Der sichere Weg in die Cloud
Viele Anbieter suggerieren einen «einfach mal schnell in die Cloud»-Ansatz. Wir raten davon ab. Insbesondere die verschiedenen Sicherheitsaspekte müssen gut geplant werden, sonst kann es schnell aufwendig, riskant und teuer werden. Wir geben einen Überblick.
Während der Planung und Durchführung von Cloud-Migrationen müssen alle IT-Sicherheitsaspekte beachtet werden, angefangen bei einfachen Schutzregeln für Passwörter bis hin zum komplexen Security Incident Response Management. Insbesondere bei hybriden Cloud-Szenarien mit Public Cloud und Private Cloud oder spezifischen On-Prem-Anteilen können komplexe technologische Architekturen entstehen, die ein durchgängig implementiertes Sicherheitsniveau erfordern. Dazu ist eine vorgängige Planung aller Phasen der Cloud Journey zu empfehlen, mit Fokus auf technologische und prozessuale Aspekte.
Phasen der Cloud Journey
Um eine strukturierte Vorgehensweise sicherzustellen, durchläuft eine Cloud Journey verschiedene Phasen. Der Startschuss in die Cloud beginnt mit der Phase «Plan» und beinhaltet beispielsweise eine Situations- und Zielbestimmung sowie einen Business Case zur Bewertung der finanziellen Aspekte. Anschliessend folgt die Phase «Set-up», in der die einzelnen Cloud Services grundlegend konfiguriert werden. Die eigentliche Migration der Services erfolgt in der Phase «Migrate» und kann durch unterschiedliche Verfahren erfolgen, wie «Lift & Shift» oder «Rebuild». In der vierten Phase, «Manage», werden die notwendigen Betriebsleistungen für die implementierte Cloud-Architektur erbracht. Die letzte Phase, «Optimise», konzentriert sich auf allfällige Verbesserungen sowie die zielgerichtete Weiterentwicklung der gewählten Cloud-Lösung.
Sicherheitsaspekte der einzelnen Phasen
Für eine sichere Reise in die Cloud lassen sich einige grundlegende Sicherheitsanforderungen skizzieren:
Phase Plan: Erarbeitung einer IT-Sicherheitsstrategie und eines durchgängigen Governance-Modells zur Abdeckung aller fachlichen Anforderungen und Festlegung der Sicherheitsniveaus der einzelnen Komponenten.
Phase Set-up: Technischer Aufbau beziehungsweise Konfiguration der notwendigen Komponenten, wie beispielsweise Zugriffsrechte und Rollenprofile (IAM) auf der Cloud-Plattform. Dabei kommen entweder die in der Cloud vorhandenen Services zum Einsatz, oder zusätzliche Lösungen mit erweiterten Features können implementiert werden.
Phase Migrate: Umfassende Absicherung des Zugriffs auf Entwicklungs- und Testumgebungen. Klare Sicherheitsregeln zu Datenmigration sind notwendig, um compliance-kritische Datenbestände individuell zu behandeln.
Phase Manage: Eine wesentliche Herausforderung für die IT-Sicherheitsverantwortlichen ist die kontinuierliche Überprüfung des definierten Sicherheitsniveaus aller Systeme in hybriden Cloud-Architekturen. Die Aktualisierung aller Komponenten mit sicherheitsrelevanten Hot-Fixes und Updates sind dabei ein wesentlicher Baustein für das Betriebsteam.
Phase Optimise: Einsatz von künstlicher Intelligenz zur automatisierten Früherkennung sowie proaktiven Verhinderung von Sicherheitsvorfällen auf System- und Benutzerebene.
In allen Phasen der Cloud Journey müssen technische und organisatorische Aspekte beachtet und aktiv miteinbezogen werden. Nur so kann das gewünschte Sicherheitsniveau für die implementierte (hybride) Cloud-Architektur erreicht werden. Besonders wichtig ist dabei, die IT-Sicherheitsaspekte in den On-Prem-Umgebungen sowie den Public-Cloud-Plattformen zu synchronisieren. Insbesondere Multi-Public-Cloud-Architekturen werden rasch sehr komplex und generieren entsprechenden Administrations- und Kostenaufwand, der minimiert werden sollte.
================
On-Prem gespeicherte Daten sind nicht per se besser geschützt
Die letzten Monate im Homeoffice haben gezeigt, dass bei vielen Unternehmen ein «Cloud Push» stattfand. Wie die Cloud die Security aus betrieblicher Sicht verändert, erklärt Monika Josi,
Head of IT-Consulting, Avectris. Interview: Colin Wallace
Mit welchen Themen sehen sich Unternehmen im Moment konfrontiert?
Monika Josi: Wir sehen zwei grosse Tendenzen: Bei den einen geht es um das «Nachbessern» nach der Einführung einer Kollaborationsplattform in der Lockdown-Phase ab März. Andere wiederum haben sich bereits erste Überlegungen bezüglich des Einsatzes einer oder mehrerer Cloud-Lösungen gemacht, allerdings ist der Umgang mit Sicherheits- und Compliance-Aspekten oft noch unklar oder wird unterschätzt.
Was ist ein erster Schritt für die Unternehmen, um die Security-Themen anzugehen?
In der «Plan-Phase» analysieren wir die im Unternehmen verwendeten Daten bezüglich derer Sicherheits-, Integritäts-, Verfügbarkeits- und Compliance-Anforderungen. Hier trifft es der Ansatz «identify, protect and govern your data» auf den Punkt. Daraus abgeleitet erfolgt ein Assessment des heutigen Security-Status und des künftigen Bedarfs unter Berücksichtigung der heutigen Sicherheitsarchitektur. On-Prem gespeicherte Daten oder Systeme sind nicht per se besser geschützt als cloudbasierte. Es ist aber ebenso wichtig, die neu entstehenden Schwachstellen zu berücksichtigen.
Wie werden diese Informationen in den nächsten Phasen weiter genutzt?
Aus diesem Assessment wird die Security-Strategie und Architektur abgeleitet. Zentraler Aspekt sind der Schutz der Identität, die Berechtigungs- und Zugriffskonzepte sowie die bestehende und zukünftige Security-Tool-Landschaft. Das Thema Security-Governance bildet dabei einen integrierten Bestandteil, damit die relevanten Aspekte bereits auf Prozessebene integriert werden können. Es gilt dabei, Stolpersteine für die Zukunft zu vermeiden und Implikationen von möglicherweise fehlenden Massnahmen zu verringern. Das «Nachbessern» der Security kann unter Umständen mit grösseren technischen Änderungen verbunden sein. Dabei gilt es, Show Stopper früh zu erkennen und bereits in der Planung zu eliminieren. Auch hier sind entsprechende Governance-Prozesse unerlässlich.
Wie verändert die Cloud die Security aus betrieblicher Sicht?
Die sichere Konfiguration von cloudbasierten Ressourcen stellt eine Herausforderung dar. Oftmals wird das Change Management vernachlässigt, auch weil man nicht über die entsprechenden Tools oder das Know-how verfügt. Software-Security-Plattformen, die in die DevOps-Prozesse integriert sind und über statische wie auch interaktive Security-Testing-Funktionalität verfügen, können dabei hilfreich ein. Auch die verwendeten Open-Source-Komponenten sind auf Sicherheitsaspekte zu überprüfen. Cloudbasierte Systeme werden oft nicht in das bestehende Security-Monitoring aufgenommen, da die entsprechende Funktionalität oder die Kenntnisse fehlen. Das Gleiche gilt im Übrigen für die Incident-Response-Prozesse: Wie kann ich mit dem Cloud-Provider interagieren, wie verändern sich meine eigenen Prozesse, welches Know-how fehlt mir? Ein ehrlicher Blick auf die eigenen Fähigkeiten ist hier wichtig, um gut gewappnet in die Zukunft gehen zu können. Avectris unterstützt Sie dabei gerne.
Extreme Networks stellt Schweizer Geschäft unter neue Führung
Umfassende Cybersicherheit für OT-Umgebungen
Forschende entdecken russische Schadsoftware Kapeka
"Wir suchen Partner, die wachsen möchten"
Die wichtigsten Werkzeuge für die Abwehr
Endpoint Detection and Response als Managed Service nutzen
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
Cybersicherheit mit Infinigate Cloud
HPE verkürzt Channel-Lieferzeiten auf zwei Tage
