Best Practice für die Sicherheit in der Cloud

maximale Sicherheit

Karsten
Cloud Sicherheit Zugriffskontrolle

Datensicherheit in der Cloud ist ein immer wieder diskutiertes Thema und viele Kunden fragen sich, wie sie maximale Sicherheit für ihre Cloudanwendungen erreichen können. Die Zusammenarbeit mit dem Cloud-Provider ist dabei wesentlich.

Bei Amazon Web Services (AWS) etwa gilt das Prinzip der geteilten – oder auch gemeinsamen – Verantwortung. Während Amazon für die hohe Sicherheit des Backend einschließlich der Rechenzentren und der physischen Infrastruktur sorgt und den darauf aufbauenden Cloudanwendungen dabei automatisch grundlegende Sicherheitsmerkmale mitgibt, bleibt es Aufgabe der AWS-Kunden, ihre Anwendungen ebenfalls mit entsprechenden Maßnahmen und der entsprechenden Konfiguration vor Datendiebstahl, unbefugtem Zugriff oder ungewollten Datenverlusten zu schützen. Dabei hilft AWS mit umfassenden Dokumentationen zum Thema Cloudsicherheit und Best Practices und stellt seinen Kunden als Teil seiner Infrastruktur eine ganze Reihe von grundlegenden Sicherheitsfunktionen und –services bereit – die meisten davon kostenfrei.

Im Bereich Netzwerksicherheit etwa bietet AWS verschiedene Firewall-Features wie Network Access Control und Sicherheitsgruppen, verwaltete NAT Gateways zur virtuellen privaten Cloud (VPC) sowie Web Application-Filter. Kunden haben über Direct Connect sogar die Möglichkeit, sich ihre eigene Leitung in die Cloud legen zu lassen.


Zugriffskontrolle & Verschlüsselung

Zwei wesentliche Grundpfeiler jeder Sicherheitsstrategie sind die Zugriffskontrolle und die Verschlüsselung vertraulicher Daten – sowohl bei der Speicherung als auch im Transit.

Mit Amazons Identity and Access Management (IAM)-Service können Unternehmen Benutzer und rollenbasierte Benutzerberechtigungen sicher verwalten – nach Wunsch auch per Multifaktor-Authentifizierung. Der Service lässt sich mit bereits beim Kunden installierten IAM-Lösungen kombinieren. Wichtig ist sicherzustellen, dass Benutzer nur auf genau die Ressourcen zugreifen können, die sie benötigen, und darüber hinaus keine weiter gehenden Berechtigungen haben. Für Root-Accounts empfiehlt Amazon explizit, dass diese keine Zugangsschlüssel benötigen sollten und sich im Regelfall nicht einloggen. Erfolgt dennoch ein Anmeldeversuch, sollte das System eine Warnung triggern, um unbefugte Zugriffsversuche schnell zu erkennen und zu stoppen.

Datenverschlüsselung ist eine grundlegende Sicherheitsmaßnahme und eine sichere Schlüsselverwaltung ist unerlässlich, damit die Schlüssel nicht in falsche Hände geraten. Auch hierfür stellt AWS Key Management-Funktionen sowie Funktionen zur sicheren Schlüsselspeicherung bereit – mit AWS CloudHSM etwa, einem Service, der Hardware-Sicherheitsmodule nutzt, in denen die Schlüssel manipulationssicher untergebracht sind.

Die Patchverwaltung und das Schützen vor Malware-Bedrohungen muss bei Anwendungen in der Cloud ebenso erfolgen wie bei einer konventionellen Infrastruktur – auch das ist Aufgabe des Kunden. Um die Wirksamkeit von Sicherheitsmaßnahmen zu prüfen und Schwachstellen aufzudecken, empfehlen sich zum Beispiel externe Risikobewertungen durch Dritte und Penetrationstests. AWS unterstützt Penetrationstests in der Cloud, es müssen aber vorher Genehmigungen eingeholt werden.

Zu guter Letzt loggen Dienste wie der AWS CloudTrail alle Aktivitäten in der Cloudanwendung und erlauben es dem Kunden, nachzuvollziehen, wer wann welche Änderungen vorgenommen hat, sowie den Überblick über Benutzer-Aktivitäten und Cloud-Ressourcen zu behalten.


Compliance-Anforderungen

Wie streng die Sicherheitsvorkehrungen sein sollen, ist letztendlich Sache des Kunden und hängt von jeweiligen Compliance-Anforderungen, der Anwendung sowie der Sensitivität der darin gespeicherten Daten ab. Grundlegende Vorkehrungen sollten jedoch immer getroffen werden – und AWS macht es seinen Kunden leicht, den Sicherheitslevel ganz nach Bedarf anzupassen. Infopark hilft seinen Kunden natürlich, die entsprechenden Sicherheitseinstellungen praktikabel und für alle Mitarbeiter verständlich aufzusetzen.