Cloud Security Governance - der kontrollierte Weg in die Cloud

Eine integrale Cloud Governance Architektur lohnt sich.

Autor: Dominik Liebmann

Laut einer Prognose des IT-Marktforschers Gartner werden bis 2025 95% aller Sicherheitsvorfälle in der Cloud durch fehlerhafte Konfiguration der Cloud Anwender verursacht. Im gleichen Zeitraum werden sich die Investitionen in Cloud Services im Vergleich zu 2019 verdoppeln. Mit einer integralen Cloud Governance Architektur wird die Cloud Nutzung gesteuert, überwacht und dadurch Sicherheitsrisiken vermieden

Elemente einer sicheren Cloud Nutzung

Eine effektive Cloud Governance Architektur muss grundsätzlich zwei Arten von Fragestellungen beantworten. Zum einen sind dies technische Fragestellungen (Cloud Security Controls) wie:

  • Wie verhindere ich, dass Daten unkontrolliert abfließen (Data Protection)?
  • Wie stelle ich den Zugriff auf Cloud Dienste sicher (Access Management)?
  • Wie sichere ich meine Cloud Services ab (Secure Configuration)?


Zum anderen steuernde Fragestellungen (Cloud Security Governance), zum Beispiel:

  • Wie steuere ich den Einsatz von Cloud Services in meinem Unternehmen?
  • Wie behalte ich die Übersicht der verwendeten Cloud Services?
  • Wie verhindere ich, dass Cloud Services unbemerkt im Unternehmen verwendet werden (Stichwort Shadow-IT)?

Insbesondere der letztgenannten Art von Fragestellung sollte besondere Aufmerksam geschenkt werden. Schafft sie doch die Grundlage für eine erfolgreiche Cloud Nutzung, was zur Realisierung der erwarteten Interessen wie z.B. der Reduzierung der Time-to-Market oder der Steigerung der Innovationskraft Ihres Unternehmens führt.

ebenen_cloud_security.png
Abbildung 1: Elemente einer sicheren Cloud Nutzung

Die sechs Grundpfeiler einer sicheren Cloud Nutzung

Für die Umsetzung der Cloud Strategie eines unserer Kunden aus dem Finanzbereich haben wir ein zweistufiges Vorgehen gewählt. In einem ersten Schritt haben wir die Cloud Security Governance definiert, um in einem zweiten Schritt, darauf aufbauend, die Cloud Security Controls zu erarbeiten.
Eine effektive Cloud Security Governance basiert dabei auf den nachfolgenden sechs Grundpfeilern:

säulen_cloud_sec_governance.png
Abbildung 2: Die sechs Grundpfeiler einer erfolgreichen Cloud Security Governance

1. Cloud Security Policies

Cloud Service Provider (CSP) machen die Nutzung von Services sehr einfach. Kreditkarte hinterlegen und schon kann man zusätzliche Compute und Storage Power nutzen. Leider können auch so sehr einfach und schnell Daten ungewollt an Dritte abfliessen.

Vor einer Nutzung von Cloud Services sollte darum deren Verwendung vorab klar geregelt werden. Folgende Fragen müssen dabei unter anderem berücksichtigt werden:

  • Welche Regulatorien und Richtlinien müssen berücksichtigt werden?
  • Welche Daten dürfen durch Cloud Services verarbeitet werden?
  • Welche Cloud Service Provider dürfen genutzt werden?
  • Von wo dürfen Cloud Services genutzt werden (z.B. nur aus dem Unternehmensnetz heraus)? 
  • Was passiert, wenn ein Cloud Service plötzlich nicht mehr verfügbar ist?

 

2. Inventarisierung der Cloud Services

Cloud Services sind mit herkömmlichen IT-Assets zu vergleichen und sollten wie diese inventarisiert werden. Der Aufbau eines Cloud Service Katalogs ist damit essentiell, will man explodierende IT-Kosten vermeiden. Jeder Service sollte dabei mindestens mit den folgenden Angaben beschrieben werden:

  • Name und Beschreibung des Cloud Services
  • Der Cloud Service Provider, der den Service erbringt
  • Die Klassifizierung der Daten, die durch den Cloud Service verarbeitet werden dürfen
  • Die Geografie (Region), wo der Cloud Service Daten verarbeitet
  • Ansprechpartner innerhalb des Unternehmens und beim CSP für Rückfragen

 

3. Risikobewertung

Mit der Nutzung von Cloud Services und den damit verbundenen Auslagerungen von Aufgaben an einen Cloud Service Provider erhöhen Sie die Abhängigkeit von diesem. Die daraus entstehenden Risiken können vielfältig sein; so kann zum Beispiel der Ausfall der Cloud Buchhaltungssoftware wegen verspäteter Zahlungen zu finanziellen Verlusten führen. Schlecht geschützte Cloud Services können ausserdem zu einem Abfluss von Kundendaten führen, was  nicht nur im Finanz- und Versicherungsbereich ein Super GAU ist.


Mit Hilfe eines Risiko Assessments der Cloud Services können Sie die Risiken der Cloud Nutzung besser beurteilen und gezielt mitigierende Maßnahmen implementieren. Dies erlaubt eine auf Ihren individuellen Risikoappetit angepasste Cloud Nutzung. Das Risiko Assessment umfasst dabei folgende Punkte:

  • Umfang - Welche Cloud Services und Anspruchsgruppen sind betroffen? Wie sind die Verantwortlichkeiten verteilt?
  • Auswirkung - Welchen Einfluss hat eine Kompromittierung oder Ausfall des Cloud Services auf Ihr Geschäft (Stichwort Business Continuity)?
  • Bedrohung - Welche Bedrohungen ergeben sich durch die Nutzung der Cloud Services (z.B. schlecht geschützte APIs)?
  • Angreifbarkeit - Wie werden die Cloud Services durch den Provider und bei ihrer Verwendung geschützt?
  • Beurteilung - Wie hoch ist die Wahrscheinlichkeit einer Bedrohung und den damit verbundenen Konsequenzen für Ihr Geschäft?
  • Behandlung - Wie soll mit dem ermittelten Risiken umgegangen werden (mitigieren, verhindern, auslagern oder akzeptieren) und wer ist betroffen?

 

4. Cloud Provider Verträge

Typischerweise gibt es in der Gestaltung der Verträge mit Cloud Service Provider wenig Spielraum, stellt die Standardisierung der Leistungen ein Hauptmerkmal von  diesen dar. Weiter sind Ihre  Möglichkeiten als Kunde zur Kontrolle (Audit) und Überprüfung (Assessments) eines Cloud Providers begrenzt. Um so wichtiger ist es darum, diese vor einer Vertragsunterzeichnung zu prüfen. Im Vertrag sollten unter anderem die folgenden Punkte geregelt sein:

  • Welche Verpflichtungen hat der Cloud Service Provider (CSP)? Welche der Cloud Nutzer?
  • Welche Schutzmassnahmen setzt der CSP ein?
  • Welchen Gesetzen und Regularien untersteht der CSP?
  • Wie wird über Anpassungen der Cloud Services informiert?
  • Wie können Daten bei Vertragsbeendigung exportiert und weiterverarbeitet werden? Wie werden die Daten vom CSP sicher gelöscht?
  • Welche Audits werden durchgeführt und in welcher Frequenz?

 

5. Gewährleistung der Sicherheitsmassnahmen

Mit der Nutzung von Cloud Services wird ein Teil der Kontrolle (und Verantwortlichkeit) an den Cloud Service Provider übertragen. Unabhängige, externe Audits und Assessments belegen die Einhaltung der Sicherheitsmaßnahmen des Providers; sie stellen jedoch Momentaufnahmen dar. Typischerweise entwickeln Cloud Provider ihre Services weiter. Definiert muss also auch werden, wie im Unternehmen mit neuen Cloud Services und Änderungen an bereits genutzten Services umgegangen wird.

Weiter sollten auch die internen Kontrollen von Cloud Services regelmäßig geprüft werden:

  • Werden die geltenden Security Vorgaben eingehalten (Security Policies)?
  • Wie wird die Kommunikation zur und innerhalb der Cloud abgesichert (Network Security)?
  • Wie wird der Zugriff auf die Management Console und Cloud Services gesteuert (Access Management)?
  • Wie werden Daten in der Cloud geschützt (Data Protection)?
  • Wie werden die Cloud Anwendungen geschützt (Secure Configuration)?
  • Wie werden Schwachstellen im laufenden Betrieb erkannt (Security Monitoring)?

 

6. Rollen und Verantwortlichkeiten

Eine der herausragenden Stärken der Cloud Nutzung ist ihre Self-Service Fähigkeit. Anwender (Fachspezialisten, Entwickler, Sicherheitsexperten, etc.) können sofort, ohne weitere Bemühungen , Services aus der Cloud beziehen. Diese Fähigkeit befeuert die Innovationskraft und verkürzt die Time-to-Market Ihrer Projekte erheblich.

Jedoch sollte nicht jede Person autorisiert sein, alles zu dürfen. Nur jene Berechtigungen sollten vergeben sein, die für die jeweilige Tätigkeit notwendig sind. Weiter sollten lenkende Massnahmen implementiert werden, die eine intensive Cloud Nutzung erkennen und eingrenzen können.

Mit Hilfe einer Entitlement Matrix definieren Sie pro Tätigkeit die notwendigen Berechtigungen. Diese werden in einem weiteren Schritt mit den Access Management Werkzeugen des Cloud Providers umgesetzt.

Matrix.png
Abbildung 3: Quelle: Cloud Security Alliance

Fazit

In Zukunft wird die Nutzung von Cloud Services und damit die Gefahr von Fehlkonfigurationen stark zunehmen. Mit der richtigen Planung lässt sich diese Herausforderung von Beginn an meistern. Ein wesentlicher Teil trägt dabei die Definition einer umfassenden Cloud Governance Architektur bei. Diese umfasst sowohl technische (Cloud Security Controls) als auch steuernde Aspekte (Cloud Security Governance). 

Mit den sechs Grundpfeilern der Cloud Security Governance behalten Sie den Überblick der in Ihrem Unternehmen genutzten Cloud Services, können deren Nutzung steuern und reduzieren dadurch das Risiko von Fehlkonfigurationen.

Ihr ipt-Experte

Ich freue mich auf Ihre Kontaktaufnahme