Dr. Michael Gorski Consulting GmbH > Business > Cloud Security Aufbau

Cloud Security Aufbau

Wenn ein Unternehmen Cloud-Anbieter als Teil seines Geschäftsmodells nutzt, dann muss es sicherstellen, dass seine Services entsprechend vor Cyber-Angriffen gesichert sind.

pexels-pixabay-210158

Sie wollen ihre Cloud Infrastruktur gegen Cyber-Angriffe absichern und Ihre Kundendaten schützen?

Neuste Cloud-Angriffe schneller erkennen und darauf reagieren!

Dieser Service beinhaltet die folgenden Leistungen:

  • Analyse der eingesetzten Cloud Infrastruktur (Cloud-Typ, Multi-Cloud, Schnittstellen zu On-Prem Systemen, Kundenintegration).
  • Bestehende Sicherheitsmaßnahmen bewerten.
  • Strukturierte Erhebung und Sammlung von Bedrohungen, Schwachstellen, Angriffsvektoren, Informationssicherheitsrisiken und Vorgaben zu IT-Assets.
  • Bedrohungen analysieren.
  • Quick-Wins in Security identifizieren.
  • Integration in bestehende Prozesse und Produkte analysieren.
  • Maßnahmen wählen und Umsetzungsplan aufstellen.
  • Konsens für die Umsetzung von Maßnahmen erreichen.
  • Umsetzung begleiten und Veränderung des Sicherheits-Niveau bewerten.

 

Ziele:

  • Cloud Security Strategie festlegen, um bestmöglichen Schutz vor Cyber-Angriffen zu erreichen.
  • Identifikation der aktuellen Cloud-Bedrohungen des Unternehmens.
  • Mit gegebenem Budget das Maximum an Security zu erreichen.
  • Einsparung von Ressourcen durch Security Automatisierung.

 

Details:

Cloud Security hilft dabei die Services des eigenen Unternehmens vor Datenverlust und Cyber-Angriffen zu schützen. Hierunter fallen verschiedene Maßnahmen, die speziell Cloud-Umgebungen absichern. Cloud Security besteht aus Richtlinie, Prozesse und technischen Maßnahmen, die auf den Schutz der Cloud ausgerichtet sind. Damit sich ein Unternehmen mit der Cloud verbinden kann, nutzt es die API des Cloud-Anbieters.

Hierbei ist es besonders wichtig, dass Daten verschlüsselt in die Cloud übertragen werden und dort auch verschlüsselt gespeichert sind. Dadurch hat niemand Zugriff auf die Daten, wenn jemand versucht die Kommunikation zu belauschen und darüber hinaus ist es auch nicht möglich an die Daten zu gelangen, wenn man den physischen Zugriff auf die Server bekommt, auf dem die Daten liegen.

Es ist wichtig den Zugriff auf die API des Cloud-Anbieters zu kontrollieren und auch zu überwachen. Jeder Auffälligkeit sollte nachgegangen werden, damit es hier nicht zu Datenverlusten kommt.

Im Falle eines Security Incidents muss es festgelegte Prozesse geben, die regeln, wie in einem solchen Fall vorzugehen ist. Auch der Austausch von Informationen mit dem Cloud-Anbieter sollte in diesen Prozessen geregelt werden, damit man im Ernstfall auch schnell reagieren kann und die Gefahr verringert. Die Behandlung von Security Incidents verläuft ähnlich wie bei einem On-Premises Rechenzentrum. Der Unterschied ist hier, dass man sich noch zusätzlich mit dem Cloud-Anbieter abstimmen muss und man keine Möglichkeit eines physischen Zugriffs auf seine Daten hat. Die Abstimmungen müssen in Verträgen geregelt werden und es ist sehr wichtig, dass sogenannte Service Level Agreements (SLA)s vereinbart werden. Zu diesen SLAs verpflichtet sich der Cloud-Anbieter bestimmte Vorgaben einzuhalten. Das kann zum Beispiel die Verfügbarkeit der Server sein oder auch die Reaktionszeit bei der Behandlung von Security Incidents.

Risiken von Cloud-Diensten: Durch die Verwendung von Cloud-Diensten entstehen für ein Unternehmen Risiken aus dem Verlust der Vertraulichkeit, der Verfügbarkeit oder der Integrität seiner Daten. Die Cloud Security muss sich daher mit den folgenden Themen befassen:

  • Physischer Schutz der Cloud-Rechenzentren,
  • Schutz der Server,
  • Sicherung der IT-Infrastruktur,
  • Überwachung der Cloud-Zugänge,
  • Schutz der Betriebssysteme und der Software,
  • Schutz und Verwaltung von Schlüsseln und Benutzer-Accounts.

Mehr über den Cloud-Security hier in den Videos: