Erste Schritte bei der Entwicklung einer Cloud-Sicherheitsarchitektur

Sicherheitsfragen gehören zu den größten Bedenken bei der Migration in die Cloud. Und das ist ein vernünftiger Ansatz - die Cybersicherheit sollte nicht vernachlässigt werden. Schließlich überprüfen selbst Cloud-native Unternehmen regelmäßig ihre Sicherheitsvorkehrungen. Glücklicherweise ist die Cloud im Großen und Ganzen sicher. Im Jahr 2019 waren beispielsweise rund 90 % aller Cloud-basierten Sicherheitsprobleme nicht auf Cloud-Fehler selbst, sondern auf eine falsche Konfiguration zurückzuführen. Deshalb ist es so wichtig, eine kompetente Strategie für Ihre Cloud-Sicherheitsarchitektur zu entwickeln und dadurch unerwünschte Risiken zu vermeiden.

Große Plattformführer wie Amazon Web Services (AWS), Google Cloud Platform (GCP) oder Microsoft Azure unternehmen große Anstrengungen, um sicher zu bleiben und verschiedene Zertifizierungsstufen zu erfüllen. Infolgedessen liegt das Problem selten in der Technologie selbst - sondern in den darin enthaltenen Komponenten und Lösungen.

Damit Ihre Cloud-Bestrebungen reibungslos und sicher verlaufen, werden wir Ihnen in diesem Artikel die wichtigsten Elemente und Grundlagen der Cloud-Sicherheitsarchitektur vorstellen.

Was ist eine Cloud-Sicherheitsarchitektur?

Im weitesten Sinne geht es bei der Cloud-Sicherheit um den Schutz von Informationen, Daten, Anwendungen, Plattformen und der Infrastruktur, die innerhalb der Cloud betrieben werden oder existieren.

Die Cloud-Sicherheitsarchitektur ist der Ort, an dem Cloud-Sicherheit beginnt. Die Cloud-Sicherheitsarchitektur definiert die Sicherheitsebenen, das Design und die Struktur der Plattformen, der Infrastruktur, der Software, der Tools und der bewährten Verfahren, die für die Sicherheit der Cloud-Lösung sorgen.

Eine sichere Cloud beginnt mit einer Cloud-Sicherheitsarchitektur

Um Bedrohungen vorzubeugen und abzuschwächen, sollte ein Unternehmen zunächst seine aktuelle Cloud-Sicherheitslage verstehen und planen, welche Kontrollen und Sicherheitslösungen am sinnvollsten sind.

Die Entwicklung einer Strategie für die Cloud-Sicherheitsarchitektur sollte bereits in einem frühen Stadium des Designprozesses beginnen. Sie sollte ein integraler Bestandteil der Lösung sein, um die Effizienz zu maximieren. Leider kommt es regelmäßig vor, dass sich Cloud-Architekten hauptsächlich auf die Leistung konzentrieren und die Sicherheit erst später hinzufügen. Machen Sie nicht denselben Fehler. Behandeln Sie Cloud-Sicherheit als Priorität - und beginnen Sie mit der Arbeit an Ihrer Cloud-Sicherheitsarchitektur.

Schlüsselindikatoren für die Entwicklung eines sicheren Cloud-Speichers und -Systems

Die Entwicklung einer erfolgreichen Cloud-Sicherheitsarchitektur ermöglicht es Ihnen, die 3 Säulen der Cloud-Sicherheit zu stärken (oder überhaupt erst einmal einzurichten). Wenn Sie jede dieser Säulen verstehen, können Sie Ihre Cloud-Sicherheitsarchitektur mit einem strategischeren Überblick im Hinterkopf planen.

Diese Säulen, wie von Intel definiert, sind:

• Vertraulichkeit. Eine der wichtigsten Funktionen der Cloud-Sicherheit besteht darin, Ihre Daten geheim zu halten und für diejenigen unlesbar zu machen, die keinen Zugriff darauf haben sollten. Dabei kann es sich sowohl um Personen von außerhalb Ihres Unternehmens handeln - wie Angreifer - als auch um Personen innerhalb Ihres Unternehmens, die keine Berechtigung haben, bestimmte Informationen einzusehen.
• Integrität. Um die Sicherheit zu maximieren, sollten Ihre Systeme und Anwendungen genau so funktionieren, wie Sie es von ihnen erwarten. Das bedeutet, dass sie keine unerwarteten oder irreführenden Ausgaben produzieren sollten.
• Verfügbarkeit. Was oft übersehen wird, ist die Verfügbarkeit bei Denial-of-Service-Angriffen (DoS). Selbst wenn Angreifer nicht in der Lage sind, Ihre Daten zu sehen oder zu verändern, könnten sie sie dennoch für Sie oder Ihre Kunden unzugänglich machen - was zu großen Verlusten führen kann.

Grundsätze der Cloud-Sicherheitsarchitektur

Um ein Cloud-System mit solider Vertraulichkeit, Integrität und Verfügbarkeit zu schaffen, müssen Sie verschiedene Tools einrichten, die Ihre Systeme und Daten schützen. Darüber hinaus sollten Sie auch bestimmte Grundsätze befolgen, um sicherzustellen, dass Ihre Architektur gut durchdacht ist.

Dies beinhaltet:

• Sicherheitskontrollen. Sie werden sowohl durch Technologien als auch durch Prozesse definiert und umfassen Parameter und Richtlinien, die für Benutzer, Daten und die Infrastruktur implementiert werden, um die allgemeine Sicherheitslage zu verwalten.
• Grenzen des Vertrauens. Sie definieren das Vertrauen zwischen den verschiedenen Diensten und Komponenten, die in der Cloud eingesetzt werden.
• Token-Verwaltung. Es ermöglicht eine sichere Authentifizierung von Benutzern.
• Verschlüsselungsmethoden. Dazu gehören Algorithmen wie 128-Bit-AES, Triple DES, RSA oder Blowfish. Sie gewährleisten, dass die Daten im Ruhezustand und bei der Übertragung zwischen internen und externen Cloud-Verbindungspunkten sicher sind.
• Protokollierung von Sicherheitsereignissen. Damit werden alle wichtigen Sicherheitsereignisse erfasst, nach Prioritäten geordnet und an die Sicherheitsteams weitergeleitet.
• Standardschnittstellen und Sicherheitsprotokolle. Dazu gehören SSL, SFTP, SSH, OAuth, IPSEC und mehr.

Woher weiß man, welche Cloud-Sicherheitstools und -technologien die richtige Wahl sind?

Um die richtigen Tools und Technologien auszuwählen, sollten Sie in der Lage sein, deren Zweck und Besonderheiten klar zu definieren. Dann können Sie leichter beurteilen, ob die jeweilige Lösung effizient ist und ob sie richtig geplant wurde.

Das sollten Sie von Anfang an erkennen können:

1. Was die Rolle eines bestimmten Dienstes ist.
2. Wo wo sie sich befinden wird (öffentliche Cloud, vor Ort oder Drittanbieterdienst).
3. Welche Protokolle werden für den Zugriff auf den Dienst verwendet.
4. Was was der Dienst erhält und was von ihm erwartet wird.
5. Wer betreibt den Dienst.
6. Welche welche Arten der Kontrolle der Dienst erreicht.

Wenn Sie alle oben genannten Punkte definieren, können Sie feststellen, ob sie nützlich sind. Auf diese Weise vermeiden Sie leicht zu vermeidende Fehler und erhalten eine bessere Cloud-Sicherheitsarchitektur.

Beispiel - Cloud-Sicherheit in AWS: Die häufigsten Probleme

In einem unserer früheren Artikel sprach Michał Brygidyn - Cloud-Experte und White-Hat Hacker - ausführlich über die häufigsten Sicherheitsprobleme in der AWS-Cloud.

Und obwohl sich der Text auf AWS-Sicherheitsfragen konzentriert, kann dieser Überblick für jede Cloud-Plattform gelten - sei es Azure oder Google Cloud Platform. Die Technologien und Einzellösungen mögen sich ändern, aber die allgemeinen Grundsätze nicht.

Sehen Sie sich auch dieses Bonusvideo über die allgemeinen Grundsätze der Sicherheit Ihrer IT-Projekte an :

Unterschiedliche Cloud-Sicherheitsarchitekturen für unterschiedliche Zwecke - Saas, PaaS und IaaS

Schließlich gibt es, wie Sie wissen, 3 Haupttypen von Cloud Computing-Diensten. Diese Modelle sind Infrastruktur-as-a-Service (IaaS), Platforms-as-a-Service (Paas), und Software-as-a-Service (SaaS). Aus der IT-Perspektive wird die Einrichtung der optimalen Sicherheit für jedes dieser Modelle unterschiedlich sein.

IaaS Cloud Sicherheitsarchitektur

IaaS-Anbieter müssen sich auf Laufzeitverschlüsselung und Orchestrierungsfunktionen konzentrieren, die es den Kunden ermöglichen, die Schlüsselverschlüsselung für jede Anwendung, die sie in der Cloud nutzen, zu verwalten.

Eine solche Cloud-Sicherheitsarchitektur sollte/kann Endpunktschutz (EPP), einen Cloud Access Security Broker (CASB), eine Schwachstellenmanagementlösung, Zugriffsmanagement sowie Daten- und Netzwerkverschlüsselung umfassen.

PaaS Cloud Sicherheitsarchitektur

PaaS-Anbieter sollten auf die Nutzung durch mehrere Parteien achten und Vertrauen bei der Übertragung von Daten von und auf die Plattform schaffen.
Eine solche Architektur erfordert in der Regel sowohl Standardlösungen für die Cloud-Sicherheitsarchitektur als auch gemeinsame Lösungen, wie eine Cloud Workload Protection Platform (CWPP).

SaaS Cloud Sicherheitsarchitektur

Dieses Modell umfasst Produktivitätssoftware-Suiten und ist sowohl für geschäftliche als auch für private Zwecke beliebt. Es muss auf der Ebene des CSP gesichert werden. Da die Benutzer nur eine begrenzte Kontrolle über SaaS-Angebote haben, müssen sie sich bei ihren Sicherheitsaktivitäten an bewährte Verfahren halten. Dazu gehören beispielsweise die Verwendung sicherer Passwörter, Vorsicht und die Vermeidung von Betrug.
SaaS-Sicherheitskomponenten sollten Identitäts- und Zugriffsmanagement, Cloud Access Security Broker (CASB) und Datenschutz mit APIs, Proxies oder Gateways umfassen.

Zusammenfassung

Wie bereits in der Einleitung erwähnt, sind einige der größten Sicherheitsverletzungen auf Fehlkonfigurationen und unsachgemäße Zugriffspraktiken zurückzuführen. Was wie eine einfache Änderung aussehen mag, kann Sie für weitaus größere Angriffe und Konsequenzen anfällig machen.
Deshalb ist es so wichtig, eine angemessene Cloud-Sicherheitsarchitektur zu entwickeln, die alle grundlegenden Probleme und Fehlkonfigurationen berücksichtigt. Denn denken Sie daran - wenn sie gut eingerichtet ist, ist die Cloud unbestreitbar sehr sicher.

Quellen:
https://www.intel.co.uk/content/www/uk/en/cloud-computing/cloud-security-architecture.html
https://www.redhat.com/en/topics/cloud-computing/public-cloud-vs-private-cloud-and-hybrid-cloud
htps://www.guidepointsecurity.com/education-center/cloud-security-architecture/[:]