Mittwoch, 16. Dezember 2015

Gast-Blog von Dipl. Ing. Harald Leitenmüller, Chief Technology Officer Microsoft Österreich GmbH

Sicherer Umgang mit Daten, Identitäten und Applikationen in einer Cloud basierten Welt.

Cloud Computing erweist sich immer mehr als Katalysator und beschleunigender Faktor für die Digitalisierung aller Belange unserer Wirtschaft und Gesellschaft.  Mit dem Fortschreiten der Digitalisierung steigt auch die Notwendigkeit nach einem systematischen und sicheren Umgang mit unseren Daten, Identitäten und Applikationen. Daten werden zum wertvollsten Besitz. Es ist ein Irrtum, dass durch die Nutzung von Cloud Services, das Sicherheitsrisiko an sich steigt. Im Gegenteil, Cloud Computing ermöglicht Routineaufgaben an den Cloud Provider abzugeben. Damit werden Ressourcen beim Cloud Consumer für Sicherheitsmaßnahmen frei, die bisher in den meisten Unternehmen aus Kostengründen zu kurz gekommen sind. Der Cloud Provider kann enorme Skalierungseffekte nutzen, um Sicherheitskonzepte umzusetzen, die sich für einzelne Unternehmen einfach nicht rechnen würden.
Die Security Verantwortung verteilt sich also auf den Cloud Provider und dem Cloud Consumer. Sie müssen ihren Fokus immer mehr auf Daten, Identitäten und Apps legen, während der Cloud Service Provider die Verantwortung hauptsächlich über die Data Center, Netzwerke, Hosts, Operating Systems und alle zugehörige Security Prozesse trägt.

Die Partnerschaft mit Microsoft als Cloud Provider basiert auf einem Fundament von Security, Privacy, Trust und Transparenz. Microsoft stellt seinen Kunden ein Set von Sicherheitsmechanismen zur Verfügung die es Ihnen ermöglicht Daten und Applikationen effektiv zu schützen und die Kontrolle darüber zu behalten. Sie bleiben im Besitz ihrer Daten und Identitäten, haben aber auch die Teilverantwortung diese zu schützen, insbesondere da sie alleine die Security Ressourcen in ihrem Unternehmen und die Nutzung der Cloud Komponenten kontrollieren. Der Umfang ihrer Verantwortung variiert natürlich mit der Art des Services. So müssen sie bei Infrastructure as a Service (IaaS, z.B. Microsoft Azure) wesentlich mehr Security Aspekte verwalten als bei Software as a Service (SaaS, z.B. Office 365).

Cyber Security stellt eine große Herausforderung dar, aber mit hoch standardisierten Cloud Services, wie von Microsoft, wird vieles leichter. Indem die Sicherheitsverantwortung aufgeteilt und von dritten verifiziert wird, können enorme Skalierungseffekt erzielt werden (zentrale Patches, Monitoring, Penetration Testing,…), die in Summe die Erstellung von IT-Lösung deutlich günstiger und sicherer ermöglichen, als es mit klassischen Inhouse Ansätzen möglich ist.
Ich empfehle für Interessierte die Best Practise Publikation "Microsoft Cloud Security for Enterprise Architects". (http://www.microsoft.com/en-us/download/details.aspx?id=48121)


Hier finden sie ein paar Aspekte, die sie für ihren Teil eines Sicherheitskonzepts bedenken sollten:

Entwickeln sie ein Cloud Security Regelwerk.
Definieren Sie Regeln für die Evaluierung, Einführung und Verwendung von Cloud Services, um Inkonsistenzen und Schwachstellen zu minimieren. Sie brauchen klare Standards für Identitäten, Daten, Compliance Anforderungen inklusive deren Dokumentation.

Versuchen sie eine gute Balance zwischen Sicherheit und Benutzerfreundlich zu erreichen.
Wenn Ihnen das nicht gelingt, weichen Ihre Nutzer auf Alternativlösungen aus und eine Shadow-IT mit unkontrollierbarem Risiko entsteht.

Sie besitzen ihre Daten!
Klassifizieren sie diese und stellen sie sicher, dass sie geschützt und überwacht werden, egal wo sie gespeichert sind.

Managen sie Bedrohungen kontinuierlich und proaktiv
Bauen sie operative und flexible Fähigkeiten auf, damit sie mit den realen Bedrohungsszenarien umgehen können. Z.B. die Abhängigkeit von IT-Administratoren ist auch bei Cloud Lösungen enorm. Privilegierte Administrator Accounts, Credentials und Workstations, auf denen diese Account verwendet werden, sollten extra geschützt und überwacht werden. Vergeben sie Administrations­rechte nur zeitbegrenzt und bei konkretem Bedarf.
Evaluieren sie Bedrohungsszenarien kontinuierlich, die für ihre Organisation zutreffen und nützten sie Threat Intelligence Reports und Information Sharing and Analysis Centers (ISACs).

Minimieren sie Risiken, indem sie ständig einen Angriffsfall annehmen
Wenn sie Sicherheitsmaßnahmen und Prozesse planen, nehmen sie immer an, dass ihre User-Accounts, Workstations oder Applikationen bereits Opfer eines Angriffs sind. Minimieren sie ihre Risiken, indem sie ihr Inventar kategorisieren. Isolieren sie kritisches von unkritischem durch Security Zonen mit rigorosen Management und modernen Threat Modelling Techniken.

Managen sie die Innovation der IT Services kontinuierlich
Die Geschwindigkeit und die Menge der Releases bei IT-System steigen rasch und benötigen daher ein proaktives Management und eine ständige Betrachtung möglicher Auswirkung auf ihr Sicherheitskonzept.
Ein monatlicher Review der Updates auf Compliance und organisatorische Seiteneffekte hat sich bewährt. Die Möglichkeit den Status von Cloud Services temporär einzufrieren, wie es z.B. bei Office 365 und Microsoft Azure möglich ist, wird in diesem Zusammenhang gerne genutzt.

_______________________________________________________________________________


Dipl. Ing. Harald Leitenmüller
Chief Technology Officer
Microsoft Österreich GmbH.

Keine Kommentare:

Kommentar veröffentlichen