Dominik Liebmann
Principal Consultant, Director
Eine integrale Cloud Governance Architektur lohnt sich.
Autor: Dominik Liebmann
Laut einer Prognose des IT-Marktforschers Gartner werden bis 2025 95% aller Sicherheitsvorfälle in der Cloud durch fehlerhafte Konfiguration der Cloud Anwender verursacht. Im gleichen Zeitraum werden sich die Investitionen in Cloud Services im Vergleich zu 2019 verdoppeln. Mit einer integralen Cloud Governance Architektur wird die Cloud Nutzung gesteuert, überwacht und dadurch Sicherheitsrisiken vermieden
Eine effektive Cloud Governance Architektur muss grundsätzlich zwei Arten von Fragestellungen beantworten. Zum einen sind dies technische Fragestellungen (Cloud Security Controls) wie:
Zum anderen steuernde Fragestellungen (Cloud Security Governance), zum Beispiel:
Insbesondere der letztgenannten Art von Fragestellung sollte besondere Aufmerksam geschenkt werden. Schafft sie doch die Grundlage für eine erfolgreiche Cloud Nutzung, was zur Realisierung der erwarteten Interessen wie z.B. der Reduzierung der Time-to-Market oder der Steigerung der Innovationskraft Ihres Unternehmens führt.
Für die Umsetzung der Cloud Strategie eines unserer Kunden aus dem Finanzbereich haben wir ein zweistufiges Vorgehen gewählt. In einem ersten Schritt haben wir die Cloud Security Governance definiert, um in einem zweiten Schritt, darauf aufbauend, die Cloud Security Controls zu erarbeiten.
Eine effektive Cloud Security Governance basiert dabei auf den nachfolgenden sechs Grundpfeilern:
Cloud Service Provider (CSP) machen die Nutzung von Services sehr einfach. Kreditkarte hinterlegen und schon kann man zusätzliche Compute und Storage Power nutzen. Leider können auch so sehr einfach und schnell Daten ungewollt an Dritte abfliessen.
Vor einer Nutzung von Cloud Services sollte darum deren Verwendung vorab klar geregelt werden. Folgende Fragen müssen dabei unter anderem berücksichtigt werden:
Cloud Services sind mit herkömmlichen IT-Assets zu vergleichen und sollten wie diese inventarisiert werden. Der Aufbau eines Cloud Service Katalogs ist damit essentiell, will man explodierende IT-Kosten vermeiden. Jeder Service sollte dabei mindestens mit den folgenden Angaben beschrieben werden:
Mit der Nutzung von Cloud Services und den damit verbundenen Auslagerungen von Aufgaben an einen Cloud Service Provider erhöhen Sie die Abhängigkeit von diesem. Die daraus entstehenden Risiken können vielfältig sein; so kann zum Beispiel der Ausfall der Cloud Buchhaltungssoftware wegen verspäteter Zahlungen zu finanziellen Verlusten führen. Schlecht geschützte Cloud Services können ausserdem zu einem Abfluss von Kundendaten führen, was nicht nur im Finanz- und Versicherungsbereich ein Super GAU ist.
Mit Hilfe eines Risiko Assessments der Cloud Services können Sie die Risiken der Cloud Nutzung besser beurteilen und gezielt mitigierende Maßnahmen implementieren. Dies erlaubt eine auf Ihren individuellen Risikoappetit angepasste Cloud Nutzung. Das Risiko Assessment umfasst dabei folgende Punkte:
Typischerweise gibt es in der Gestaltung der Verträge mit Cloud Service Provider wenig Spielraum, stellt die Standardisierung der Leistungen ein Hauptmerkmal von diesen dar. Weiter sind Ihre Möglichkeiten als Kunde zur Kontrolle (Audit) und Überprüfung (Assessments) eines Cloud Providers begrenzt. Um so wichtiger ist es darum, diese vor einer Vertragsunterzeichnung zu prüfen. Im Vertrag sollten unter anderem die folgenden Punkte geregelt sein:
Mit der Nutzung von Cloud Services wird ein Teil der Kontrolle (und Verantwortlichkeit) an den Cloud Service Provider übertragen. Unabhängige, externe Audits und Assessments belegen die Einhaltung der Sicherheitsmaßnahmen des Providers; sie stellen jedoch Momentaufnahmen dar. Typischerweise entwickeln Cloud Provider ihre Services weiter. Definiert muss also auch werden, wie im Unternehmen mit neuen Cloud Services und Änderungen an bereits genutzten Services umgegangen wird.
Weiter sollten auch die internen Kontrollen von Cloud Services regelmäßig geprüft werden:
Eine der herausragenden Stärken der Cloud Nutzung ist ihre Self-Service Fähigkeit. Anwender (Fachspezialisten, Entwickler, Sicherheitsexperten, etc.) können sofort, ohne weitere Bemühungen , Services aus der Cloud beziehen. Diese Fähigkeit befeuert die Innovationskraft und verkürzt die Time-to-Market Ihrer Projekte erheblich.
Jedoch sollte nicht jede Person autorisiert sein, alles zu dürfen. Nur jene Berechtigungen sollten vergeben sein, die für die jeweilige Tätigkeit notwendig sind. Weiter sollten lenkende Massnahmen implementiert werden, die eine intensive Cloud Nutzung erkennen und eingrenzen können.
Mit Hilfe einer Entitlement Matrix definieren Sie pro Tätigkeit die notwendigen Berechtigungen. Diese werden in einem weiteren Schritt mit den Access Management Werkzeugen des Cloud Providers umgesetzt.
In Zukunft wird die Nutzung von Cloud Services und damit die Gefahr von Fehlkonfigurationen stark zunehmen. Mit der richtigen Planung lässt sich diese Herausforderung von Beginn an meistern. Ein wesentlicher Teil trägt dabei die Definition einer umfassenden Cloud Governance Architektur bei. Diese umfasst sowohl technische (Cloud Security Controls) als auch steuernde Aspekte (Cloud Security Governance).
Mit den sechs Grundpfeilern der Cloud Security Governance behalten Sie den Überblick der in Ihrem Unternehmen genutzten Cloud Services, können deren Nutzung steuern und reduzieren dadurch das Risiko von Fehlkonfigurationen.
Ich freue mich auf Ihre Kontaktaufnahme