Sie sind hier: Startseite » Markt » Tipps und Hinweise

Tipps zur Cloud-Security


Unterstützung beim Datenschutz und der Einhaltung von Compliance-Programmen
Teile der Cloud-Umgebung, in denen sich sensible Systeme und Daten befinden, sollten isoliert werden

(29.11.11) - Mit der steigenden Nutzung von Cloud Computing wächst mehr denn je die Notwendigkeit, wirksame Security- und Compliance-Praktiken einzuführen und diese auf dem neusten Stand zu halten.

"Die Absicherung einer Cloud-basierten Rechnerumgebung ist entscheidend für die Erstellung eines robusten Compliance-Programms", sagt Bart Vansevenant, Executive Director, Global Security Solutions bei Verizon. "Die grundlegenden Elemente – Planung, Design und Betrieb – sind für traditionelle wie für Cloud Computing-Plattformen identisch. Mit bewährten Best Practices für Security sowie besonderem Augenmerk auf den speziellen Eigenarten und Merkmalen der Cloud sind Unternehmen in der Lage, Compliance-Programme zu entwickeln und aufrechtzuerhalten. Gleichzeit machen sie sich die Agilität, Flexibilität und Wirtschaftlichkeit der Cloud zunutze.”

Verizon hat die folgenden Best Practices und Tipps zusammengestellt, damit Unternehmen, die sich die Vorteile der Cloud zunutze machen, compliant bleiben und gleichzeitig für die Sicherheit ihrer Netzwerke, Anwendungen und Daten sorgen:

Sicherheit der Cloud Computing-Infrastruktur - der Dreh- und Angelpunkt
>> Physische Sicherheit. Die technischen Einrichtungen sollten mit Klimaanlage sowie Rauchmelde- und Brandschutz-Equipment ausgerüstet werden, ergänzt durch eine unterbrechungsfreie Stromversorgung und Sicherheitspersonal rund um die Uhr. Wählen Sie einen Provider, der mit Biometriedaten umgehen kann, d.h. Fingerabdruck- und Gesichtserkennung beherrscht und diese auch zur Zugangskontrolle einsetzt. Die gesamte Einrichtung sollte von Videokameras überwacht werden.

>> Netzwerksicherheit und logische Trennung. Es sollten virtualisierte Versionen von Firewalls und Intrusion Prevention-Systemen zum Einsatz kommen. Die Teile der Cloud-Umgebung, in denen sich sensible Systeme und Daten befinden, sollten isoliert werden. Es sollten regelmäßig Audits durchgeführt werden, die sich branchenweit anerkannter Methoden und Standards bedienen wie etwa SAS 70 Type II, Payment Card Industry Data Security Standard, ISO 27001/27002 und Cloud Security Alliance Cloud Controls Matrix.

>> Inspektion. An den Gateways sollten Antivirus- und Anti-Malware-Anwendungen sowie Content-Filtering eingesetzt werden. Wo mit sensiblen Informationen wie etwa Finanz- und personenbezogenen Daten und geistigem Eigentum umgegangen wird, sollten Data Loss Prevention-Vorkehrungen in Betracht gezogen werden.

>> Administration. Besondere Aufmerksamkeit sollte den Cloud-Hypervisoren gewidmet werden, also jenen Servern, auf denen mehrere Betriebssysteme gleichzeitig laufen. Sie bieten die Möglichkeit, eine komplette Cloud-Umgebung zu verwalten. Zahlreiche Sicherheits- und Compliance-Anforderungen sehen verschiedene Netzwerk- und Cloud-Administratoren vor, um so für eine Trennung der Pflichten und zusätzlichen Schutz zu sorgen. Der Zugang zu virtuellen Umgebungsmanagement-Interfaces sollte stark eingeschränkt sein und Application Programming Interfaces oder APIs sollten komplett unzugänglich oder deaktiviert sein.

>> Umfassendes Überwachen und Protokollieren. In nahezu sämtlichen Standards wird die Fähigkeit zur Überwachung und Kontrolle von Zugängen zu Netzwerken, Systemen, Anwendungen und Daten gefordert. Eine Cloud Computing-Umgebung, ganz gleich ob inhouse oder outgesourced, muss ebenfalls diese Möglichkeit bieten.

"Cloud Application Security" - ein Muss
>> Systemsicherheit. Virtual Machines oder VMs sollten durch Cloud-spezifische Firewalls, Intrusion Prevention-Systeme und Antivirenprogramme geschützt werden, ergänzt mit durchgängigen und in Programmen organisierten Patch-Management-Prozessen.

>> Anwendungs- und Datensicherheit. Wo immer möglich, sollten die Anwendungen dedizierte Datenbanken nutzen, auch sollte der Zugriff von Anwendungen auf Datenbanken Beschränkungen unterliegen. Zahlreiche Security-Compliance-Standards fordern, dass Anwendungen und damit verbundene Datenbanken überwacht und Vorgänge protokolliert werden.

>> Authentifizierung und Autorisierung. Für Usernamen und Passwörter sollte Two-Factor Authentication wie etwa digitale Authentifizierung verwendet werden; sie sind für den Remote-Zugriff und jede Art von Zugangsprivilegien unverzichtbar. Dabei sollten die Rollen autorisierter User klar umrissen sein und auf dem Minimum gehalten werden, das zur Erfüllung der zugewiesenen Aufgaben erforderlich ist. Passwortverschlüsselung ist ebenfalls ratsam. Darüber hinaus sollten Authentifizierungs-, Autorisierungs- und Accounting-Pakete nicht zu sehr individualisiert sein, da dies häufig zu einer Schwächung der Sicherheitsmaßnahmen führt.

>> Vulnerability Management. Anwendungen sollten so konzipiert sein, dass sie gegenüber verbreiteten Exploits, wie sie in der Open Web Application Security Project (OWASP) Top 10 aufgelistet sind, keine Schwachstellen aufweisen. Anwendungen, die in der Cloud laufen, müssen regelmäßig gepatcht werden, ebenso sind Vulnerability Scanning, unabhängige Sicherheitstests und kontinuierliche Überwachung erforderlich.

>>Datenspeicherung. Ein Unternehmen sollte die Arten von Daten kennen, die in einer Cloud-Umgebung gespeichert werden, und je nach Erfordernis nach Datentypen trennen. Zusätzlich sollte mit Blick auf potenzielle Sicherheits- und Datenschutzerwägungen der physische und logische Speicherort bekannt sein.

>> Change Management. Es ist dringend ratsam, die Change Management-Richtlinien für Netzwerke, Systeme, Anwendungen und Daten-Administratoren explizit zu dokumentieren und zu vermitteln, um so unbeabsichtigte Probleme und mögliche Datenverluste zu vermeiden.

>> Verschlüsselung. In einer Cloud Computing-Umgebung kann die Verschlüsselung von Daten komplexere Ausmaße annehmen und erfordert daher besondere Aufmerksamkeit. In zahlreichen Standards wird gesonderte Behandlung von im Umlauf befindlichen und abgelegten Daten gefordert. Beispielsweise sollten Finanzdaten und persönliche Gesundheitsinformationen immer verschlüsselt werden.

Public, private und hybride Clouds: Das sollten Sie wissen

>> Gemeinsam genutzte virtualisierte Umgebung. Public Clouds, von denen viele eine gemeinsam genutzte virtualisierte Umgebung verwenden, bieten grundlegende Sicherheitsvorkehrungen. Die korrekte Segmentierung und Isolierung von Verarbeitungsressourcen sollte deshalb im Mittelpunkt des Interesses stehen. Zur Erfüllung der Security- und Compliance-Anforderungen eines Unternehmens sollte man bei der Wahl der angemessenen Cloud-Umgebung allergrößte Sorgfalt walten lassen.

>> Provider von Public Clouds. Public Clouds mögen zwar aus wirtschaftlicher Sicht interessant sein, doch kann es durchaus sein, dass manche Provider nicht hinlänglich die Arten von Kontrollen unterstützen, die von Unternehmen gefordert werden, damit den Security- und Compliance-Anforderungen Genüge getan wird. Stellen Sie auf jeden Fall viele Fragen.

>> Umsichtige Sicherheitsmaßnahmen. Unabhängig vom Cloud Computing-Modell sollten Unternehmen auf Segmentierung, Firewalls, Intrusion Protection-Systemen, Überwachung, Protokollierung, Zugangskontrollen und Datenverschlüsselung bestehen.

>> Private Clouds - ein zweischneidiges Schwert. Private Clouds können vor Ort oder in den Einrichtungen des Service-Providers gehostet werden. Wie bei herkömmlichen Umgebungen auch sind Sicherheitskonzept und -kontrollen von entscheidender Bedeutung. Wenn man das Angebot eines Service-Providers wahrnimmt, kommt es darauf an, die richtige Form der Cloud zu wählen, die Ihren Anforderungen entspricht. Nur weil es sich um eine private Cloud handelt, muss sie nicht zwangsläufig sicher sein.

>> Hybride Clouds. Hybride Clouds können das Beste aus beiden Welten bedeuten; sie ermöglichen Unternehmen, ein breites Spektrum von IT-bezogenen und geschäftlichen Zielen zu erreichen. Hybride Clouds bieten die Möglichkeit, bestimmte Anwendungen in der am besten dafür geeigneten Umgebung zu betreiben. Gleichzeitig profitiert man von den Vorteilen und Merkmalen gemeinsam genutzter Cloud-Umgebungen und der vor Ort vorhandenen IT-Umgebung sowie von der Möglichkeit, Anwendungen und Daten zwischen beiden Optionen hin und her zu schieben.
(Verizon: ra)

Verizon Business: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • XLAs: Der Mensch als Maßstab

    Über Jahrzehnte galten Service Level Agreements (SLAs) als Maßstab für gutes IT- und Servicemanagement: Wurde ein Ticket fristgerecht gelöst, war die Aufgabe erledigt. Doch in einer zunehmend digitalisierten Arbeitswelt zeigt sich: Diese Logik greift zu kurz. Effizienz allein entscheidet nicht mehr, ob Mitarbeitende zufrieden und produktiv bleiben. Gefragt ist ein neues Verständnis, das die tatsächliche Erfahrung der Menschen in den Mittelpunkt rückt.

  • Cloud-Souveränität immer stärker im Mittelpunkt

    Mit dem rasanten Fortschritt der digitalen Wirtschaft und dem Aufkommen zahlreicher neuer Technologien - allen voran Künstlicher Intelligenz (KI) - stehen europäische Entscheidungsträger vor einer neuen Herausforderung: Wie lässt sich ein innovatives Ökosystem regionaler Cloud-Anbieter schaffen, das sowohl leistungsfähige Lösungen als auch ausreichende Skalierbarkeit bietet? Und wie kann dieses Ökosystem mit internationalen Anbietern konkurrieren und zugleich die Abhängigkeit von ihnen verringern? Politik, Regulierungsbehörden, Forschungseinrichtungen und Industrievertreter in Europa konzentrieren sich darauf, wie der Kontinent seine Position im globalen Wettlauf um Cloud-Innovationen verbessern kann - ohne dabei die Kontrolle, Autonomie und Vertraulichkeit über europäische Daten aufzugeben, die andernfalls womöglich in anderen Märkten gespeichert, verarbeitet oder abgerufen würden.

  • Vom Nearshoring zum Smart Sourcing

    Aufgrund des enormen IT-Fachkräftemangels und der wachsenden Anforderungen von KI und digitaler Transformationen benötigen Unternehmen heute flexible und kosteneffiziente Lösungen, um wettbewerbsfähig zu bleiben. Für die Umsetzung anspruchsvoller Innovationsprojekte mit hohen Qualitätsstandards entscheiden sich deshalb viele Unternehmen für Nearshoring, da dieses Modell ihnen Zugang zu hochausgebildeten IT-Fachkräften in räumlicher und kultureller Nähe ermöglicht.

  • Sechs stille Killer des Cloud-Backups

    Cloud-Backups erfreuen sich zunehmender Beliebtheit, da sie auf den ersten Blick eine äußerst einfache und praktische Maßnahme zu Schutz von Daten und Anwendungen sind. Andy Fernandez, Director of Product Management bei Hycu, nennt in der Folge sechs "stille Killer", welche die Performance von Cloud-Backups still und leise untergraben. Diese werden außerhalb der IT-Teams, die täglich damit zu tun haben, nicht immer erkannt, können aber verheerende Folgen haben, wenn sie ignoriert werden.

  • Datenaufbewahrungsstrategie und SaaS

    Die Einhaltung von Richtlinien zur Datenaufbewahrung sind für Unternehmen unerlässlich, denn sie sorgen dafür, dass wertvolle Informationen sicher gespeichert und Branchenvorschriften - egal wie komplex sie sind - eingehalten werden. Diese Governance-Frameworks legen fest, wie Unternehmen sensible Daten verwalten - von deren Erstellung und aktiven Nutzung bis hin zur Archivierung oder Vernichtung. Heute verlassen sich viele Unternehmen auf SaaS-Anwendungen wie Microsoft 365, Salesforce und Google Workspace. Die Verlagerung von Prozessen und Daten in die Cloud hat jedoch eine gefährliche Lücke in die Zuverlässigkeit der Datenaufbewahrung gerissen, denn die standardmäßigen Aufbewahrungsfunktionen der Drittanbieter entsprechen häufig nicht den Compliance-Anforderungen oder Datenschutzzielen.

  • Lücken der SaaS-Plattformen schließen

    Die zunehmende Nutzung von Software-as-a-Service (SaaS)-Anwendungen wie Microsoft 365, Salesforce oder Google Workspace verändert die Anforderungen an das Datenmanagement in Unternehmen grundlegend. Während Cloud-Dienste zentrale Geschäftsprozesse unterstützen, sind standardmäßig bereitgestellte Datenaufbewahrungsfunktionen oft eingeschränkt und können die Einhaltung der Compliance gefährden. Arcserve hat jetzt zusammengefasst, worauf es bei der Sicherung der Daten führender SaaS-Anbieter ankommt.

  • Nicht mehr unterstützte Software managen

    Von Windows bis hin zu industriellen Produktionssystemen: Wie veraltete Software Unternehmen angreifbar macht und welche Strategien jetzt nötig sind Veraltete Software ist weit verbreitet - oft auch dort, wo man es nicht sofort vermuten würde. Beispiele für besonders langlebige Anwendungen sind das SABRE-Flugbuchungssystem oder die IRS-Systeme "Individual Master File" und "Business Master File" für Steuerdaten, die seit den frühen 1960er-Jahren im Einsatz sind. Während solche Anwendungen ihren Zweck bis heute erfüllen, existiert daneben eine Vielzahl alter Software, die längst zum Sicherheitsrisiko geworden ist.

  • Wie sich Teamarbeit im KI-Zeitalter verändert

    Liefertermine wackeln, Teams arbeiten unter Dauerlast, Know-how verschwindet in der Rente: In vielen Industrieunternehmen gehört der Ausnahmezustand zum Betriebsalltag. Gleichzeitig soll die Zusammenarbeit in Produktion, Qualitätskontrolle und Wartung immer schneller, präziser und vernetzter werden. Wie das KI-gestützt gelingen kann, zeigt der Softwarehersteller Augmentir an sechs konkreten Praxisbeispielen.

  • Vom Workaround zum Schatten-Account

    Um Aufgaben im Arbeitsalltag schneller und effektiver zu erfüllen, ist die Suche nach Abkürzungen Gang und Gebe. In Kombination mit dem technologischen Fortschritt erreicht die Effizienz menschlicher Arbeit so immer neue Höhen und das bringt Unternehmen unwissentlich in eine Zwickmühle: Die zwischen Sicherheit und Produktivität. Wenn ein Mitarbeiter einen Weg findet, seine Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden Mitarbeiter oftmals "kreative" Lösungen, um trotzdem weiterarbeiten zu können. Diese "Workarounds" entstehen selten aus böser Absicht. Allerdings stellen sie gravierende Sicherheitslücken dar, denen sich viele Beschäftigte und Führungskräfte nicht bewusst sind.

  • KI in der Cloud sicher nutzen

    Keine Technologie hat die menschliche Arbeit so schnell und weitreichend verändert wie Künstliche Intelligenz. Dabei gibt es bei der Integration in Unternehmensprozesse derzeit keine Tür, die man KI-basierter Technologie nicht aufhält. Mit einer wachsenden Anzahl von KI-Agenten, LLMs und KI-basierter Software gibt es für jedes Problem einen Anwendungsfall. Die Cloud ist mit ihrer immensen Rechenleistung und Skalierbarkeit ein Motor dieser Veränderung und Grundlage für die KI-Bereitstellung.

Tipps zur Cloud-basierter Videokommunikation Anforderungen der Gaming-Branche wachsen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen