Experten Blog

19 Best Practices für Cloud-Security 2019

Risiken reduzieren mit Best Practices für Cloud Security

Cloud Computing ist im zweiten Jahrzehnt seiner kommerziellen Verfügbarkeit fast allgegenwärtig geworden. 95 Prozent aller Unternehmen geben an, eine Cloud-Strategie zu haben. Obwohl Cloud-Provider heute so sicher arbeiten wie nie zuvor, ist die Nutzung von Cloud-Services auch heute noch mit Risiken verbunden. Glücklicherweise können Sie diese weitgehend ausschließen, wenn sie die folgenden Best Practices für Cloud Security umsetzen:

Cloud-Daten schützen

  1. Ermitteln, welche Daten besonders sensibel sind. In allen Bereichen das höchste Schutzniveau umzusetzen, würde den Betrieb Ihres Unternehmens lähmen. Beim Schutz von Daten zu versagen, die besonders sensibel sind, wäre jedoch ein Risiko, weil geistiges Eigentum gestohlen werden könnte und weil behördliche Sanktionen folgen könnten. Höchste Priorität sollte es deshalb haben, Klarheit darüber herzustellen, welche Bereiche besonders geschützt werden müssen. Für diesen Prozess der Data Discovery and Classification wird typischerweise eine Classification Engine eingesetzt. Streben Sie nach einer umfassenden Lösung, die sensible Inhalte in Ihrem Netzwerk, auf Endpoints, in Datenbanken und in der Cloud lokalisiert und schützt, und die Ihrem Unternehmen gleichzeitig ein angemessenes Maß an Flexibilität bietet.
  2. Feststellen, wie Daten gespeichert werden und wie auf sie zugegriffen wird. Zweifellos ist es möglich, sensible Daten sicher in der Cloud zu speichern, Sicherheit ist aber kein Selbstläufer. Nach Angaben aus dem McAfee 2019 Cloud Adoption and Risk Report enthalten 21 Prozent aller Dateien in der Cloud sensible Daten – ein deutlicher Anstieg gegenüber dem Vorjahr. Ein Großteil dieser Daten wird in etablierten Enterprise Cloud Services wie Box, Salesforce und Office365 gespeichert. Diese Services sind bewährt, aber Unternehmen müssen sich bewusst sein, dass keiner dieser Services 100 Prozent Sicherheit garantiert. Deshalb ist es wichtig, alle Berechtigungen und Zugriffskontexte zu überprüfen und bei Bedarf anzupassen, die mit den Daten in Ihrer Cloud-Umgebung im Zusammenhang stehen. In einigen Fällen könnte es notwendig sein, sensible Daten, die bereits in der Cloud gespeichert sind, zu entfernen oder unter Quarantäne zu stellen.
  3. Festlegen, wer Daten freigeben darf, und wie. Der Austausch sensibler Daten in der Cloud hat im Vergleich zum Vorjahr um mehr als 50 Prozent zugenommen. Unabhängig davon, wie leistungsstark Ihre Strategie zur Bedrohungsabwehr ist, sind die Risiken dermaßen hoch, dass ein reaktiver Ansatz nicht tolerierbar ist. Es müssen Zugriffsrichtlinien festgelegt und durchgesetzt werden, bevor bestimmte Daten überhaupt jemals in die Cloud gelangen. So wie die Anzahl der Mitarbeiter mit Bearbeitungsberechtigung für ein Dokument viel geringer ist als die Anzahl der Mitarbeiter mit Berechtigung zum Anzeigen, ist es sehr wahrscheinlich, dass nicht jeder, der auf bestimmte Daten zugreifen muss, diese auch freigeben/teilen können muss. Die Menge der extern freigegebenen Daten kann drastisch eingeschränkt werden, wenn Gruppen und zugehörige Berechtigungen definiert werden, die das Freigeben nur genau den Mitarbeitern erlauben, die diese Funktion tatsächlich benötigen.
  4. Nicht auf die Verschlüsselungsfunktionen von Cloud-Services verlassen. Umfassende Verschlüsselung auf Dateiebene muss die Grundlage aller Cloud-Sicherheitsmaßnahmen Ihres Unternehmens sein. Die innerhalb von Cloud Services angebotene Verschlüsselung kann zwar Ihre Daten vor Dritten schützen, gibt dem Cloud-Serviceprovider aber notwendigerweise Zugang zu Ihren Schlüsseln. Um den Zugriff vollständig zu kontrollieren, müssen Sie stringente Verschlüsselungslösungen mit eigenen Schlüsseln einsetzen, bevor Sie Daten in die Cloud hochladen.

Interne Bedrohungen der Cloud-Security minimieren

  1. Keine unbeobachteten Cloud-Zugriffe von Mitarbeitern zulassen. Allein die Tatsache, dass es eine unternehmensweite Strategie für Cloud-Security gibt, verhindert nicht, dass Ihre Mitarbeiter die Cloud nach eigenen Vorstellungen nutzen. Von Cloud-Speicherkonten wie Dropbox bis hin zu Online-Dateikonvertierungsdiensten – die meisten Menschen verzichten darauf, die IT-Abteilung zu konsultieren, bevor sie auf Clouds zugreifen. Um die potenziellen Risiken der Cloud-Nutzung durch Mitarbeiter zu erfassen, sollten Sie zunächst Ihre Web-Proxy-, Firewall- und SIEM-Protokolle analysieren. Finden Sie heraus, welche Cloud-Services von den Mitarbeitern genutzt werden. Anschließend sollten Sie die Vorteile der Cloud-Nutzung für die Mitarbeiter beziehungsweise für das Unternehmen gegen die dabei bestehenden Risiken abwägen. Berücksichtigen Sie, dass Schattennutzung nicht allein bekannte Endpoints betrifft, die auf unbekannte oder nicht autorisierte Services zugreifen. Sie benötigen auch eine Strategie, mit der verhindert wird, dass Daten von vertrauenswürdigen Cloud-Services zu unbekannten Geräten weitergeleitet werden. Weil Cloud-Services den Zugriff von jedem mit dem Internet verbundenen Gerät aus ermöglichen können, handelt es sich bei nicht verwalteten Endpoints wie persönlichen Mobilgeräten um Lücken in Ihrer Sicherheitsstrategie. Sie können den Download auf nicht autorisierte Geräte unterbinden, indem Sie die Überprüfung der Gerätesicherheit zu einer Voraussetzung für das Herunterladen von Dateien machen.
  2. „Safe-Liste“ erstellen. Die meisten Ihrer Mitarbeiter nutzen Cloud-Services in aller Offenheit. Es ist aber davon auszugehen, dass einige von ihnen versehentlich zweifelhafte Cloud-Services finden und nutzen. Von den 1935 Cloud-Services, die pro Unternehmen durchschnittlich genutzt werden, gelten 173 als riskant. Wenn Sie wissen, welche Services in Ihrem Unternehmen genutzt werden, können Sie Richtlinien definieren, mit denen Sie 1.) festlegen, welche Arten von Daten in der Cloud erlaubt sind, 2.) eine „Safe-List“ von Cloud-Anwendungen durchsetzen, die von Mitarbeitern benutzt werden dürfen, und 3.) Best Practices, Vorsichtsmaßnahmen und Werkzeuge für Cloud-Security beschreiben, die für eine sichere Nutzung zugelassener Anwendungen erforderlich sind.
  3. Endpoints im Blick haben. Die meisten Benutzer greifen über Webbrowser auf die Cloud zu. Der Einsatz starker Werkzeuge für Client-Security und die Verwendung aktueller Browserversionen mit optimalem Schutz gegen Browser-Exploits sind entscheidende Elemente der Cloud-Security. Um die Endgeräte Ihrer Benutzer vollständig zu schützen, verwenden Sie leistungsstarke Technologie für Endpoint Security wie Firewall-Lösungen, im optimalen Fall nach IaaS- oder PaaS-Modellen.
  4. In die Zukunft schauen. Es werden ständig neue Cloud-Anwendungen veröffentlicht. Damit nehmen die Risiken durch Cloud-Services rasant zu, was die manuelle Erstellung und Pflege von Cloud-Sicherheitsrichtlinien erschwert. Sie können zwar nicht jeden Cloud-Service vorhersagen, auf den zugegriffen werden wird, aber Sie können Ihre Web-Zugriffsrichtlinien automatisch um Angaben zum Risikoprofil von Cloud-Services ergänzen, um den Zugriff darauf zu blockieren oder Warnmeldungen anzuzeigen. Praktisch umsetzen lässt sich dies durch die Integration von Closed-Loop-Remediation in Ihren Secure Web Gateway oder Ihre Firewall. Als Closed-Loop-Remediation wird die Durchsetzung von Richtlinien bezeichnet, die auf der Bewertung des Risikos kompletter Services oder spezifischen Cloud-Service-Attributen beruhen. Mit einem solchen System werden Richtlinien automatisch aktualisiert und durchgesetzt, ohne die bestehende Umgebung zu stören.
  5. Schutz gegen unvorsichtige und bösartige Benutzer organisieren. Unternehmen sind pro Monat durchschnittlich 14,8 Insider-Bedrohungsvorfällen ausgesetzt. 94,3 Prozent aller Unternehmen erleben durchschnittlich einen Vorfall pro Monat. Es geht also nicht darum, ob Sie dieser Art von Bedrohung ausgesetzt sein werden, sondern wann. Zu Bedrohungen dieser Art gehören sowohl unbeabsichtigte Exposition – wie die versehentliche Verbreitung eines Dokuments mit sensiblen Daten – als auch bewusstes Verhalten, zum Beispiel durch einen Vertriebsmitarbeiter, der vor seinem Wechsel zu einem Wettbewerber die vollständige Kundenliste herunterlädt. Sowohl nachlässige Mitarbeiter als auch externe Angreifer können Verhaltensweisen zeigen, die auf böswillige Nutzung von Cloud-Daten hindeuten. Mit Lösungen, die sowohl maschinelle Lernprozesse als auch Verhaltensanalysen nutzen, kann Datenverkehr auf Anomalien überwacht werden, um sowohl internen und als auch externen Datenabfluss zu bremsen.
  6. Vertrauen ist gut. Kontrolle ist besser. Immer, wenn ein neues Gerät verwendet wird, um auf sensible Daten in der Cloud zuzugreifen, sollte eine zusätzliche Überprüfung erforderlich sein. Eine mögliche Option ist es, für alle Cloud-Access-Szenarien mit hohem Risiko automatisch eine Zwei-Faktor-Authentifizierung zu verlangen. Spezielle Cloud-Security-Lösungen können von Benutzern verlangen, sich in Echtzeit mit einem zusätzlichen Identifizierungsmerkmal zu authentifizieren, indem sie bestehende Identity Provider und Identifizierungsmerkmale wie Hard-Token, Soft-Token (Mobiltelefon) oder SMS einsetzen, die den Endbenutzern bereits vertraut sind.

Starke Partnerschaften mit namhaften Cloud-Providern aufbauen

  1. Einhaltung gesetzlicher Vorschriften als wesentliche Anforderung wahrnehmen. Natürlich lassen sich viele essenzielle Geschäftsfunktionen in die Cloud verlagern, aber die Verantwortung für die Einhaltung von Vorschriften können Unternehmen niemals auslagern. Unabhängig davon, ob Sie zur Einhaltung von Vorschriften wie dem California Consumer Privacy Act, PCI DSS, GDPR, HIPAA oder anderen Regelwerken verpflichtet sind – es wird immer Ihr Ziel sein, eine Cloud-Plattform mit einer Architektur auszuwählen, die die Einhaltung aller branchenüblichen Vorschriften ermöglicht. Deshalb ist es für Sie wichtig, zu wissen, um welche Aspekte der Compliance sich Ihr Provider kümmert, und welche in Ihrem eigenen Zuständigkeitsbereich verbleiben. Viele Cloud-Serviceprovider sind für unzählige Branchenregeln und Normen zertifiziert. Dennoch bleiben Sie als Unternehmen selbst dafür verantwortlich, für die Konformität Ihrer Anwendungen und Services in der Cloud zu sorgen und diese auch in Zukunft aufrechtzuerhalten. Nicht auszuschließen ist, dass frühere vertragliche Verpflichtungen oder gesetzliche Hindernisse die Nutzung von Cloud-Services verbieten, weil eine solche Nutzung eine Aufgabe der Kontrolle über diese Daten bedeutet.
  2. Markentreu bleiben. Ein Wechsel in die Cloud muss nicht bedeuten, die eigene Markenstrategie zu opfern. Entwickeln Sie einen umfassenden Plan zur Verwaltung von Identitäten und Berechtigungen im Zusammenhang mit Cloud-Services. Software-Services, die SAML, OpenID oder andere relevante Standards erfüllen, ermöglichen es Ihnen, Ihre Corporate Identity Management-Tools auch in der Cloud zu nutzen.
  3. Vertrauenswürdige Provider suchen. Cloud-Serviceprovider, die sich zu Berichterstattung, Transparenz und zur Einhaltung etablierter Standards verpflichtet haben, werden in der Regel Zertifizierungen wie SAS 70 Typ II oder ISO 27001 vorweisen können. Cloud-Serviceprovider sollten gut zugängliche Dokumente und Berichte wie Auditierungsergebnisse und Zertifizierungen bereithalten, die bewertungsrelevante Angaben enthalten. Audits müssen von unabhängigen Stellen durchgeführt werden und sich auf geltende Normen beziehen. Es ist Aufgabe des Cloud-Providers, Zertifizierungen kontinuierlich zu erneuern und Kunden über Statusänderungen zu informieren. Aufgabe des Kunden ist es, den Anwendungsbereich der erfüllten Normen zu kennen. Einige weit verbreitete Normen bewerten keine Security-Kontrollmechanismen. Und nicht alle Auditierungsanbieter und Auditoren sind gleich zuverlässig.
  4. Wissen, welcher Schutz geboten wird. Kein Cloud-Serviceprovider bietet 100 Prozent Sicherheit. In den letzten Jahren wurden viele hochkarätige CSPs von Hackern angegriffen, darunter AWS, Azure, Google Drive, Apple iCloud und Dropbox. Es ist wichtig, die Datenschutzstrategien sowie die mandantenfähige Architektur des Providers zu prüfen, falls relevant. Ist die Hardware oder das Betriebssystem des Anbieters kompromittiert, sind automatisch auch alle darin gehosteten Elemente gefährdet. Deshalb ist es wichtig, Security-Tools zu verwenden und auch in der Vergangenheit durchgeführte Audits zu prüfen, um potenzielle Sicherheitslücken aufzuspüren. Arbeitet der Provider seinerseits mit Drittanbietern, empfehlen die Best Practices für Cloud Security, auch deren Zertifizierungen und Auditierungen zu überprüfen. Auf Basis der Ergebnisse der Untersuchungen können Sie ermitteln, welche Security-Probleme auf Ihrer Seite noch gelöst werden müssen. So verschlüsselt beispielsweise weniger als jeder zehnte Provider gespeicherte Daten, auf die gerade nicht zugegriffen wird. Noch weniger Provider unterstützen die Möglichkeit für Kunden, Daten mit eigenen Verschlüsselungscodes zu verschlüsseln. Die Suche nach Providern, die sowohl umfassenden Schutz bieten, als auch Benutzern die Möglichkeit zum Schließen verbleibender Lücken geben, ist entscheidend für die Aufrechterhaltung einer soliden Cloud Security Posture.
  5. Cloud-Provider-Verträge und SLAs sorgfältig prüfen. Der Cloud-Service-Vertrag ist Ihre einzige Garantie für den Service. Er ist der einzige Beleg, auf den Sie sich berufen können, wenn etwas schief geht. Deshalb ist es wichtig, alle Klauseln des Vertrags einschließlich aller Anhänge, Zeitpläne und Ergänzungen vollständig zu überprüfen und zu verstehen. Ein Vertrag kann beispielsweise den Unterschied ausmachen zwischen einem Unternehmen, das die Verantwortung für Ihre Daten übernimmt, und einem Unternehmen, das Ihre Daten in Besitz nimmt. (Nur 37,3 Prozent aller Provider formulieren ausdrücklich, dass die Kundendaten Eigentum des Kunden bleiben. Die restlichen Provider machen entweder gar keine rechtswirksamen Angaben über das Eigentum an den Daten, was eine rechtliche Grauzone schafft, oder – was noch bedenklicher ist – beanspruchen das Eigentum an allen hochgeladenen Daten für sich selbst.) Wird für die angebotenen Services Transparenz hinsichtlich aller Security-relevanten Ereignisse und Maßnahmen zugesichert? Werden Monitoring-Werkzeuge oder Verknüpfungen mit den Monitoring-Werkzeugen Ihres Unternehmens bereitgestellt? Werden monatliche Berichte über Security-relevante Ereignisse und Maßnahmen bereitgestellt? Was passiert mit Ihren Daten, wenn Sie den Service kündigen? (In diesen Bereich gehört der Befund, dass nur 13,3 Prozent der Cloud-Provider Benutzerdaten sofort nach der Kündigung des jeweiligen Kontos löschen. Der Rest der Provider bewahrt Daten bis zu ein Jahr lang auf, einige behalten sich sogar ein Recht zur Speicherung auf unbestimmte Zeit vor.) Wenn Ihnen Teile des Vertrages problematisch erscheinen, können Sie versuchen, zu verhandeln. Werden bestimmte Bedingungen als nicht verhandelbar dargestellt, liegt es an Ihnen, zu bestimmen, ob für Ihr Unternehmen das Risiko tolerierbar ist, das durch die Annahme der Bedingungen entsteht. Wenn nicht, müssen Sie alternative Wege zum Umgang mit bestehenden Risiken finden, zum Beispiel Verschlüsselung oder Monitoring, oder Sie müssen einen anderen Provider finden.
  6. Rechtzeitig klären, was im Notfall zu tun ist. Weil sich die Security-Maßnahmen von Provider zu Provider unterscheiden – und kein Cloud-Provider 100 Prozent Sicherheit anbietet – ist es unumgänglich, einen Incident-Response-Plan (IR-Plan) zu entwickeln. Bestehen Sie darauf, dass der Provider Sie einbezieht und bei der Erstellung solcher Pläne als Partner betrachtet. Vereinbaren Sie Kommunikationswege, Rollen und Aufgaben für Vorfälle und proben Sie Maßnahmen und Übergaben im Voraus. In SLAs muss detailliert beschrieben sein, welche Daten vom Cloud-Provider bei Vorfällen zur Verfügung gestellt werden, wie bei Vorfällen mit Daten umgegangen wird, um deren Verfügbarkeit aufrecht zu erhalten, und wie die notwendige Unterstützung gewährt wird, um die einzelnen Phasen des Enterprise IR-Plans effektiv umzusetzen. Kontinuierliches Monitoring bietet die besten Chancen für frühzeitige Erkennung. Parallel müssen mindestens einmal jährlich umfassende Tests durchgeführt werden. Auch bei größeren Änderungen der Architektur sind zusätzliche Tests notwendig.
  7. IaaS-Umgebungen schützen. Bei der Nutzung von IaaS-Umgebungen wie AWS oder Azure bleiben Sie selbst für die Sicherheit von Betriebssystemen, Anwendungen und Netzwerkdatenverkehr verantwortlich. Für Betriebssystem und virtuelles Netzwerk muss leistungsstarke Anti-Malware-Technologie eingesetzt werden, um Ihre Infrastruktur zu schützen. Setzen Sie Application Whitelisting und Memory Exploit Prevention für einzelne Workloads ein, sowie maschinelle Lernprozesse für den Schutz von Dateispeichern und allgemeinen Workloads.
  8. Malware neutralisieren und aus der Cloud entfernen. Malware kann Cloud-Workloads über freigegebene Ordner infizieren, die automatisch mit Cloud-Speicherdiensten synchronisiert werden. Auf diesem Wege wird Malware von einem infizierten Benutzergerät auf die Geräte anderer Benutzer übertragen. Setzen Sie ein System für Cloud-Security ein, mit dem alle Dateien gescannt werden, die in der Cloud gespeichert sind, um Malware-Angriffe, Ransomware-Angriffe und Datendiebstahl zu vermeiden. Wird auf einem Workload-Host oder in einer Cloud-Anwendung Malware erkannt, kann sie unter Quarantäne gestellt oder entfernt werden, um sensible Daten vor Kompromittierung zu schützen und die Beschädigung von Daten durch Ransomware zu verhindern.
  9. IaaS-Konfigurationen regelmäßig auditieren. Viele kritische Einstellungen in IaaS-Umgebungen wie AWS oder Azure können bei Fehlkonfiguration zu ausnutzbaren Schwächen führen. Unternehmen setzen im Durchschnitt mindestens 14 zur Laufzeit falsch konfigurierte IaaS-Instanzen ein, was zu durchschnittlich fast 2300 Fällen von Fehlkonfigurationen pro Monat führt. Schlimmer noch: Auf mehr als 1 von 20 AWS S3 Buckets kann aufgrund falscher Konfiguration öffentlich zugegriffen werden. Um Datenverluste auf diesen Wegen zu vermeiden, müssen Sie in Ihren Konfigurationen die Einstellungen für Identity and Access Management, Netzwerkkonfiguration und Verschlüsselung überprüfen. 

McAfee - 10 Dezember 2019

McAfee

Do you want to learn more about this subject, or do you have specific questions? Don't hesitate and reach out! Speak with a solutions expert or architect. Give us a call or leave a message. Our team of McAfee technical experts are ready for your inquiries.

McAfee
McAfee is one of the world’s leading independent cybersecurity companies. Infradata is an award-winning McAfee Partner with advanced specialties, and the distinction of multiple certified engineers on staff. 

Diese Seite teilen: