Sicherer Umgang mit Daten,
Identitäten und Applikationen in einer Cloud basierten Welt.
Cloud Computing erweist sich
immer mehr als Katalysator und beschleunigender Faktor für die Digitalisierung
aller Belange unserer Wirtschaft und Gesellschaft. Mit dem Fortschreiten der Digitalisierung
steigt auch die Notwendigkeit nach einem systematischen und sicheren Umgang mit
unseren Daten, Identitäten und Applikationen. Daten werden zum wertvollsten
Besitz. Es ist ein Irrtum, dass durch die Nutzung von Cloud Services, das
Sicherheitsrisiko an sich steigt. Im Gegenteil, Cloud Computing ermöglicht
Routineaufgaben an den Cloud Provider abzugeben. Damit werden Ressourcen beim
Cloud Consumer für Sicherheitsmaßnahmen frei, die bisher in den meisten
Unternehmen aus Kostengründen zu kurz gekommen sind. Der Cloud Provider kann
enorme Skalierungseffekte nutzen, um Sicherheitskonzepte umzusetzen, die sich
für einzelne Unternehmen einfach nicht rechnen würden.
Die Security Verantwortung
verteilt sich also auf den Cloud Provider und dem Cloud Consumer. Sie müssen
ihren Fokus immer mehr auf Daten, Identitäten und Apps legen, während der Cloud
Service Provider die Verantwortung hauptsächlich über die Data Center,
Netzwerke, Hosts, Operating Systems und alle zugehörige Security Prozesse
trägt.
Die Partnerschaft mit Microsoft
als Cloud Provider basiert auf einem Fundament von Security, Privacy, Trust und
Transparenz. Microsoft stellt seinen Kunden ein Set von Sicherheitsmechanismen
zur Verfügung die es Ihnen ermöglicht Daten und Applikationen effektiv zu
schützen und die Kontrolle darüber zu behalten. Sie bleiben im Besitz ihrer
Daten und Identitäten, haben aber auch die Teilverantwortung diese zu schützen,
insbesondere da sie alleine die Security Ressourcen in ihrem Unternehmen und
die Nutzung der Cloud Komponenten kontrollieren. Der Umfang ihrer Verantwortung
variiert natürlich mit der Art des Services. So müssen sie bei Infrastructure as a Service (IaaS, z.B.
Microsoft Azure) wesentlich mehr Security Aspekte verwalten als bei Software as a Service (SaaS, z.B. Office
365).
Cyber Security stellt eine große
Herausforderung dar, aber mit hoch standardisierten Cloud Services, wie von
Microsoft, wird vieles leichter. Indem die Sicherheitsverantwortung aufgeteilt
und von dritten verifiziert wird, können enorme Skalierungseffekt erzielt
werden (zentrale Patches, Monitoring, Penetration Testing,…), die in Summe die
Erstellung von IT-Lösung deutlich günstiger und sicherer ermöglichen, als es
mit klassischen Inhouse Ansätzen möglich ist.
Ich empfehle für Interessierte
die Best Practise Publikation "Microsoft
Cloud Security for Enterprise Architects". (http://www.microsoft.com/en-us/download/details.aspx?id=48121)
Hier finden sie ein paar Aspekte,
die sie für ihren Teil eines Sicherheitskonzepts bedenken sollten:
Entwickeln sie ein Cloud Security
Regelwerk.
Definieren Sie Regeln für die
Evaluierung, Einführung und Verwendung von Cloud Services, um Inkonsistenzen
und Schwachstellen zu minimieren. Sie brauchen klare Standards für Identitäten,
Daten, Compliance Anforderungen inklusive deren Dokumentation.
Versuchen sie eine gute Balance zwischen Sicherheit und
Benutzerfreundlich zu erreichen.
Wenn Ihnen das nicht gelingt,
weichen Ihre Nutzer auf Alternativlösungen aus und eine Shadow-IT mit unkontrollierbarem Risiko entsteht.
Sie besitzen ihre Daten!
Klassifizieren sie diese und
stellen sie sicher, dass sie geschützt und überwacht werden, egal wo sie
gespeichert sind.
Managen sie Bedrohungen
kontinuierlich und proaktiv
Bauen sie operative und flexible
Fähigkeiten auf, damit sie mit den realen Bedrohungsszenarien umgehen können. Z.B.
die Abhängigkeit von IT-Administratoren ist auch bei Cloud Lösungen enorm.
Privilegierte Administrator Accounts, Credentials und Workstations, auf denen
diese Account verwendet werden, sollten extra geschützt und überwacht werden. Vergeben
sie Administrationsrechte nur zeitbegrenzt und bei konkretem Bedarf.
Evaluieren sie
Bedrohungsszenarien kontinuierlich, die für ihre Organisation zutreffen und
nützten sie Threat Intelligence Reports
und Information Sharing and Analysis
Centers (ISACs).
Minimieren sie Risiken, indem sie
ständig einen Angriffsfall annehmen
Wenn sie Sicherheitsmaßnahmen und
Prozesse planen, nehmen sie immer an, dass ihre User-Accounts, Workstations
oder Applikationen bereits Opfer eines Angriffs sind. Minimieren sie ihre
Risiken, indem sie ihr Inventar kategorisieren. Isolieren sie kritisches von
unkritischem durch Security Zonen mit rigorosen Management und modernen Threat
Modelling Techniken.
Managen sie die Innovation der IT
Services kontinuierlich
Die Geschwindigkeit und die Menge
der Releases bei IT-System steigen rasch und benötigen daher ein proaktives
Management und eine ständige Betrachtung möglicher Auswirkung auf ihr
Sicherheitskonzept.
Ein monatlicher Review der Updates
auf Compliance und organisatorische Seiteneffekte hat sich bewährt. Die
Möglichkeit den Status von Cloud Services temporär einzufrieren, wie es z.B.
bei Office 365 und Microsoft Azure möglich ist, wird in diesem Zusammenhang
gerne genutzt.
_______________________________________________________________________________
|
Dipl. Ing. Harald Leitenmüller
Chief Technology Officer
Microsoft Österreich GmbH.
|
Keine Kommentare:
Kommentar veröffentlichen