Wer ist für die Cloud-Sicherheit verantwortlich

Cloud-Anbieter-unabhängiges Modell mit geteilter Verantwortung

Die Cloud-Dienste oder die Verantwortlichkeiten für die Workloads variieren je nachdem, ob die Workloads als Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS) oder vor Ort gehostet werden. Daher ist es wichtig zu verstehen, wie sich die einzelnen Angebote voneinander unterscheiden.

  • Software als Service bezieht sich auf Produkte, die als von einem Anbieter verwalteter Service in der Cloud verfügbar sind, z. B. Salesforce, Slack und Google Apps.
  • Plattform als Service bezieht sich auf Produkte, die als Software-Tools und Hardware-Infrastruktur verfügbar sind, wie z. B. GitHub und Docker
  • Infrastruktur als Service bezieht sich auf eine Reihe von Infrastruktur-Tools, die als „Pay-as-you-go“-Service verfügbar sind, wie Google Compute Engine, AWS oder Red Hat
  • On-Premise bezieht sich auf Produkte, die von Ihren internen Ressourcen gehostet werden, z. B. einem Rechenzentrum innerhalb Ihrer Firewall.

Unabhängig vom Modell tragen Sie immer einen Teil der Verantwortung für die Sicherung der Anwendungen. Beim PaaS-Modell werden beispielsweise die Low-Level-Infrastrukturen wie Gastbetriebssysteme oder Netzwerkkontrollen in der Regel vom Cloud-Anbieter verwaltet, während die anwendungsbezogenen Kontrollen wie Code- und Benutzerzugriffsverwaltung vom Kunden selbst durchgeführt werden. Im IaaS-Modell werden das Host-Betriebssystem, der Speicher usw. vom Anbieter verwaltet, während die Netzwerksicherheit, die Containersicherheit und die Anwendungskontrollen von Ihnen verwaltet werden.

Welche Investitionen müssen die Führungskräfte eines Unternehmens tätigen?

Cloud-Sicherheit ist mehr als nur eine technologische Frage. Wir sind der Meinung, dass Unternehmenskultur und Prozesse eine wichtige Rolle bei der Entwicklung spielen und eine funktionsübergreifende Koordinierung erforderlich ist, um einen Talentpool aufzubauen, Cyberbedrohungen und finanzielle Verluste zu bewerten und die Einhaltung von Vorschriften zu gewährleisten. Hier sind drei Arten von Investitionen, die Führungskräfte tätigen müssen:

Verantwortung übernehmen

Berichte deuten darauf hin, dass die Mehrheit der Cloud-Sicherheitsausfälle von den Kunden verschuldet wird. Machen Sie sich also so früh wie möglich klar, was Ihr Teil der gemeinsamen Verantwortung ist, um den Betrieb zu entlasten und potenzielle Datenlecks oder Cyberbedrohungen zu vermeiden. Verstehen Sie die Grenzen der Verantwortung und bauen Sie Fähigkeiten auf, um Ihren Anteil effektiv zu bewältigen.

Die richtigen Talente einstellen

Stellen Sie Technologieführer ein, die sich sowohl für Cloud Computing als auch für die Sicherheit begeistern können. Stellen Sie sicher, dass Sie über Teams verfügen, die die Sicherheit aus verschiedenen Blickwinkeln betrachten können, z. B. Anwendungssicherheit, Datensicherheit, Compliance und Ähnliches. Entwickeln Sie Fähigkeiten, die sich mit den sich ändernden Anforderungen des Marktes, der Anwendungen und der Kunden weiterentwickeln.

Sicherheit einbauen

Integrieren Sie Sicherheitspraktiken in Ihren Softwareentwicklungsprozess, um Ihre Produkte zu stärken. Implementieren Sie einen sicheren Weg zur Produktionspipeline. Integrieren und testen Sie die Sicherheit mit SAST (Tools wie Veracode), Abhängigkeitsscannern (Trivy), Secrets-Scannern (Talisman) und DAST (Burp Suite) frühzeitig im Entwicklungszyklus.

Stellen Sie sicher, dass die Anwendungen nicht in einem flachen Netzwerk gehostet werden. Wenden Sie geeignete Informationssicherheitsprinzipien wie „Defence in Depth“ an, um Vertraulichkeit, Integrität sowie Netzwerk- und Datenverfügbarkeit zu gewährleisten. Erwägen Sie, die Sicherheit frühzeitig einzubauen, anstatt sie erst spät im Entwicklungsprozess einzubauen.

Fazit

Die künftige Technologielandschaft wird hybrid, vielfältig und cloudübergreifend sein. Der Bedarf an Cloud Computing wird sich in dem Maße entwickeln, wie Unternehmen sich anpassen, um skalierbare Umgebungen zu unterstützen. Um in einer solchen Welt sicher zu sein, müssen Unternehmen strategisch in die Modellierung von Bedrohungen, die Automatisierung und Orchestrierung von Containern, die Konfiguration von Sicherheitskontrollen zwischen On-Premise und Cloud sowie den Aufbau eines sicheren Pfads zur Produktionspipeline investieren.

Kommentare

  • Keine Kommentare vorhanden.
  • Kommentar erstellen