- Anzeige -


Sie sind hier: Startseite » Fachartikel » Hintergrund

Einblick in jede Cloud-Instanz haben


Multicloud-Umgebungen: Fünf Tipps für Datensicherheit
Da Multicloud-Umgebungen eine größere Angriffsfläche für verschiedene Bedrohungen darstellen, gestaltet sich auch die Entwicklung einer geeigneten IT-Sicherheitsstrategie deutlich komplexer

- Anzeigen -





Von Michael Scheffler, Regional Director CEEU, Bitglass

Die Vielzahl an Cloud Computing-Services eröffnet zahlreiche Möglichkeiten, einzelne Geschäftsprozesse zu optimieren. Die richtige Cloudstrategie hat sich damit längst zu einem Wettbewerbskriterium entwickelt. Viele Unternehmen setzen auf eine Multicloud-Strategie, um bei eventuellen Ausfällen den Geschäftsbetrieb aufrechterhalten zu können und nicht von nur einem Anbieter abhängig zu sein. Die Nutzung von Cloudservices sollte umfassend geplant werden. Bei lediglich punktuellen Migrationen einzelner Prozesse besteht das Risiko, dass das Optimierungspotential nicht vollständig genutzt wird.

Doch neben dem Faktor Performance hat auch die Datensicherheit mittlerweile geschäftskritische Relevanz erreicht. Regulatorische Standards sollten daher frühzeitig in das Multicloud-Konzept einfließen, die Auswahl der Anbieter mitbestimmen und durch geeignete Sicherheitsmaßnahmen flankiert werden.

Die Gründe, die bei der Auswahl von Cloud-Tools für eine Multicloud-Strategie sprechen, sind vielfältig: Werden Services von mehreren Cloud Service-Providern genutzt, lassen sich Kosten einsparen, das Risiko von Anwendungsausfällen reduzieren und bestimmte Datenarten entsprechend regulatorischer Vorgaben innerhalb nationaler Grenzen speichern. Weiterhin legen viele Unternehmen Wert darauf, die jeweils am besten geeigneten Plattformen für bestimmte Prozesse zu wählen, Skalierbarkeit sicherzustellen und nicht ausschließlich von einem Anbieter abhängig zu sein.

Da Multicloud-Umgebungen eine größere Angriffsfläche für verschiedene Bedrohungen darstellen, gestaltet sich auch die Entwicklung einer geeigneten IT-Sicherheitsstrategie deutlich komplexer. Damit potenzielle Sicherheitslücken gar nicht erst entstehen, sollte eine übergreifende Top-Down-Securitystrategie implementiert werden. Um eine Multicloud-Umgebung erfolgreich zu verwalten und sicherzustellen, dass jederzeit ein einheitlicher Sicherheitsstatus gewährleistet ist, sollte zunächst überprüft werden, wie Daten, Anwendungen und Workflows zwischen Cloud-Diensten und den verbundenen Geräten zusammenhängen. So kann ermittelt werden, welche Maßnahmen erforderlich sind, um die Sicherheit der Daten gewährleisten zu können.

Die folgenden fünf Tipps können Unternehmen dabei unterstützen, eine Sicherheitsstrategie zu entwickeln, die potenziellen Herausforderungen von Multicloud-Umgebungen gewachsen ist:

1. Kontrolle über alle Unternehmensdaten gewinnen
Im Gegensatz zu reinen On-Premise-Umgebungen stellt die Cloud unmittelbar dort Daten zur Verfügung, wo sie gebraucht werden – an mehreren Standorten, für verschiedene Benutzer, Anwendungen und Geräte. Darüber hinaus werden sich die Arbeitsabläufe dynamisch weiterentwickeln, je nachdem, wie sich Anwendungen oder Anforderungen der Endbenutzer ändern. Die Fähigkeit, Einblick in jede Cloud-Instanz zu haben, ist daher von entscheidender Bedeutung, um ungewöhnliche Verhaltensweisen zu identifizieren und den Datenverkehr während des Betriebs im Netzwerk zu überwachen.

Mit der Einführung weiterer Cloud-Dienste wird die Überwachung dieser Datenströme exponentiell schwieriger, aber auch unerlässlich. Unternehmen müssen darauf vertrauen können, dass sie Geräte und Daten – in einer sich ständig verändernden Umgebung – verfolgen, Richtlinien anwenden und pflegen können, wenn sich die Dinge im Laufe der Zeit ändern.

Wichtige Fähigkeiten in diesem Zusammenhang sind:

>> Anwendungsübergreifende Aktivitätsprotokolle:
Diese geben einen umfassenden Überblick aller Benutzer- und Dateiaktivitäten, erleichtern IT-Audits und eine Gesamteinschätzung der Datenintegrität.

>> Verschlüsselung: Verschlüsselungsfunktionen sollten sowohl auf Daten- als auch Dateiebene erfolgen. Damit die Workflows von Anwendern nicht beeinträchtigt werden, sollte die Verschlüsselungssoftware auch Funktionen wie Suchen und Sortieren bieten.

>> Kontrolle über Schatten-IT: Nicht verwaltete Anwendungen, durch die Daten verloren gehen könnten, müssen ermittelt und unter Kontrolle gebracht werden.

2. Geeignete Identitäts- und Autorisierungskontrollen nutzen
Viele Unternehmen machen den Fehler, davon auszugehen, dass die Sicherheit bei der Ausführung ihrer Workloads in der Cloud in der alleinigen Verantwortung des Cloud-Anbieters liegt. Während Cloud-Provider für die Bereitstellung bestimmter Sicherheits- und Datenschutzniveaus in ihren Angeboten verantwortlich sind, liegt die Verantwortung für die Kontrolle, wer auf diese Daten zugreifen darf, beim Unternehmen.

Dies bedeutet, dass das Unternehmen über geeignete Tools verfügen muss, um sich vor Bedrohungen wie kompromittierten Anmeldeinformationen und bösartigen Insidern zu schützen. Folglich müssen Unternehmen wissen, wo sich ihre Daten befinden, wohin sie gehen und wer berechtigt ist, auf sie zuzugreifen. Mit robusten Authentifizierungsfunktionen legen Unternehmen einen wichtigen Grundstein für ihre IT-Sicherheit.

Erforderliche Kontrollmechanismen zur Unterstützung der oben genannten Punkte sind:
>> Verhinderung der Datenexfiltration von einem genehmigten - zu einem nicht genehmigten Cloud-Service.
>> Authentifizierung von Benutzern in allen Cloud-Anwendungen.
>> Erkennung von Anomalien bei der Benutzeranmeldung.

3. Datenschutz während der Übertragung und im Ruhezustand
Um Datenverlust in Multicloud-Umgebungen vorzubeugen, benötigen Unternehmen leistungsstarke, Cloud-basierte Tools, die die Kontrolle über den Datenzugriff ermöglichen, das Online-Verhalten der Benutzer in Echtzeit überwachen, den Zugriff von nicht-verwalteten Endgeräte regeln und die Dateifreigabe steuern können.

Folgende Funktionen sollten die Sicherheitstools bieten:
>> Unterscheidung zwischen persönlichen und geschäftlichen Instanzen von Cloud-Anwendungen und entsprechende Durchsetzung verschiedener Richtlinien.
>> Kontextabhängige Zugriffssteuerung: Für den Zugriff auf Dateien müssen neben den Anmeldeinformationen weitere Parameter, wie unter anderem die Position im Unternehmen, der Standort und das Gerät des Nutzers herangezogen werden, um sicherzustellen, dass sensible Informationen für Unbefugte nicht zugänglich sind.
>> Data Loss Prevention (DLP): DLP-Funktionen wie Digital Rights Management, die zum Beispiel für die Anzeige von bestimmten Dokumenten Anmeldeinformationen erfordern oder lediglich schreibgeschützten Zugriff gestatten, helfen, das Datenverlustrisiko zu reduzieren.

4. Endpoint Security
Da immer mehr Mitarbeiter mit ihren privaten Geräten auf Cloud-Ressourcen im Unternehmen zugreifen, steigt das Risiko eines Verlustes sensibler Daten exponentiell an. Um Benutzer und Unternehmen zu schützen, ist es wichtig, dass Unternehmen einen sicheren mobilen Zugriff der Mitarbeiter auf die benötigten Daten ermöglichen können.

Für Unternehmen, die Bring-Your-Own-Device (BYOD) eingeführt haben, lässt sich durch agentenlose Sicherheitslösungen mit geringem Verwaltungsaufwand ein hohes Sicherheitsniveau herstellen: Diese schützen Daten während des Zugriffs, nutzen Verschlüsselungstechnologien, nehmen erforderliche Geräteeinstellungen vor und ermöglichen im Fall von Verlust oder Diebstahl die Entfernung der Daten auf dem Gerät per Fernzugriff.

5. Sicherstellung der Interoperabilität zwischen allen Security-Tools
Um einen ausreichenden Daten- und Bedrohungsschutz, Transparenz und Zugriffssicherheit über die gesamte Cloud-Umgehung eines Unternehmens hinweg zu erzielen, müssen Unternehmen sicherstellen, dass sich die von ihnen eingesetzten Cloud-Sicherheitslösungen nahtlos ineinander und mit bestehenden Tools vor Ort integrieren lassen. Eine unzusammenhängende IT-Umgebung kann zu inkonsistenter Cybersicherheit und damit zu Schwachstellen führen. Beispielsweise müssen Cloud-Sicherheitslösungen eine Erweiterung der lokalen DLP-Richtlinien auf die Cloud und die Integration mit SIEM-Tools (Security Information Management) für das Sicherheitsinformations- und Vorfallmanagement bieten.

Die erfolgreiche Umsetzung einer Multicloud-Strategie erfordert einen ganzheitlichen Sicherheitsansatz, der die Sicherheit sensibler Informationen in jeder Cloud-Anwendung und auf jedem Gerät gewährleistet – rund um die Uhr. Das bedeutet, dass Unternehmen Daten jenseits ihrer klassischen Infrastruktur verwalten und schützen müssen, um langfristig ihre Wettbewerbsfähigkeit zu stärken.
(Bitglass: ra)

eingetragen: 15.03.19
Newsletterlauf: 28.03.19

Bitglass: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Cloud Computing ist Mainstream in der IT

    "Die Wolke" ist in der Unternehmens-IT deutscher Unternehmen angekommen. Auch hierzulande profitieren Firmen jeder Größe von niedrigeren Kosten bei größerer Skalierbarkeit und Zuverlässigkeit. Die Verantwortung für die Sicherheit ihrer Daten sollten Unternehmen jedoch nicht in die Hände von Cloud-Providern legen. Der Datenverschlüsselung und der Kontrolle über die Verschlüsselungs-Keys kommt in heterogenen IT-Landschaften besondere Bedeutung zu. Denn im Ernstfall ist Verschlüsselung die letzte Feste der IT-Security.

  • Vorteile von Security-as-a-Service

    Security-as-a-Service wird bei Großunternehmen und KMU immer beliebter: Die sich ständig erweiternde Bedrohungslandschaft und der Mangel an Fachkräften führt zur zunehmenden Akzeptanz von IT-Sicherheit als Dienstleistung. Denn der Arbeitsmarkt bleibt angespannt, in Deutschland gibt es laut Bitkom 82.000 offene Stellen für IT-Spezialisten, und die Nachfrage nach Sicherheitsexperten steigt branchenübergreifend. Für viele Unternehmen ist deshalb eine Auslagerung von Management, Implementierung und Überwachung des komplexen Security-Bereichs eine sinnvolle und kosteneffiziente Investition, um ihre internen IT-Ressourcen zu entlasten und zugleich ihr Sicherheitsprofil zu schärfen.

  • Einblick in jede Cloud-Instanz haben

    Die Vielzahl an Cloud Computing-Services eröffnet zahlreiche Möglichkeiten, einzelne Geschäftsprozesse zu optimieren. Die richtige Cloudstrategie hat sich damit längst zu einem Wettbewerbskriterium entwickelt. Viele Unternehmen setzen auf eine Multicloud-Strategie, um bei eventuellen Ausfällen den Geschäftsbetrieb aufrechterhalten zu können und nicht von nur einem Anbieter abhängig zu sein. Die Nutzung von Cloudservices sollte umfassend geplant werden. Bei lediglich punktuellen Migrationen einzelner Prozesse besteht das Risiko, dass das Optimierungspotential nicht vollständig genutzt wird. Doch neben dem Faktor Performance hat auch die Datensicherheit mittlerweile geschäftskritische Relevanz erreicht. Regulatorische Standards sollten daher frühzeitig in das Multicloud-Konzept einfließen, die Auswahl der Anbieter mitbestimmen und durch geeignete Sicherheitsmaßnahmen flankiert werden.

  • Cloud-Services für jedermann

    Datenschutz war 2018 ein zentrales Thema in allen Medien. Die EU-Datenschutzgrundverordnung (DSGVO) hat viele Unternehmen vor enorme Herausforderungen gestellt, und diese sind noch lange nicht gemeistert. Zahlreiche Firmen hinken bei der Umsetzung weit hinterher, dabei kommen 2019 bereits neue Richtlinien auf sie zu. Welche weiteren Entwicklungen können wir nächstes Jahr in Bezug auf den Umgang mit Daten erwarten?

  • Das Glück kurzer Reaktionszeiten

    Unternehmen müssen heute kundenorientiert arbeiten und in der Lage sein, Innovationen schnell auf den Markt zu bringen. Dabei müssen Applikationen hohe Ansprüche an Verfügbarkeit und Performance erfüllen. Ausfallzeiten kann sich niemand leisten, denn die Kundenerwartungen sind hoch. All das erfordert eine flexible, skalierbare IT-Umgebung. Um den unterschiedlichen, wechselnden Anforderungen gerecht zu werden, geht der Trend dahin, mehrere Clouds zu kombinieren. Ob eine Hybrid Cloud aus Public Cloud und Private Cloud oder gar verschiedene Public Clouds - laut einer aktuellen Studie von 451 Research in 14 europäischen Ländern setzen bereits 84 Prozent eine Kombination aus verschiedenen Cloud Computing-Umgebungen ein.

  • Mit Cloud ERP ins internationale Geschäft

    Immer mehr auch mittelständische Unternehmen eröffnen oder besitzen internationale Niederlassungen. Doch unterschiedliche Gesetze, Buchhaltungsregeln und Sprachen erschweren die Organisation. Die Firmen können deshalb Cloud-ERP-Lösungen einsetzen, die sowohl konzern- als auch landesspezifische Besonderheiten sowie Compliance-Richtlinien berücksichtigen. Auch bei M&A-Projekten ist Cloud-ERP nützlich und es hilft, burning platforms zu vermeiden.

  • AI als Kollege im Service Desk

    Alle reden von Artificial Intelligence, um AI gibt es einen regelrechten Hype: Die Erwartungen sind enorm, die Ziele oft vage, konkrete Lösungen noch selten. In diesem Beitrag wird erläutert, welche Auswirkungen AI auf das IT Service Management (ITSM) in Unternehmen haben wird - und wo die Grenzen liegen. In Gartners "Hype Cycle for Emerging Technologies" vom August 2017 lag AI - vertreten durch Deep Learning und Machine Learning (ML) - ganz an der Spitze der Hype-Kurve. Wie es weitergeht, ist klar: bergab. Überzogene Hoffnungen werden enttäuscht, bevor die neue Technologie dann letztlich Einzug in den Alltag findet. Bei Deep Learning und ML wird dies laut Gartner zwei bis fünf Jahre dauern, bei AI-basierten Virtual Assistants fünf bis zehn. Aber AI wird kommen.

  • Cloud: Datensicherheit & Angriffsszenarien

    "Ihr Konto wurde gehackt!" Nachrichten mit diesen oder ähnlichen Betreffzeilen entlocken den meisten Nutzern nur noch ein müdes Lächeln. Derartige E-Mails von breit angelegten Phishing-Kampagnen, die meist schon durch ein äußerst zweifelhaftes Design auffallen, werden in der Regel unmittelbar aussortiert. Eine weitaus höhere Erfolgsquote verspricht jedoch die Kombination von Phishing mit Cloud Computing-Anwendungen. Die Aussicht, mit nur einer erfolgreichen E-Mail eine Vielzahl verwertbarer Daten zu erbeuten, ist für Cyberkriminelle Motivation genug, die Angriffstechniken weiter zu verfeinern und zielgerichteter vorzugehen. Für Unternehmen ein Grund, sich im Rahmen ihrer Datensicherheitsstrategie näher mit diesem Angriffsszenario auseinanderzusetzen.

  • Mit Cloud ERP ins internationale Geschäft

    Immer mehr auch mittelständische Unternehmen eröffnen oder besitzen internationale Niederlassungen. Doch unterschiedliche Gesetze, Buchhaltungsregeln und Sprachen erschweren die Organisation. Die Firmen können deshalb Cloud-ERP-Lösungen einsetzen, die sowohl konzern- als auch landesspezifische Besonderheiten sowie Compliance-Richtlinien berücksichtigen. Auch bei M&A-Projekten ist Cloud-ERP nützlich und es hilft, "burning platforms" zu vermeiden. Ob Konzerne oder Mittelstand: Alle nutzen die Möglichkeiten des internationalen Geschäfts. Entweder sie exportieren Waren und Produkte oder sie gründen oder unterhalten Niederlassungen in anderen Ländern. Doch das internationale Geschäft hält auch die eine oder andere Herausforderung bereit. Die Unternehmen müssen unterschiedliche Gesetzgebungen oder Buchhaltungsregeln einhalten und sich auf fremde Finanzsysteme und Sprachen einstellen. Sie sehen sich mit unterschiedlichen Ansprüchen von Finanzbehörden und anderen Institutionen konfrontiert.

  • Zukunft der KI-Lösungen in der Cloud

    Der Einsatz künstlicher Intelligenz (KI) lässt Unternehmen derzeit hoffen, mit der wachsenden Zahl komplexer Bedrohungen und ihren immer ausgefeilteren Methoden wieder Schritt halten zu können. Diskutiert wird allerdings zuweilen, warum die entsprechenden Lösungen unbedingt Cloud-basiert sein müssen. Könnte man die entsprechenden KI-Instanzen nicht auch lokal implementieren? Tatsächlich ist die Cloud als Basis aber ein Architekturelement, das zur Stärke der modernen Lösungen entscheidend beiträgt. Ein Blick auf die Gesamtsituation klärt, warum dies so ist.