Angesichts der Tatsache, dass immer mehr Anwendungen und somit auch deren Daten in der Cloud abgelegt werden, stellt sich immer dringlicher die Frage nach der Sicherheit für Applikationen und vor allem die der Daten selbst. Bei Applikationen die mittels einer Public Cloud zur Verfügung gestellt, greifen die herkömmlichen Maßnahmen zur Absicherung nicht mehr und im besten Fall sind diese nur unzureichend. Daher braucht diese Art der Bereitstellung von Services auch eine andere IT Security. Aus diesem Grund muss ein Umdenken stattfinden und es müssen neue Methoden einzug in die Aufgaben und Arbeitsweisen der Administratoren halten um sich gegen die Cloud abzielende Cyber Attacken zu wehren.
Dass das Cloud Computing in seinen Grundsätzen völlig anders funktioniert, sollte jedem klar sein, der dieses benutzt. Das Cloud Computing bildet nur das gewohnte Verständnis eines Rechenzentrums abstrahiert ab und das noch wesentlich Abstrakter, als es zum Beispiel VMware & Co tun. Dienste und andere Ressourcen sind nicht mehr zwingend einzelnen Rechenzentren oder gar Systemen und Segmenten zugeordnet, was sich ganz deutlich im Serverless Computing, wie zum Beispiel bei den Containern zeigt. Daten liegen in Regionen bzw. über diese Verteilt und diese Regionen existieren nur als Definition der Cloud Anbieter selbst. Von außen betrachtet sieht es wie ein “normales” Rechenzentrum aus, in dem die Systeme und Daten sich befinden, nur ist es genau das in Wirklichkeit nicht. Diese eigene kleine virtuelle Welt der Systeme und Daten ist eben genau dass, eine virtuelle Umgebung, die der Anbieter als solche so darstellt, die aber nicht so funktioniert, wie man es vielleicht von der eigenen vSphere Umgebung kennt. Grundsätzlich ist es natürlich richtig, es so darzustellen, wie sollte man sonst eine für die IT Abteilung administrierbare Welt der Wirklichkeit erschaffen und daher ist es auf keinen Fall falsch diese Art der Darstellung zu wählen. Um aber ein Verständnis der daraus resultieren Anforderungen für die Sicherheit zu bekommen, ist es wichtig zu wissen, dass man zwar das herkömmliche sieht, aber es unter dieser Abstraktionsebene völlig anders ist, was auch genau der Grund dafür ist, dass herkömmliche Ansätze zur IT Sicherheit in der Cloud eben nicht genauso funktionieren. Wer sich dessen Bewusst ist, muss also bei der IT Sicherheit in der Cloud neue Wege gehen und andere Lösungen finden um seine dort betriebenen Applikationen und Daten entsprechend abzusichern. Als erstes muss einem klar sein, dass der Anbieter den Betrieb der Instanzen sicherstellt und sich natürlich darum kümmert, dass seine Infrastruktur sowohl einen zuverlässigen als auch einen, im Sinne der IT Sicherheit, sicheren Betrieb bereitstellt. Aber dann hört es auch schon mehr oder weniger auf, danach liegt wieder alles beim Kunden, genauso wie im eigenen Datacenter. Der Betreiber einer Instanz muss sich um dessen Sicherheit selbst kümmern und auf diesem Hintergrund beginnt das Thema der IT Sicherheit in der Cloud.
Diese Absicherung fängt schon bei der Speicherung der Daten an. Hier ist es ganz besonders wichtig von Anfang an auf Verschlüsselung zu setzen, denn man ist in der Cloud nicht unbedingt alleine auf der Physik darunter. Im Zweifel ist immer davon auszugehen, dass ein anderer “Kunde” sich nicht so verhält wie man es sich wünschen würde. Daher ist es sehr wichtig, dass die Daten verschlüsselt abgelegt werden. Die Cloud Anbieter haben entsprechendes im Portfolio. Hier muss man dann entscheiden, ob man dem Anbieter vertraut, und dessen Verwaltung der Schlüssel nutzt oder ob man am besten in Colocations eigene Systeme zur Verwaltung der Schlüssel betreibt. In diesem Fall ist der Cloud Anbieter nicht im Besitz der Schlüssel selbst. Das ist schon mal die erste Entscheidung die es zu treffen gilt.
Eine weitere Entscheidung ist die, wie man die Zugriffe auf die Ressourcen absichern möchte. Hier gibt es so zu sagen zwei Ebenen, die Netzwerkebene und die Ebene des Benutzers. Es gibt nicht ohne Grund von allen Enterprise Anbietern entsprechende Cloud Versionen ihrer Firewalls, mit den gleichen Funktionen, mit denen man auch seine On Premises Anwendungen schützt. Weiter geht es dann mit der Absicherung des Zugriffs selbst. Als einen der häufigsten Vertreter ist hier https zu nennen, mit all den Fallstricken, die es auch bei dessen Absicherung gibt. Dann gibt es da noch die Ebene der Anwender selbst, hier gilt es sicherzustellen, dass man den Zugriff auch nur den gewünschten Anwendern gewehrt, Identity Management, Multi-Faktor-Authentifizierung, Access Management, um nur wenige zu nennen. Die Anforderungen an die IT Sicherheit in der Cloud sind ähnlich aber eben nicht gleich oder identisch mit denen einer Colocation oder On Premises. Daher ist es wichtig, die Sicherheit in der Cloud neu zu überdenken und zu verstehen, dass eine Cloud eben anders ist.
Die Funktionen in der Cloud sind da, die Hersteller haben entsprechende Produkte in ihren Portfolios, die nicht nur die Default Security Produkte umfassen, sondern auch spezielle Systeme um Anomalien in der eigenen Cloud Instanz zu erkennen und um dann auch entsprechend handeln zu können.
Als Betreiber ist man in der Verantwortung und kein anderer und schon gar nicht der Cloud Anbieter selbst, denn wer eine Instanz betreibt muss sich auch um die Sicherheit kümmern. Das ist eine der Herausforderungen die der Weg in die Cloud für uns bereit hält. Dieser Beitrag soll nicht als Anti-Cloud verstanden werden, sondern will den Anstoß geben, sich dem Thema IT Sicherheit in der Cloud anzunehmen und helfen den Blick für die Unterschiede zum Gewohnten zu schärfen. Grundsätzlich ist ja der Weg in die Cloud nicht per se schlecht, es gilt die richtigen Fragen zu stellen und die Optionen objektiv zu bewerten, mit allem was dazugehört und dazu zählt im Besonderen die Sicherheit der Daten und Anwendungen.
Wie immer, wenn Sie Fragen zum Thema haben, sprechen Sie uns an.