Datenschutz in einer Multi-Cloud-Umgebung

Transparenz
DAS WICHTIGSTE IM ÜBERBLICK

Mit der zunehmenden Verbreitung der Cloud stehen Unternehmen unter dem Druck, den Schutz ihrer Daten in Multi-Cloud-Umgebungen zu gewährleisten, was eine Herausforderung mit sich bringen kann. Hier erfahren Sie, wie man diese Daten behandeln und sicher aufbewahren kann.

Angesichts der wachsenden Beliebtheit der Cloud steigt der Bedarf nach Datenschutz in Multi-Cloud-Umgebungen. Allerdings kann es für Organisationen schwierig sein, den Zugriff auf die Daten zu verwalten und sie sicher zu speichern.

Laut Crystal Morin, Cybersecurity-Strategin beim Sicherheitsunternehmen Sysdig, unterscheiden sich die Bedrohungen in Multi-Cloud-Umgebungen nicht von denen in einer Single-Cloud-Umgebung.

Das Threat Research Team von Sysdig beobachtet jedoch, dass Angreifer bei Attacken zwischen verschiedenen Umgebungen wechseln, was für Multi-Cloud-Nutzer Anlass zur Sorge darstellt.

„Der größte Fehler, den ein Unternehmen in einer Multi-Cloud-Umgebung machen kann, ist abgesehen von den normalen Cloud-Sicherheitspraktiken, keine Sicherung und Beobachtung der Bewegungen zwischen den Cloud-Umgebungen“, sagt sie.

„Ein umfassender Überblick über Ihre Umgebung ist der Schlüssel zu deren Sicherheit.“

Je beliebter Multi-Cloud-Umgebungen werden, desto häufiger werden sich Angreifer seitlich durch die Umgebungen schleichen, um nach zusätzlichen Privilegien und sensiblen Daten zu suchen, die möglicherweise in den Umgebungen gespeichert sind, fügt Morin hinzu.

Da die Cloud-Landschaft so vielfältig ist und Multi-Cloud- und Hybrid-Konfigurationen umfasst, stellt sie ein fragmentiertes Netzwerk dar, das die Angriffsfläche vergrößert und die Überwachung und den Schutz erschwert, so Phani Dasari, Chief Information Security Officer von HGS, einem Unternehmen für digitales Kundenerlebnis.

Die Überwindung dieser Fragmentierung durch eine verbesserte Sichtbarkeit der gesamten Cloud-Umgebung ist entscheidend für die Verringerung von Cyber-Risiken und gehört zu den obersten Prioritäten für Sicherheitsteams, fügt er hinzu.

Zauberzwerge sind keine Lösung

Unternehmen müssen sicherstellen, dass nur diejenigen Zugriff auf bestimmte Firmendaten haben, die sie für ihre Arbeit benötigen, sagt Wayne Anderson, Direktor für Cloud, Sicherheit und Infrastruktur bei BDO Digital, einem Anbieter von Technologie- und Unternehmensberatungsdiensten.

„Die heutige Multi-Cloud-Welt besteht jedoch nicht aus einer Armee von Zauberzwergen, die intelligente und wohlüberlegte Entscheidungen in Echtzeit treffen“, erklärt er. 

„Stattdessen müssen die Systeme so konzipiert oder konfiguriert werden, dass sie wissen, welche Berechtigungen erforderlich sind, wer diese Berechtigungen haben sollte und wie die Berechtigungen auf Daten oder Applikationsfunktionen angewendet werden. Die Maschinen werden diese Regeln genau befolgen. Die Regeln müssen richtig sein.“

Um dieses Ziel zu erreichen, bedarf es einer Organisation, deren Geschäftsbereiche regelmäßig mit dem Sicherheitsteam kommunizieren und die bereit ist, für den Planungsprozess und die Einrichtung von Arbeitsabläufen genauso viel Zeit aufzuwenden wie für die Anschaffung der Tools, so Anderson.

„Die besten Sicherheitsteams agieren wie Berater und haben das Vertrauen des Unternehmens aufgebaut, um als Ansprechpartner ein Gleichgewicht zwischen einer schnellen Implementierung und dem Schutz des Unternehmens zu finden“, fügt er hinzu.

Eine der effektivsten Methoden zur Verwaltung der Berechtigungen, die Entitäten innerhalb eines Unternehmens zugewiesen werden, ist die rollenbasierte Zugriffskontrolle (engl. role-based access control, RBAC), so Brandon Leiker, Principal Solutions Architect, Security bei 11:11 Systems, einem Anbieter von verwalteten Infrastrukturlösungen. 

Mit RBAC werden verschiedene Rollen auf der Grundlage der Benutzertypen oder der Zugriffsebenen, die User für eine Umgebung oder Daten benötigen, erstellt. Anschließend werden die Nutzer-Accounts diesen Rollen zugewiesen.

„Die Verwaltung des Zugriffs und der Berechtigungen über mehrere Cloud-Umgebungen hinweg durch die Identitäts- und Zugriffsverwaltungslösung der einzelnen Umgebungen kann [jedoch] administrativ aufwändig sein“, erklärt er.

„Ganz zu schweigen davon, dass die User mehrere Benutzernamen, Passwörter und MFA-Token [Multi-Faktor-Authentifizierung] verwalten müssen, was sie zu der falschen Praxis verleitet, Passwörter in diesen Umgebungen wiederzuverwenden.”

Zur Linderung dieser Probleme sollten Organisationen versuchen, Single-Sign-On-Lösungen zu implementieren, sagt Leiker.

Dies ermöglicht es Administratoren, den Zugang und die Berechtigungen für die verschiedenen Cloud-Umgebungen, die von den Unternehmen genutzt werden, über eine zentralisierte Plattform zu verwalten.

Die Benutzer können über ein zentrales Portal mit einem einzigen Benutzernamen, Passwort und MFA auf diese Umgebungen zugreifen.

Angreifer zielen auf Backups

In einer Multi-Cloud-Umgebung ist die Gewährleistung der Datensicherheit von entscheidender Bedeutung, sagt Evan Pease, Technologieleiter der Launch Consulting Group.

Dazu müssen Unternehmen unter anderem Backups an mehreren Speicherorten anlegen und robuste Wiederherstellungspläne haben.

„Multi-Cloud-Konfigurationen bieten die Flexibilität, verschiedene Cloud-Anbieter für Backups zu nutzen“, sagt er.

„Es kann zwar teurer sein, Daten in mehreren Clouds zu speichern, aber für manche Daten kann sich der Kompromiss lohnen.“

Steve Costigan, Field CTO, EMEA beim Cloud-Computing-Unternehmen Zadara, stimmt dem zu und erklärt, dass Unternehmen sicherstellen müssen, dass Backups über verschiedene Umgebungen und Standorte hinweg portabel sind.

„Sie wollen sich nicht an eine eingeschränkte Lösung mit begrenzten Wiederherstellungsoptionen binden“, sagt er.

„Stellen Sie sicher, dass Sie über eine echte Isolierung zwischen den Systemen verfügen, da dies im Falle einer Kompromittierung die laterale Bewegung von Ost nach West einschränkt.“

Außerdem sollten Betriebe unveränderliche oder Air-Gapped-Offsite-Backups in Erwägung ziehen, da die meisten Angriffe auf Umgebungen heute speziell auf Backups abzielen, so Costigan.

„Dies ist Ihre letzte Verteidigungslinie für die Wiederherstellung“, betont er.

„Wenn Ihre Backups gelöscht oder kompromittiert werden, steht Ihre Datenintegrität vor dem Abgrund.“

Multi-Cloud-Umgebungen erfordern außerdem Mechanismen zur Versionierung und robuste Disaster-Recovery-Pläne, so Dasari.

„Die Tatsache, dass historische Versionen leicht zugänglich sind, gewährleistet eine schnelle Wiederherstellung im Falle eines Datenverlusts oder einer Datenbeschädigung“, erklärt er.

„Strenge Tests des Disaster-Recovery-Plans sind für die Minimierung von Ausfallzeiten und die Sicherstellung der Datenverfügbarkeit von entscheidender Bedeutung.“

Es geht nicht nur um technische Tools

Der Schutz von Daten in einer Multi-Cloud-Umgebung umfasst mehr als nur den Einsatz der richtigen technischen Tools.

Es geht um eine ganzheitliche Herangehensweise, die sowohl administrative als auch technische Aspekte beinhaltet, sagt Nick Harrahill, Director of Customer Support bei Spin.AI, einem Software-as-a-Service (SaaS) Sicherheitsunternehmen.

„Auf der technischen Seite sind Maßnahmen wie die Verschlüsselung von Daten sowohl im Ruhezustand als auch bei der Übertragung, die regelmäßige Überwachung der Datenintegrität mit Hilfe von digitalen Signaturen oder Hashes sowie starke Identitäts- und Zugriffsmanagementkontrollen von größter Bedeutung“, erklärt er. 

„Darüber hinaus sind umfassende Audits, zeitnahes Schwachstellenmanagement, die Einführung von Datenmanagement-Plattformen, verstärkte Netzwerksicherheit und automatisierte Disaster-Recovery-Lösungen unerlässlich.“

Aus administrativer Sicht sind strenge Anbieterbewertungen und Verträge, die die Einhaltung von Service-Level-Agreements und höchsten Sicherheitsstandards gewährleisten, von entscheidender Bedeutung, fügt Harrahill hinzu. 

Häufige Prüfungen durch Dritte, solide Datensicherheitsrichtlinien, eine klar definierte Strategie für die Reaktion auf Vorfälle und strenge Richtlinien für die Verwaltung des Datenlebenszyklus sind ebenso wichtig.

„Das gesamte Vorhaben, Daten in einer Multi-Cloud-Konfiguration zu sichern, läuft auf die Förderung von Partnerschaften zwischen Kunden und Anbietern hinaus, wobei jeder sein Fachwissen und seine Kontrollen einbringt“, erklärt er. 

„Ich sage immer: ‚Vertraue, aber überprüfe‘. Diese Philosophie ist die Grundlage für den Aufbau und die Aufrechterhaltung starker, sicherer Beziehungen im Multi-Cloud-Umfeld, um die Integrität und Sicherheit der Daten jederzeit zu gewährleisten.“

Ein Eckpfeiler für den Datenschutz ist das Verständnis der Sicherheitsmechanismen jedes Cloud-Anbieters und die Abstimmung mit internen Protokollen, sagt Mike Fraser, VP of DevSecOps bei Sophos, einem Anbieter von Cybersecurity-Lösungen.

„Datenverschlüsselung erfordert die Verschlüsselung von Daten im Ruhezustand und während der Übertragung. Viele Cloud-Anbieter stellen zwar Verschlüsselungstools zur Verfügung, aber Unternehmen erhalten mehr Sicherheit, wenn sie ihre Verschlüsselungsschlüssel selbst verwalten“, sagt er.

In diesem Zusammenhang spielen das Cybersecurity Posture Management und das Data Security Posture Management eine wichtige Rolle, da sie für sichere und konforme Konfigurationen von Cloud-Diensten und -Daten sorgen und sich oft nahtlos in moderne DevSecOps-Pipelines integrieren lassen, um die Durchsetzung durch Automatisierung zu gewährleisten, so Fraser weiter.

Fazit

Angesichts der sich ständig weiterentwickelnden Cyber-Bedrohungen und der immer strengeren Vorschriften werden Unternehmen weltweit ihre Cyber-Investitionen auf den Schutz „geschäftsrelevanter“ Daten ausrichten, so Dasari.

„Dazu gehört ein tiefes Verständnis dieser Daten im gesamten Unternehmen und eine kontinuierliche Bewertung ihrer Einführung in die Umgebung, sei es über die Cloud, SaaS-Lösungen, Kernanwendungen oder Beziehungen zu Dritten“, sagt er.

„Dieser Ansatz wird zu widerstandsfähigeren Cybersicherheitsprogrammen und minimierten Risiken für Organisationen führen.“

Verwandte Begriffe

In Verbindung stehende Artikel

Linda Rosencrance
Redakteurin
Linda Rosencrance
Redakteurin

Linda Rosencrance ist freiberufliche Schriftstellerin/Redakteurin/Autorin im Großraum Boston. Rosencrance verfügt über mehr als 30 Jahre Erfahrung als investigative Reporterin und schrieb für viele Zeitungen im Großraum Boston. Seit 1999 schreibt sie über Informationstechnologie und ihre Artikel sind in Publikationen wie MSDynamicsworld.com, TechTarget, TechBeacon, IoT World Today, Computerworld, CIO Magazine und anderen erschienen. Rosencrance war Redakteurin einer Technologie-Nachrichtenseite und leitete und redigierte einen Blog, der sich mit Datenanalyse befasste. Außerdem schreibt sie White Papers, Fallstudien, E-Books und Blogbeiträge für viele Firmenkunden. Rosencrance ist Autorin von fünf Büchern über wahre Verbrechen für Kensington Publishing Corp: "Murder at Morses Pond", "An Act of…