Cloud

Multi-Cloud Computing – Was sind die Sicherheitsrisiken?

Cloud-Sicherheit ist eine Strategie und ein Konzept zum Schutz von Cloud-Computing-Umgebungen, Anwendungen und Daten.

Bevor wir uns mit der Multi-Cloud Sicherheit befassen, lass uns überlegen, was Sicherheit ist und warum sie wichtig ist. Eine der einfachsten Arten, Sicherheit zu beschreiben, ist, dass sie im Grunde eine Versicherung ist. Das ist bis zu einem gewissen Punkt wahr.

Eine Versicherung ist eine dieser Dienstleistungen, die man kauft, in der Hoffnung, dass man sie nie in Anspruch nehmen muss.

Genauso implementieren Organisationen selten Sicherheitsprogramme, weil sie es wollen, sondern eher in Erwartung eines Einbruchs. Der springende Punkt ist, dass ein richtiges Sicherheitsprogramm proaktiv ist. Es hilft Organisationen aktiv, Bedrohungen für ihre Daten, Mitarbeiter und ihren Ruf zu vermeiden.

Eine Organisation, die die Sicherheit ernst nimmt, kann sie in einen Vermögenswert verwandeln, der die Geschäftsentwicklung unterstützt. Das bedeutet, sie als mehr als nur einen Teil des Risikomanagement-Portfolios zu sehen.

Jeder neue Service bringt neue Herausforderungen mit sich, sowohl in Bezug auf die Integration als auch auf die Sicherheit. Nicht zu vergessen, das es nur die Cloud-Landschaft in einem singulären Sinne ist.

Was ist mit Organisationen mit vielen öffentlichen, privaten und/oder hybriden Clouds? Das Aufkommen von Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) hat in diesem Bereich eine große Auswahl geschaffen.

Risiken bei Data Management in der Multi-Cloud

IT-Sicherheitsexperten haben nur einen begrenzten Einfluss auf die Diskussion um die Datenintegrität. Aus diesem Grund müssen Unternehmen jeder Größe robuste Datenmanagement-Modelle und Richtlinien implementieren.

Data Management definiert genau, welche Daten eine Organisation hat, wie sie verwendet werden und wie sie verwaltet werden. Diese unternehmensweiten Rahmenwerke umreißen auch, in welchen Systemen und an welchen Orten die maßgeblichen Daten untergebracht sind. Außerdem wird festgelegt, wer Zugriff auf die Daten und andere Metaeigenschaften diese haben.

Verschiedene Abteilungen, die Daten unterschiedlich nutzen, können in ihrer Organisation Schaden anrichten, indem sie Entscheidungen auf der Grundlage unterschiedlicher Annahmen treffen. Die Sicherheitsrichtlinien und Frameworks, die du für dein Unternehmen mit einem Standort oder Mulit-Clouds erstellst, können nicht in einem Vakuum entwickelt werden.

Multi-Cloud Computing - Was sind die Sicherheitsrisiken?
Zu viele Menschen glauben, dass der Umzug in die Multi-Cloud sie von bestimmten Verpflichtungen wie Backups und Sicherheit entbindet.

Du musst eine breite Gruppe von Stakeholdern einbeziehen. Deine Sicherheitsrichtlinien werden sich mit diesen anderen Bemühungen überschneiden und sie sowohl informieren als auch von ihnen beeinflusst werden. Das Zugriffsmanagement ist einer der kritischsten Bereiche der Cloud-Sicherheit und Unternehmen müssen sehr sorgfältig planen, um eine solide Sicherheitslage zu gewährleisten.

Das bedeutet, dass, sobald eine Grenze durchbrochen wird, über einen Mitarbeiter mit einer niedrigeren Zugriffsstufe möglicherweise die Anmeldedaten von jemandem mit administrativem Zugriff erlangt werden.

Eine Vorsorge dagegen ist die Verwendung von Multi-Faktor-Authentifizierung. Diese Authentifizierungs-Apps für mobile Geräte werden immer mehr zum Einsatz kommen.

Um die Sicherheit deiner Infrastruktur und deiner Daten zu gewährleisten, ist es wichtig, dass du eine starke Rollenbasierte-Strategie (rollenbasierte Zugriffskontrolle) zusammen mit einem Verzeichnisdienst entwickelst, um den zentralisierten Zugriff zu verwalten. Erstelle Richtlinien, um sicherzustellen, dass deine Mitarbeiter den am wenigsten privilegierten Zugriff für das haben, worauf sie zugreifen müssen.

Erstelle bedarfsorientierte Zugriffsrichtlinien, so dass Mitarbeiter nur für eine begrenzte Zeit Zugriff auf bestimmte Ressourcen erhalten und der Zugriff nach einer bestimmten Dauer abläuft. Führe regelmäßige Audits auf vierteljährlicher oder jährlicher Basis durch, je nach deinen Geschäftsanforderungen, um sicherzustellen, dass nur „geprüfte“ Benutzer im System existieren.

Denke daran, dass die IT nicht mehr die volle Kontrolle über die Bereitstellung, das De-Provisioning und den Betrieb der Cloud-Infrastruktur hat. Dieser dezentralisierte Besitz hat die Komplexität für IT-Teams erhöht, um die Compliance- und Risikomanagement-Richtlinien bereitzustellen, die zum Schutz des Unternehmens erforderlich sind.

Die IT muss neue Wege finden, um weiche Kontrollen auszuüben, um so das Geschäft zu schützen, ohne dabei die Agilität zu behindern, die ihre Stakeholder jetzt von der Multi-Cloud erwarten.

Risiken bei einem Shared Security Modell

Wenn du in irgendeiner Form mit Daten arbeitest, hast du wahrscheinlich schon einmal jemanden sagen hören: „Sicherheit ist jedermanns Sache.“ Und um ehrlich zu sein, ist das eine wahre Aussage. Wir haben gerade festgestellt, wie wichtig der Einfluss eines Einzelnen sein kann, wenn es um Cloud-Sicherheit geht.

Adaptive Cybersecurity Systeme – So schützt du dich in Zukunft!
Adaptive Cybersecurity ist ein Sicherheitsmodell, bei dem die Überwachung von Bedrohungen kontinuierlich bleibt und sich verbessert.

Das wird in einer Gruppenumgebung noch exponentiell verstärkt. Damit ein Unternehmen, egal welcher Größe, gegen die wachsende Bedrohungslandschaft geschützt ist, muss jeder ein gewisses Maß an Achtsamkeit walten lassen und seinen Teil dazu beitragen, böse Akteure abzuwehren. Wie bei allen Dingen in der IT gibt es jedoch ein paar Nuancen mehr.

Verschiedene Menschen haben manchmal unterschiedliche Vorstellungen davon, wo die Grenze zwischen der Erledigung einer Aufgabe und der Gewährleistung von Sicherheit liegt. Zu viele Menschen glauben, dass der Umzug in die Multi-Cloud sie von bestimmten Verpflichtungen wie Backups und Sicherheit entbindet. Ihre Argumentation ist, dass der Cloud-Anbieter diese Funktionen übernimmt.

Das ist eine gefährliche Denkweise, die dich und dein Unternehmen angreifbar machen kann. In der Welt der Multi-Cloud bedeutet geteilte Verantwortung, dass deine Organisation die Sicherheitsverantwortung für bestimmte Aspekte der Umgebung behält, während der Cloud-Anbieter andere Aspekte übernimmt.

Der Anbieter stellt sicher, dass sein Service sicher ist. Der Anbieter stellt sicher, dass die Dienste, die du nutzt, geschützt sind, einschließlich der Hardware und der Software.

Du hingegen behältst die Verantwortung für die Anwendungen und Daten, die du in der Multi-Cloud betreibst, einschließlich der Sicherung der Betriebssysteme, Netzwerke und Firewalls, die deine Anwendungen unterstützen.

Kannst du dir das Chaos vorstellen, das entstehen würde, wenn große Public-Cloud-Anbieter gezwungen wären, alles zu kontrollieren, was Kunden tun, nur um sicherzustellen, dass es sicher bleibt? Der Cloud-Anbieter sichert, was er bereitstellt, doch für den Rest bist du verantwortlich.

Mathias Diwo

Mathias schreibt über transformative Technologien - von Cloud bis KI, von AR/VR bis 5G, den digitalen Arbeitsplatz, Management, Leadership und die Zukunft der Arbeit.

Ähnliche Beiträge

Schaltfläche "Zurück zum Anfang"