Ewout Vermeulen Frank Peeters
Ewout Vermeulen & Frank Peeters
May 31, 2022

Die Reise in die Cloud ... und wie man sie sicher antritt

Die meisten Unternehmen haben bereits eine Cloud-Technologie eingeführt oder sind dabei, ihre IT-Systeme und -Dienste um Cloud-Funktionen zu erweitern. Dies gilt nicht nur für Software-as-a-Service-Anwendungen, sondern auch für das Lebenszyklusmanagement bestehender IT-Dienste.

Scroll down

Die Vorteile der Cloud-Technologie sind hinlänglich bekannt. Sie bietet großartige Möglichkeiten für die bedarfsgerechte Skalierung und die Bereitstellung der neuesten Innovationen wie Container und Microservices, um modulare Anwendungen oder Serverless Computing einzurichten. In Kombination mit dem „Pay-as-you-go“-Modell sind keine größeren Vorabinvestitionen erforderlich, sodass Unternehmen von CapEx- zu OpEx-Modellen übergehen können.

Insgesamt helfen diese Vorteile den Unternehmen dabei, ihre Kosten zu senken, flexibler zu sein und die Markteinführungszeit für die Lieferung von Waren und Dienstleistungen an ihre Kunden zu verkürzen.

Die Unternehmensperspektive

Obwohl die Cloud-Technologie viele Vorteile bietet, sollten Aspekte der Verwaltung und Sicherheit nicht außer Acht gelassen werden. Unter dem Gesichtspunkt des Geschäftsrisikos sollte ein angemessenes Verfahren auf der Grundlage von „Security and Privacy by Design“ vorhanden sein. Zu diesem Zweck ist ein organisiertes Team wie ein Cloud Center of Excellence (CCoE) ein nützliches Instrument, um Governance und Sicherheit auf dem Weg in die Cloud zu unterstützen. Ein CCoE kann bei der Konzeption und Erstellung einer soliden Lösung helfen. Dabei konzentriert sich das Team auf Themen wie angemessene Anleitung, geteilte Verantwortlichkeiten, Kostenmanagement und Sicherheitsarchitekturinitiativen wie Zero Trust Network Architecture (ZTNA), Cloud Access Security Broker (CASB) und Secure Access Service Edge (SASE). Dies sind alles wichtige Etappen auf der Reise in die Cloud.

Risikobasierter Ansatz

Sobald ein CCoE-Team gebildet wurde, ist es von entscheidender Bedeutung, dass die Risiko- und Sicherheitsbeauftragten innerhalb des Teams einen risikobasierten Ansatz verfolgen, um die Anforderungen an die Cloud-Plattform-Umgebung für den Aufbau und die Bereitstellung der Landing Zone zu bestimmen. Aus Sicht der Kontrollebene ist dabei wichtig, einen sicheren Zugang zur Landing Zone zu gewährleisten. Dieser privilegierte Zugang wird von einigen Anbietern als Cloud Infrastructure Entitlement Management (CIEM) bezeichnet.

Die Bedeutung der Automatisierung

Die Reise in die Cloud ist eine großartige Gelegenheit, die Bereitstellung so weit wie möglich zu automatisieren. Die Bereitstellung von Ressourcen in der Cloud kann beispielsweise als „Infrastructure-as-Code (IaC)“ auf der Grundlage von CI/CD-Tools und allgemein integrierten Sicherheitsüberprüfungskontrollen sowie von Bereitstellungsrichtlinien, die vom Unternehmen festgelegten wurden, erfolgen. Dies unterstützt die Begrenzung oder Einschränkung bestimmter Ressourcen und/oder Einstellungen entsprechend den Sicherheits- und Compliance-Richtlinien des Unternehmens. Sobald die Landing Zone fertiggestellt ist und eine hybride Verbindung zur bestehenden lokalen Umgebung hergestellt wurde, ist es an der Zeit, die Geschäftslösungen bereitzustellen. Aufgrund der Umstellung auf agile/DevOps-Arbeitsweisen in vielen Unternehmen sind diese Teams für ihre eigenen Lösungen oder Workloads verantwortlich. Sie müssen unterstützt und angeleitet werden, um die sichere Bereitstellung ihrer Lösungen und operativen Aufgaben zu gewährleisten.

Kontinuierliche Überwachung

Zu diesen operativen Aufgaben gehören die Verwaltung des Lebenszyklus von Anwendungen sowie die Verwaltung von Patches und Schwachstellen. Diese fallen in den Verantwortungsbereich des Agile/DevOps-Teams, das für die Arbeitslast/Lösung verantwortlich ist. Das für die Landing Zone der Cloud-Plattform zuständige Team ist für die gemeinsam genutzten Dienste verantwortlich und stellt diese den Agile/DevOps-Teams zur Verfügung. Einer der wichtigsten Aspekte ist die kontinuierliche Überwachung von Warnungen und Vorfällen und die Bereitstellung von Einblicken in den Status von Anwendungen, Arbeitslasten und anderen Ressourcen. Da „Infrastructure-as-a-Service“ und „Platform-as-a-Service (PaaS)“ häufig aus öffentlichen Cloud-Umgebungen bereitgestellt werden, könnte sich bei falscher Konfiguration das Risiko erhöhen.

Verbesserung der Sicherheitslage

Es müssen solide Richtlinien, Leitlinien und Prozesse definiert und befolgt werden, um Risiken wie Ransomware und andere Malware zu erkennen. Durch den Einsatz von Bedrohungsmodellen, Risikobewertungen und einem mehrstufigen Sicherheitskontrollkonzept können die Sicherheitsvorkehrungen so weit wie nötig erhöht werden. Da es sich bei der Sicherheit nicht um ein Projekt, sondern um einen Prozess handelt, ist der Lebenszyklus der Sicherheitsverbesserungen eine ständige Aufgabe des CCoE-Teams und der Workload-Teams.

Schließlich müssen auch die Augen des Unternehmens, d. h. das Security Operation Center (SOC), ein integrierter Bestandteil des Multi-Cloud-Ansatzes sein, um eine einheitliche Sicht auf das zentrale Security Information and Event Management-System zu gewährleisten. Fähigkeiten wie eine schnelle oder automatische Reaktion sind essenziell, um weiterer Angriffe, die Gefährdung oder das Risiko von Datenverlusten durch die Einbettung und Implementierung von Security Orchestration, Automation and Response (SOAR) zu vermeiden.

Über die Autoren
  • Ewout Vermeulen

    Ewout Vermeulen is a Security consultant at Traxion, provider of Identity Centric Security Services in the Netherlands and Belgium with over 130 highly qualified professionals. Traxion is part of Swiss IT Security Group.

  • Frank Peeters

    Frank Peeters is senior security consultant at Traxion, provider of Identity Centric Security Services with over 150 highly qualified professionals. Traxion is part of the Swiss IT Security Group.

Want to kickstart your  career at Traxion?

Want to kickstart your career at Traxion?

Visit workattraxion.com
Confidental Infomation