Cloud-Sicherheit entmystifiziert

Cloud-basierte IT-Systeme erfüllen in nahezu jeder modernen Industrie wichtige Funktionen. Unternehmen, gemeinnützige Organisationen, Regierungen und sogar Bildungseinrichtungen nutzen die Cloud, um die Reichweite des Marktes zu erweitern, die Leistung zu analysieren, die Humanressourcen zu verwalten und verbesserte Dienstleistungen anzubieten. Natürlich ist eine effektive Cloud-Sicherheitssteuerung für alle Unternehmen von entscheidender Bedeutung, die die Vorteile verteilter IT nutzen möchten.

Wie jede IT-Domäne hat auch Cloud Computing einzigartige Sicherheitsbedenken. Obwohl der Gedanke, Daten sicher in der Cloud zu schützen, schon lange als unlösbarer Widerspruch angesehen wurde, zeigen weit verbreitete Branchenpraktiken zahlreiche Techniken, die effektive Cloud-Sicherheit bieten. Wie kommerzielle Cloud-Anbieter wie Amazon AWS durch die Einhaltung der FedRAMP-Compliance gezeigt haben, ist effektive Cloud-Sicherheit in der Realität sowohl erreichbar als auch praktisch.

Eine wirkungsvolle Sicherheits-Roadmap darstellen

Kein IT-Sicherheitsprojekt kann ohne einen soliden Plan funktionieren. Praktiken, die die Cloud betreffen, müssen sich in Abhängigkeit von den Domänen und Implementierungen unterscheiden, die sie schützen möchten.

Angenommen, eine lokale Regierungsbehörde führt eine Richtlinie für Ihr eigenes Gerät oder BYOD ein. Möglicherweise müssen andere Aufsichtskontrollen durchgeführt werden, als wenn die Mitarbeiter einfach über ihre persönlichen Smartphones, Laptops und Tablets auf das Organisationsnetzwerk zugreifen würden. Ebenso muss ein Unternehmen, das seine Daten durch das Speichern in der Cloud für autorisierte Benutzer zugänglicher machen möchte, wahrscheinlich andere Schritte unternehmen, um den Zugriff zu überwachen, als wenn es seine eigenen Datenbanken und physischen Server unterhalten würde.

Dies ist nicht zu sagen, wie einige angedeutet haben, dass ein erfolgreicher Schutz der Cloud weniger wahrscheinlich ist als die Aufrechterhaltung der Sicherheit in einem privaten LAN. Die Erfahrung hat gezeigt, dass die Wirksamkeit verschiedener Cloud-Sicherheitsmaßnahmen davon abhängt, wie gut bestimmte erprobte Methoden eingehalten werden. Für Cloud-Produkte und -Dienste, die Regierungsdaten und -ressourcen verwenden, werden diese Best Practices als Teil des Federal Risk and Authorization Management Program (FedRAMP) definiert.

Was ist das Federal Risk and Authorization Management Programm?

Das Federal Risk and Authorization Management Program ist ein offizielles Verfahren, mit dem Bundesbehörden die Wirksamkeit von Cloud-Computing-Diensten und -Produkten beurteilen. Im Mittelpunkt stehen Standards, die vom National Institute for Standards and Technology (NIST) in verschiedenen Special Publication- oder SP- und Federal Information Processing Standard- oder FIPS-Dokumenten definiert wurden. Diese Standards konzentrieren sich auf einen effektiven Cloud-basierten Schutz.

Das Programm enthält Richtlinien für viele allgemeine Cloud-Sicherheitsaufgaben. Dazu gehören die ordnungsgemäße Behandlung von Vorfällen, der Einsatz forensischer Techniken zur Untersuchung von Verstößen, die Planung von Eventualitäten zur Aufrechterhaltung der Ressourcenverfügbarkeit und das Risikomanagement. Das Programm enthält auch Akkreditierungsprotokolle für Drittanbieter-Akkreditierungsorganisationen (3PAOs), die Cloud-Implementierungen von Fall zu Fall bewerten. Die Einhaltung der von 3PAO zertifizierten Compliance ist ein sicheres Zeichen dafür, dass ein IT-Integrator oder -Dienstleister bereit ist, Informationen in der Cloud zu schützen.

Effektive Sicherheitsmaßnahmen

Wie halten Unternehmen ihre Daten mit kommerziellen Cloud-Anbietern sicher? Während es unzählige wichtige Techniken gibt, sind hier einige zu erwähnen:

Provider-Überprüfung

Starke Arbeitsbeziehungen bauen auf Vertrauen auf, aber dieser Glaube muss irgendwo entstehen. Unabhängig davon, wie gut ein Cloud-Anbieter etabliert ist, ist es wichtig, dass Benutzer ihre Compliance- und Governance-Praktiken authentifizieren.

Staatliche IT-Sicherheitsstandards beinhalten normalerweise Prüfungs- und Bewertungsstrategien. Überprüfen Sie die Leistung Ihres Cloud-Anbieters in der Vergangenheit, um herauszufinden, ob er für Ihr zukünftiges Geschäft angemessen ist. Personen mit .gov- und .mil-E-Mail-Adressen können auch auf FedRAMP-Sicherheitspakete zugreifen, die verschiedenen Providern zugeordnet sind, um ihre Compliance-Behauptungen zu bestätigen.

Nehmen Sie eine proaktive Rolle an

Obwohl sich Services wie Amazon AWS und Microsoft Azure für die Einhaltung etablierter Standards bekennen, erfordert umfassende Cloud-Sicherheit mehr als eine Partei. Abhängig vom Cloud-Servicepaket, das Sie erwerben, müssen Sie möglicherweise die Implementierung bestimmter Schlüsselfunktionen Ihres Providers anweisen oder ihm mitteilen, dass er bestimmte Sicherheitsverfahren einhalten muss.

Wenn Sie beispielsweise ein Hersteller von Medizinprodukten sind, können Gesetze wie das Health Insurance Portability and Accountability Act (HIPAA) oder das HIPAA-Gesetz dazu führen, dass Sie zusätzliche Schritte unternehmen, um die Gesundheitsdaten der Verbraucher zu schützen. Diese Anforderungen bestehen häufig unabhängig davon, was Ihr Provider tun muss, um die Zertifizierung des Federal Risk and Authorization Management Program aufrechtzuerhalten.

Zumindest müssen Sie allein für die Aufrechterhaltung der Sicherheitspraktiken verantwortlich sein, die die Interaktion Ihrer Organisation mit Cloud-Systemen abdecken. Beispielsweise müssen Sie sichere Kennwortrichtlinien für Ihre Mitarbeiter und Kunden festlegen. Wenn Sie den Ball auf den Kopf stellen, kann dies sogar die effektivste Implementierung der Cloud-Sicherheit beeinträchtigen. Übernehmen Sie jetzt die Verantwortung.

Was Sie mit Ihren Cloud-Services tun, wirkt sich letztlich auf die Wirksamkeit ihrer Sicherheitsfunktionen aus. Ihre Mitarbeiter können sich aus Bequemlichkeitsgründen an Schatten-IT-Praktiken beteiligen, beispielsweise dem Austausch von Dokumenten über Skype oder Google Mail. Diese scheinbar harmlosen Aktionen können jedoch Ihre sorgfältig festgelegten Cloud-Schutzpläne behindern. Neben der Schulung des Personals, wie autorisierte Dienste ordnungsgemäß verwendet werden, müssen Sie ihm beibringen, wie Fallstricke mit inoffiziellen Datenströmen vermieden werden.

Verstehen Sie die Bedingungen Ihres Cloud-Services zur Risikokontrolle

Das Hosten Ihrer Daten in der Cloud gewährt Ihnen nicht notwendigerweise die gleichen Berechtigungen, die Sie bei der Selbstspeicherung von Natur aus hätten. Einige Anbieter behalten sich das Recht vor, Ihre Inhalte zu durchsuchen, damit sie Anzeigen schalten oder die Verwendung ihrer Produkte analysieren können. Andere Benutzer müssen möglicherweise im Rahmen der technischen Unterstützung auf Ihre Informationen zugreifen.

In einigen Fällen ist die Datenexposition kein großes Problem. Wenn Sie jedoch mit personenbezogenen Verbraucherinformationen oder Zahlungsdaten zu tun haben, können Sie leicht erkennen, wie der Zugriff durch Dritte zu einer Katastrophe führen kann.

Es kann unmöglich sein, den Zugriff auf ein Remote-System oder eine Datenbank vollständig zu verhindern. Durch die Zusammenarbeit mit Anbietern, die Prüfprotokolle und Systemzugriffsprotokolle freigeben, wissen Sie dennoch, ob Ihre Daten sicher aufbewahrt werden. Dieses Wissen trägt wesentlich dazu bei, dass die Unternehmen die negativen Auswirkungen von Verstößen abschwächen können.

Gehen Sie niemals davon aus, dass Sicherheit eine einmalige Angelegenheit ist

Die meisten intelligenten Personen ändern regelmäßig ihre persönlichen Passwörter. Sollten Sie nicht genauso auf Cloud-basierte IT-Sicherheit achten?

Unabhängig davon, wie oft die Compliance-Strategie Ihres Anbieters dazu führt, dass Selbstprüfungen durchgeführt werden, müssen Sie eigene Standards für die Routineprüfungen festlegen oder festlegen. Wenn Sie auch an Compliance-Anforderungen gebunden sind, müssen Sie ein strenges Programm einführen, das gewährleistet, dass Sie Ihre Verpflichtungen auch dann erfüllen können, wenn Ihr Cloud-Anbieter dies nicht konsequent durchführt.

Erstellen von funktionsfähigen Cloud-Sicherheitsimplementierungen

Effektive Cloud-Sicherheit ist keine mystische Stadt, die für immer jenseits des Horizonts liegt. Als etablierter Prozess ist er für die meisten IT-Servicebenutzer und -anbieter gut geeignet, unabhängig von den Standards, denen sie entsprechen.

Durch die Anpassung der in diesem Artikel beschriebenen Vorgehensweisen an Ihre Zwecke ist es möglich, Sicherheitsstandards zu erreichen und aufrechtzuerhalten, die Ihre Daten schützen, ohne den Betriebsaufwand drastisch zu erhöhen.

Willst du einen Writing Gig?  John Hunt Publishing könnte Sie suchen Vorherige Artikel

Willst du einen Writing Gig? John Hunt Publishing könnte Sie suchen

Apple iMessage-Update ermöglicht das Senden von Zahlungen, Bearbeiten von Fotos und mehr Vorherige Artikel

Apple iMessage-Update ermöglicht das Senden von Zahlungen, Bearbeiten von Fotos und mehr

Beliebte Beiträge