Unternehmen und Konzerne
Schützen Sie Ihr Unternehmen vor Cyberkriminellen.
Jetzt gratis testenCloud-Computing-Security oder Cloud-Security ist ein Überbegriff für Technologien, Prozesse und Überprüfungen zur Sicherung von Cloud-Infrastruktur, -Diensten und -Anwendungen sowie für die in der Cloud gespeicherten und verarbeiteten Daten.
Bevor wir näher auf die Besonderheiten von Cloud-Security eingehen, ist es hilfreich, erst einmal zu verstehen, was Cloud-Computing überhaupt ist.
In traditionellen Datenumgebungen besitzt und betreibt eine Organisation eigene Hardware und andere Infrastruktur, entweder vor Ort an Unternehmensniederlassungen oder in einem Rechenzentrum (Letzteres wird als "private Cloud" bezeichnet). Dabei ist die Organisation verantwortlich für die Einrichtung, den Betrieb und die Sicherheit aller Bestandteile, einschließlich der Server und anderer Hardware.
Beim Cloud-Computing mietet eine Organisation im Prinzip Serverinfrastruktur von einem Cloud-Dienst-Anbieter. Die Cloud-Dienst-Anbieter besitzen und betreiben die Rechenzentren mit allen Servern, anderer Hardware und die zugrunde liegende Infrastruktur wie Unterseedatenkabel. Dadurch müssen Organisationen nicht mehr selbst für den Betrieb und die Sicherheit der Cloud-Infrastruktur sorgen und können weitere Vorteile genießen, etwa bessere Skalierbarkeit und Zahlungsmodelle, die am tatsächlichen Bedarf der Organisation angepasst sind.
Nicht alle Cloud-Computing-Dienste sind dabei gleich. Es gibt drei Haupttypen bei Cloud-Diensten und moderne Organisationsstrukturen nutzen in der Regel eine Kombination dieser:
Software-als-Dienstleistung (Software-as-a-Service, SaaS) ist der geläufigste Cloud-Dienst. Fast jeder nutzt SaaS-Anwendungen (Apps), auch wenn das den meisten Menschen nicht klar ist. Ein SaaS-Produkt wird über das Internet bereitgestellt und die Nutzer greifen über mobile Apps, Desktop-Apps oder einen Internetbrowser darauf zu. SaaS-Apps sind unter anderem Endkunden-Apps wie Gmail oder Netflix, aber auch Unternehmenslösungen wie Salesforce und die Bürosoftwarelösung Google Workspace.
Infrastruktur-als-Dienstleistung (Infrastructure-as-a-Service, IaaS) ist ein Cloud-Dienst, der sich primär an Organisationen richtet, aber auch Technologieenthusiasten können sich IaaS-Dienste für die persönliche Nutzung kaufen. Die Cloud-Dienst-Anbieter stellen Infrastrukturdienste bereit (Server, Speicher, Netzwerklösungen, Virtualisierungslösungen usw.) und Kunden kümmern sich um Betriebssysteme, Daten, Anwendungen, Dienstsoftware und Laufzeitumgebungen. Wenn man von einer "öffentlichen Cloud" spricht, bezieht man sich häufig auf IaaS. Beispiele für Anbieter öffentlicher Clouds sind die drei Branchenplatzhirsche Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Entra ID (Azure).
Plattform-als-Dienst (Platform-as-a-Service, PaaS) sind Lösungen speziell für Entwickler. Die Kunden kümmern sich nur um Anwendungen und Daten und die Cloud-Anbieter übernehmen sämtliche anderen Aspekte, einschließlich Betriebssysteme, Dienstsoftware und Laufzeitumgebungen. Anders gesagt: PaaS-Lösungen stellen Entwicklern einsatzbereite Arbeitsumgebungen zur Verfügung, mit denen sie Anwendungen programmieren, verwalten und veröffentlichen können, ohne sich Gedanken über Betriebssystemaktualisierungen oder andere Software machen zu müssen. PaaS-Beispiele sind unter anderem AWS Elastic Beanstalk, Heroku und Google App Engine. Üblicherweise werden PaaS- und IaaS-Dienste zusammen genutzt. Eine Organisation kann beispielsweise AWS zum Hosten und AWS Elastic Beanstalk zur Entwicklung von Anwendungen einsetzen.
Ein genaues Verständnis dafür, welche Verantwortlichkeiten der Cloud-Anbieter und welche der Cloud-Kunde hat, ist essenziell für das Verständnis der Funktionsweise von Cloud-Sicherheit.
Cloud-Sicherheit basiert auf dem Modell der geteilten Verantwortlichkeiten. In diesem Modell:
Das ist vergleichbar mit dem Mieten eines Lagercontainers. Sie sind verantwortlich für den Schutz und die Sicherheit Ihres Eigentums im Container. Dazu müssen Sie die Türen ordentlich verriegeln und den Schlüssel zum Schloss sicher aufbewahren. Die Lagercontainerfirma ist verantwortlich für die Sicherheit des gesamten Komplexes mittels Eingangskontrollen, Kameras, angemessene Beleuchtung und Wachpersonal. Das Unternehmen ist verantwortlich für die Sicherheit des ganzen Lagerkomplexes. Sie sind verantwortlich für die Sicherheit Ihrer gemieteten Einheit.
Unabhängig davon, ob wir nun von einer SaaS-App, einer IaaS-Lösung (öffentliche Cloud) oder einer PaaS-Entwicklerplattform reden, einer der wichtigsten Bausteine der Cloud-Sicherheit ist die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAS) und die Verhinderung von Datenverlusten. Mit anderen Worten: Die Verhinderung, dass nicht autorisierte Elemente Zugriff auf Ihren Cloud-Dienst und damit Ihre Daten erlangen.
Bleiben wir beim Lagercontainerbeispiel: Wenn Sie den Schlüssel zu Ihrem Lagercontainer unbeaufsichtigt herumliegen lassen und ihn jemand stiehlt und somit Zugang zu Ihrem Container erlangt, dann haben nicht die Sicherheitsvorkehrungen des Anbieters versagt, sondern Ihre eigenen. Ähnlich verhält es sich, wenn Sie ein einfach zu erratendes Passwort verwenden, um etwa Ihr Gmail-Konto oder Ihre GCP-Admin-Konsole zu schützen. Wenn es Angreifern dadurch gelingt, Ihre Systeme zu infiltrieren, dann hat nicht die Sicherheit von Google, sondern Ihre eigene Sicherheit versagt.
Neben der Verhinderung des unautorisierten Zugriffs auf Daten und Datendiebstahl ist ein weiterer Aspekt der Cloud-Sicherheit die Verhinderung des unbeabsichtigten Datenverlusts durch menschliche Fehler oder Fahrlässigkeit und die Gewährleistung, dass Daten bei einem Verlust wiederhergestellt werden können. Dazu kommt die Einhaltung von Datenschutzrichtlinien wie HIPAA, welche den nicht autorisierten Zugang zu privaten Gesundheitsdaten verbietet. Die Cloud-Sicherheit ist ein fundamentaler Bestandteil bei Reaktionen auf Sicherheitsverstöße, Datenwiederherstellung in Notfällen und der Geschäftskontinuitätsplanung.
Typische Cloud-Sicherheitsvorkehrungen sind:
Das sind einige der größten Herausforderungen und Risiken bei Cloud-Sicherheit:
Stellen Sie sicher, dass das Sicherheitsmodell der geteilten Verantwortlichkeiten genau verstehen, damit Sie wissen, wofür Ihre Organisation verantwortlich ist und wofür nicht. Das mag offensichtlich klingen, aber die genaue Festlegung wer wofür die Verantwortung trägt, ist insbesondere in hybriden Cloud-Umgebungen ein komplexes Unterfangen.
Ein Vorteil von Cloud-Computing ist, dass von überall her und von beliebigen Geräten aus auf Ressourcen zugegriffen werden kann. Aus Sicht der IT-Sicherheit sorgt das aber für neue Probleme, da viel mehr Zugriffspunkte gesichert werden müssen. Der Programme für den Schutz der Zugriffspunkte und von Mobilgeräten versetzen Sie in die Lage, Zugriffsbeschränkungen umzusetzen und Zugriffsverifizierungsverfahren, Firewalls, Anti-Viren-Programme, Speicherverschlüsselung und andere Sicherheitsprogramme einzuführen. Weitere bewährte Praktiken für Cloud-Computing sind: