edge-Server-Infrastruktur angemessen bewältigt werden.

Elastic Security for Cloud minimiert Ihre Cloud-Risiken mit Funktionen zur Verwaltung Ihrer Sicherheitshaltung und zum Schutz Ihrer Cloud-Workloads.

Neben diesen Tools bietet Elastic Security einzigartige Regeln und Machine-Learning-Funktionen, die unbekannte Bedrohungen identifizieren und oft übersehene Einblicke liefern. Unternehmen, die auf der Suche nach einem Cloud-Security-Produkt sind, erhalten mit Elastic einen vollständig integrierten Sicherheitsstack, der den Tool- und Anbieterwildwuchs minimiert.

Testen Sie Elastic Security kostenlos und finden Sie heraus, wie Sie Ihre Cloud-Security vereinfachen können.

• Cloud mit Elastic schützen
• Cloud-Security-Lösungen
• Webinar: Einführung in Elastic Security for Cloud

¹ Gartner – https://www.gartner.com/smarterwithgartner/is-the-cloud-secure