Warum ist Sicherheit bei Cloud-Speichern so wichtig?

Unter Cloud-Sicherheit versteht man alle zusammenhängenden Richtlinien, Tools, Prozesse und Mitarbeiter zum Schutz von Cloud-Computing-Umgebungen. Sie gilt für jeden Teil des Cloud-Computing-Stacks, von Netzwerken und Speicher (Cloud-Infrastruktur) bis hin zu Daten und Anwendungen.

Die Sicherheit von Cloud-Speichern hat einige zentrale Konzepte mit der herkömmlichen Cybersicherheit im Rechenzentrum gemeinsam, beinhaltet aber auch einzigartige Technologien und spezifische Best Practices. Letztere helfen, sensible Daten wie personenbezogene Daten (auch von Privatkunden) sicher aufzubewahren und bestimmte raffinierte Bedrohungen in der Cloud abzuwehren. Dazu unterstützen sie den Schutz eines schwindenden Netzwerkperimeters und die geeignete Aufteilung der Sicherheitsverantwortung auf Cloud Service Provider und ihre Kunden.

Weitere Cloud-Sicherheitsthemen:

Warum ist Cloud-Sicherheit wichtig?

Da Organisationen ihre Workloads immer mehr in Cloud-Computing-Umgebungen verlagern, kommt dem Schutz der Anwendungen und Kundendaten eine große Bedeutung zu. Übergeordnete Ziele der Cloud-Sicherheit:

  • Sicherstellen, dass Cloud-Daten, Nutzer und zugrunde liegende Systeme ausreichend vor Bedrohungen wie botgesteuerten verteilten Denial-of-Service-Angriffen (DDoS), Ausnutzung von API-Schwachstellen und Datenbeschädigung geschützt sind.
  • Unterstützung der Einhaltung von in Deutschland geltenden Bestimmungen und Datenschutzgesetzen wie der Datenschutzgrundverordnung (DSGVO), die z. B. regeln, wo Cloud-Daten gespeichert werden können und welches Datenschutzniveau Cloud Provider den Nutzern bieten müssen.
  • Bereitstellung von Einblicken in die gesamte Cloud-Umgebung, damit Sicherheitsteams nachvollziehen können, welche Anfragen über APIs und Benutzeroberflächen gestellt werden, und gleichzeitig in der Lage sind, zugehörige Analysen anzuzeigen.
  • Durchsetzung von Zugriffskontrollen und Authentifizierung für Cloud-Nutzer und ihre Geräte, unabhängig vom Standort – dies erfolgt oft über ein Zero-Trust-Sicherheitsmodell.
  • Zuweisung von Verantwortlichkeiten an Cloud Service Provider und Abonnenten, soweit dies für den Cloud-Service und die jeweiligen Bereitstellungsmodelle angemessen ist.

Cloud-Sicherheit ist immer eine geteilte Verantwortung. Die spezifischen Bereiche der Cloud-Computing-Sicherheit, die vom Cloud Provider und vom Kunden verwaltet werden, bestimmen die Cloud-Sicherheitsarchitektur für ihre Geschäftsbeziehung.

Was ist eine Sicherheitsarchitektur für Cloud-Speicher?

Die Sicherheitsarchitektur für Cloud-Speicher gibt vor, wie die Zuständigkeiten für die Sicherheit des Cloud-Dienstes zwischen dem Cloud-Anbieter und dem Abonnenten aufgeteilt werden – im Grunde wird so bestimmt, wer was sichert und auf welche Weise.

Für sichere Cloud-Speicher kümmert sich der Anbieter oder Kunde in jedem der jeweiligen Verantwortungsbereiche um spezifische technische Komponenten, die die Cloud-Anwendungen selbst oder den Zugriff darauf sichern.

Beispiele für anwendungsbezogene Sicherheitsmaßnahmen:

  • Datenverschlüsselungsalgorithmen und Protokolle, um Cloud-Daten während der Übertragung und im Ruhezustand nach Bedarf zu schützen
  • Web Application Firewalls (WAFs) und Bot-Management-Lösungen zur Reduzierung des Risikos verschiedener Cyberangriffe und unzulässiger Offenlegung von Daten
  • Erkennung und Entfernung von Malware und Ransomware sowie breiterer Schutz vor Datenverlust mithilfe von Tools, die den unerlaubten Zugriff und die Exfiltration von vertraulichen Daten verhindern
  • Überwachung und Protokollierung von Anfragen, Cybersicherheitsereignissen und allen anderen Aktivitäten und Endpunkten in der Cloud-Umgebung

Beispiele für Maßnahmen zu Sicherung des Anwendungszugriffs:

Eine kohärente und gut unterstützte Sicherheitsarchitektur ist wichtig für Cloud-Speicherdienste, da dieses Thema komplex ist. Daten können von nicht verwalteten Geräten abgerufen werden, es gibt keinen traditionellen Netzwerkperimeter, den man sichern könnte, und neben anderen Gefahren lauern komplizierte Sicherheitsrisiken wie Advanced Persistent Threats (APTs).

Die wichtigsten Servicemodelle sind IaaS (Infrastructure as a Service), PaaS (Platform as a Service) , SaaS (Software as a Service) und DaaS (Desktop as a Service). Jedes große Cloud-Service-Modell hat eine eigene, unverwechselbare Sicherheitsarchitektur, die vom Cloud Provider und vom Kunden verwaltet wird.

Cloud-Sicherheitsarchitekturen unterscheiden sich außerdem darin, ob die betreffende Cloud als Public Cloud, Private Cloud oder Hybrid Cloud bereitgestellt wird. Viele Organisationen und Cloud-Speicher-Anbieter wie Amazon, Apple (iCloud), Microsoft (Microsoft Onedrive), Dropbox, Telekom (Magentacloud), Strato, Hidrive oder auch Google Drive setzen für Backups und als Teil einer Multi-Cloud-Strategie auf eine oder mehrere Clouds in jeder Kategorie.

WHITEPAPER

Warum Sie einen umfassenden Schutz für Ihre Multi-Cloud-Umgebungen benötigen

In diesem Whitepaper wird erklärt, warum ein umfassender, cloudbasierter Schutz in heutigen Multi-Cloud-Umgebungen unerlässlich ist.

Wer ist für die Cloud-Sicherheit verantwortlich?

Dies hängt vom Service- und Bereitstellungsmodell ab, aber die Verantwortlichkeiten für die Cloud-Sicherheit werden bis zu einem gewissen Grad immer geteilt. Bei der IaaS-Lösung eines Public Cloud Services Provider verwaltet der Provider beispielsweise die physischen Netzwerkschnittstellen, die Hypervisoren und den Datenspeicher, während der Kunde für die zugehörigen Betriebssysteme, Anwendungen und Daten zuständig ist.

Der Cloud Provider überwacht bei dieser Architektur die „externe“ Sicherheit der Cloud, also die wesentliche Hardware und Software, z. B. Datenbanken und Rechenkapazität in einem Rechenzentrum, und der Kunde konzentriert sich auf die „interne“ Sicherheit – wie Zugriffsanfragen gewährt oder verweigert werden, wie die Firewalls des Unternehmens konfiguriert und andere Aktivitäten bei der Nutzung eines Cloud-Service gehandhabt werden.

Bei PaaS, SaaS und DaaS in der Public Cloud übernimmt der Cloud Service Provider im Vergleich zu IaaS einen größeren Anteil der Sicherheitsverantwortung. Bei SaaS muss der Kunde sich beispielsweise nicht um die Verwaltung der zugrunde liegenden Server, Datenbanken und der damit verbundenen Sicherheitsmechanismen (z. B. das Verschlüsseln mit einer Ende-zu-Ende-Verschlüsselung) kümmern. Dieses Arrangement bedeutet aber nicht, dass SaaS risikofrei ist, da der Kunde den Cloud Provider gründlich prüfen und sicherstellen muss, dass der Anwendungszugriff ausreichend gesichert ist.

Private Clouds und Hybrid-Clouds, in denen eine Organisation Ressourcen ausschließlich für den eigenen Gebrauch verwaltet, erfordern in der Regel mehr Verantwortung von Seiten des Kunden in Bezug auf eine sichere Datenspeicherung. Für Private-Cloud- und Hybrid-Cloud-Daten bestehen einige Vorteile, da sie nicht so stark von gemeinsam genutzter Infrastruktur abhängig sind wie Public-Cloud-Daten. Der direkte Sicherheitsaufwand für den Kunden kann jedoch größer sein.

Was ist das Besondere an einem sicheren Cloud-Speicher?

Einige herkömmliche Verfahren zur sicheren Datenspeicherung, etwa die Verwendung von SSO, lassen sich gut in einer Cloud-Sicherheitsarchitektur implementieren. Trotzdem unterscheidet sich die Sicherheit von Cloud-Speichern aufgrund mehrerer Faktoren wesentlich von der lokalen Sicherheit auf der Seite des Kunden.

Breiterer Zugriff führt zu größeren Bedrohungen. Cloud-Dienste, auch die von einer deutschen Cloud, sind leichter zugänglich als herkömmliche Anwendungen. Sie können über IP-Netzwerke von praktisch jedem Serverstandort aufgerufen werden und sind dadurch häufiger Cyberangriffen ausgesetzt. SQL-Injection-, DDoS-Angriffe und andere Bedrohungen stellen bei Cloud-Anwendungen konstante Sicherheitsrisiken dar.

Multi-Cloud-Umgebungen ziehen Hacker förmlich an und müssen sorgfältig überwacht werden. Dazu gehören beispielsweise automatisierte Bot-Angriffe, die nur mit Lösungen zur Bot-Erkennung gestoppt werden können, die mit anderen Sicherheitstools wie WAFs und API-Schutz zusammenarbeiten. APIs, die nicht geeignet gesichert wurden, können nicht autorisierte Verbindungen ermöglichen, die das Teilen von Dateien oder andere Datenschutzverletzungen begünstigen.

Geteilte Verantwortung zwischen Provider und Kunde. Ein weiterer Unterschied zwischen Cloud-Sicherheit und lokaler Sicherheit ist die geteilte Verantwortung. Der Cloud-Kunde hat nicht die volle Kontrolle über die Sicherheit, auch wenn er gewisse Aspekte des Zugriffs steuern kann.

Am deutlichsten ist diese geteilte Verantwortung bei Public Clouds erkennbar. Hier wird die Datenverschlüsselung und der Malware-Schutz vom Cloud-Anbieter gehandhabt, während der Kunde den Zugriff sichert. Entsprechend wichtig für die Cloud-Sicherheit sind das Service-Level-Agreement des Anbieters und seine Erfolgsbilanz in Bezug auf die Cybersicherheit.

Unterschiedliche Anforderungen für die Sicherung des Zugriffs. Das stark zentralisierte, perimetergestützte Modell der lokalen Sicherheit lässt sich nicht auf moderne Multi-Cloud-Umgebungen übertragen. Der Zugriff auf Cloud-Anwendungen kann nicht allein durch Schutzmaßnahmen wie VPNs oder Firewalls gesichert werden, die von der Vertrauenswürdigkeit aller Nutzer innerhalb eines Unternehmensnetzwerks ausgehen.

Beispiel: Ein VPN gewährt weitreichenden Zugriff auf das Netzwerk und setzt ein hohes Maß an Vertrauen in autorisierte Nutzer voraus – ein Ansatz, der in einem eingeschränkten lokalen Kontext funktionieren kann, aber beim breiten Anwendungszugriff in der Cloud nicht tragbar ist, da der Nutzer ein Bot sein oder eine Sicherheitsbedrohung darstellen können.

Was sind die größten Herausforderungen für die Cloud-Sicherheit?

Es gibt viele Sicherheitsherausforderungen, die entweder nur für die Cloud gelten oder im Vergleich zu lokalen Umgebungen ein deutlich größeres Problem darstellen. Dazu gehören:

  • Traffic-Filterung, -Überwachung und -Blockierung: WAFs spielen in einem sicheren Cloud-Speicher eine größere Rolle, weil sie für das Screening der großen Traffic-Mengen benötigt werden, die bei Cloud-Anwendungen wie Backups und beim Synchronisieren eingehen. Damit Laufwerke und Daten sicher sind, muss dieser Datenverkehr in Rechenzentren ordnungsgemäß in gefiltert, überwacht und blockiert werden, damit Malware und Anfragen von bösartigen Bots nicht übertragen werden können.
  • API-Schutz: Da viele Cloud-APIs zum Einsatz kommen, die verschiedene Services verbinden, kann es kostspielige Verletzungen der deutschen Datenschutz-Grundverordnung nach sich ziehen, wenn APIs nicht ausreichend gesichert werden. Zum Beispiel können dadurch unbefugte Datenübertragungen stattfinden.
  • Bot-Erkennung und -Management: Botnets führen zahlreiche automatisierte Cyberangriffe aus und müssen zuverlässig erkannt und abgewehrt werden, damit Probleme wie Brute-Force-Angriffe gestoppt werden.
  • Malware, APTs und Cyberangriffe: Da der Cloud-Computing-Stack open source und damit öffentlich zugänglich ist, ist er ständigen und vielfältigen Cyberbedrohungen ausgesetzt, die den Zugriff unterbrechen und vertrauliche Informationen und personenbezogene Daten gefährden können.
  • Unzureichende Kontrollen bei der Cloud-Sicherheit: Wenn Unternehmen Anwendungen in die Cloud migrieren, versäumen sie es manchmal, die Sicherheitskontrollen entsprechend zu aktualisieren und die geteilte Verantwortung in einer Cloud-Sicherheitsarchitektur zu berücksichtigen.
  • Fehlkonfigurationen: Falsch konfigurierte Cloud-Ressourcen können zu Sicherheitsproblemen führen, die oft lange Zeit unentdeckt bleiben.
  • Netzwerk-/WAN-Sicherheit: Wenn zur Unterstützung von Cloud-Diensten von MPLS-WANs auf SD-WAN umgestellt wird, sind neue Sicherheitsmechanismen und Architekturen wie SASE erforderlich, um SaaS-Breakouts zu ermöglichen und das zentralisierte Sicherheitsmodell eines herkömmlichen WAN am besten zu ersetzen.

Wie sollten Sie an das Thema sichere Cloud-Lösung herangehen?

Es gibt viele Best Practices für einen sicheren Cloud-Speicher, damit die Daten sicher sind. Bei einigen davon haben aufgrund der geteilten Verantwortung in einer Cloud-Sicherheitsarchitektur die Kunden aber nicht die volle Kontrolle. Hier sind einige der wichtigsten Komponenten einer sinnvollen Sicherheitsstrategie für Cloud-Speicherdienste:

WAFs

Mit einem WAF können Organisationen Bedrohungen finden und stoppen. Genauer gesagt bietet eine WAF ganzheitliche Sicherheit für Traffic und Web-Services in Cloud-Computing-Umgebungen und schützt diese unter anderem vor SQL Injection und Cross-Site Scripting (XSS). Sie kann Cloud-Speicherdienste, -Anwendungen und -APIs schützen, indem sie konsistente Sicherheitsrichtlinien für alle Appliances anwendet, auf denen sie installiert ist. Dies sorgt für einheitliche Sicherheit und eine sichere Datenspeicherung.

API-Schutz

Unternehmen können APIs mit mehrschichtigen Lösungen isolieren, die die drängendsten Arten von auf die Cloud ausgerichteten Cyberangriffen stoppen. API-Schutz hilft, bekannte und Zero-Day-Angriffe abzuwehren. Dadurch werden die APIs gesichert, die sonst zu den größten Schwachstellen in einer Cloud-Architektur gehören würden. Ein besserer API-Schutz bedeutet weniger Verletzungen der deutschen DSGVO.

Bot-Erkennung und -Management

Unternehmen können Bot-Management- und Minderungstools nutzen, um Botnets daran zu hindern, Brute-Force-Angriffe durchzuführen oder DDoS-Kampagnen gegen kritische Cloud-Anwendungen auszuführen. Diese Tools wenden ausgeklügelte Regeln an, um zu bewerten, ob ein Bot legitim ist (z. B. ein hilfreicher Chatbot) oder ein Sicherheitsproblem darstellt, das blockiert werden sollte, um das Cyberangriffsrisiko zu mindern.

Datenschutz und Datenverschlüsselung

Durch Verschlüsselung und Überwachung können Unternehmensdaten geschützt werden. Beim Verschlüsseln variiert der genaue Ansatz je nach verwendetem Cloud-Service: IaaS, PaaS, SaaS oder DaaS. Datenquellen, z. B. aus Cloudlösungen wie Dropbox, iCloud, Magentacloud, HiDrive oder Google Drive, sollten sorgfältig überwacht werden, um sicherzustellen, dass keine sicherheitsrelevante Fehlkonfiguration einer Datenbank vorliegt.

Zero-Trust-Sicherheit, damit wirklich Daten sicher sind

Organisationen können den Zugriff und die Autorisierung mithilfe von Zero-Trust-Sicherheit verwalten. Dies beinhaltet die kontextabhängige und kontinuierliche Bewertung von Nutzern, Geräten (auch Android- oder MacOS-Mobilgeräten) und Anfragen über Mechanismen wie MFA sowie die Beurteilung mehrerer relevanter Kriterien, einschließlich des Patch-Levels eines Geräts und des geografischen Anwenderstandorts. Auch eine Zwei-Faktor-Authentifizierung kann sehr wichtig sein.

Umfassende Visibilität

Lösungen für das Endgeräte-Management und die Netzwerküberwachung sind wichtig, um die Aktivitäten aller Nutzer im Netzwerk nachzuvollziehen. Das gilt insbesondere in komplexen Hybrid-Cloud- und Multi-Cloud-Umgebungen mit verschiedenen Bereitstellungen und Services.

Citrix-Lösungen für Cloud-Sicherheit

Citrix bietet verschiedene sichere Cloud-Lösungen, die eine sicherere Nutzung und einen sichereren Zugriff auf Anwendungen aller Art ermöglichen und dadurch die Effizienz von Remote-Arbeitsumgebungen und Multi-Cloud-Bereitstellungen erhöhen:

Erfahren Sie, wie Sie mit Citrix Secure Private Access die Cloud-Sicherheit verbessern können.

München: 
+(49) 89 444 564 000