Sicher in die Cloud – Worauf IT-Experten bei der Cloud-Migration achten sollten
23. November 2018Die gute Nachricht zuerst: Generell kann man die öffentliche Cloud als sicherer als ein On-Prem-Modell betrachten. Der Cloud Provider kümmert sich um alle lokalen Aspekte und die Verantwortung für die Sicherheit wird untereinander geteilt. Sicherheitskonzepte, die für die eigene Infrastruktur festgelegt wurden, gelten auch für die Nutzung der Cloud-Infrastruktur – beziehungsweise für den Weg der Daten in die Cloud.
Der sichere Weg in die Cloud
Der Weg der Daten in die Cloud ist naturgemäß der Übergabepunkt der Verantwortung. Um möglichen Risiken vorzubeugen, sollte zunächst definiert werden, welche Daten in der Cloud gespeichert werden sollen. In den meisten Fällen sind dies durchaus sensible Informationen wie Kundendaten und Zahlungsinformationen, sowie weitere Datensätze, die als Betriebsgeheimnis klassifiziert werden können. Folgende Punkte sollten IT-Experten dabei besonders beachten:
- Die Risiken sind primär Breaches, Leaking, das Verlieren der Authentizität, sowieauch ganz klassisch der Verlust von Daten. Datenverlust kann von redundanten Backup-Strategien abgefangen werden, während die anderen Themen komplexer sind.
- Sicherheit muss auf verschiedenen Schichten gewährleistet werden, wie zum Beispiel Anwendungen, Benutzer, Daten und Plattformen.
- Üblicherweise hat man es mit zwei Anwendungen zu tun. Einer grafischen Benutzerschnittstelle (Graphical User Interface; GUI), die dem Erfassen und Verarbeiten von Daten dient und der Datenbank dahinter.
Hier kommen bereits die Kernvorteile der Cloud ins Spiel: Im eigenen Datenzentrum müssen sich IT-Administratoren um das Aufspielen von Patches und Updates selbst kümmern. In der Cloud erledigt dies der Service-Provider und hat dedizierte Ressourcen für derartige Aufgaben.
Das Logging ist auch schon bei Anwendungen ein Thema. Wichtige Informationen werden gerne vergessen. So verlässt man sich vielleicht auf Zugriffsbeschränkungen mit dem Gedanken „Mitarbeiter X hat von mir die Berechtigung bekommen, auf diese Tabellen zugreifen zu können“. Aber warum hat Mitarbeiter X gerade eben 5.000 Datensätze in eine CSV-Datei exportiert?
Die Ebene darunter umfasst die Daten selbst und kann in der Datenbank weiter aufgespalten werden: Als ganzes System, einzelne Tabellen, Objekte oder Einträge. Wo werden diese abgelegt? In der Cloud ist Storage immer virtuell – aber es gelten die gleichen Regeln wie für physisches Storage und demnach auch die gleichen bekannten Ansätze bei „data at rest“.
Fokus auf Benutzerfreundlichkeit
Die größte Aufmerksamkeit sollte den Benutzern und der Benutzeroberflächen gelten. Weiterhin gibt es Benutzer, Gruppen, Berechtigungen und Policies. Amazon Web Services (AWS) verfügt zum Beispiel über vordefinierte Berechtigungen in einem Katalog, erlaubt aber auch das Anlegen und Verwalten von eigenen Strukturen.
Idealerweise werden bestehende, lokale Mechanismen zur Authentifizierung weiter genutzt und mit der Cloud verbunden, wie zum Beispiel Active Directory® (AD) oder Security Assertion Markup Language (SAML) zu AWS, oder auch Azure, wo die Integration von AD in nur wenigen Mausklicks erledigt werden kann.
- Das „Identity & Access Management“ (IAM) bei AWS erlaubt sehr granulare Einstellungen. Bei jeder Art von privilegiertem Zugriff sollten diese auch genutzt werden. Der Einsatz von Multifactor-Authentifizierung beim Root-Konto ist vorausgesetzt. Darüber hinaus empfiehlt sich dies bei allen Konten, die direkt auf die Datenbanken zugreifen können oder generell Zugriff auf sehr sensible Daten haben.
- Multifactor Authentication (MFA) wird oft als lästig angesehen, kostet aber normalerweise nicht mehr als 5 Sekunden. Hier gilt es den Benutzern den Wert dieser 5 Sekunden nahezulegen. AWS bietet übrigens einen IAM Policy Simulator mit dem sich Regeln schnell testen lassen.
Überprüfen der Sicherheitsleistungen in der Cloud
Die Sicherheit der Plattform als solches liegt in den Händen des Anbieters und erfordert ein gewisses Vertrauen des Nutzers. Folgende Fragen helfen, die Qualität der Sicherheitsleistungen einzuschätzen zu können:
- Wie sieht es mit der Compliance aus? In vielen Unternehmen wird ein Auditor nach dem Beweis von Konformitäten bitten. Daher muss vorab sichergestellt werden, dass der Cloudanbieter diese Beweise ebenfalls erbringen kann.
- Wo stehen die Datenzentren? Kann man sicherstellen, dass Daten nur innerhalb von Europa abgelegt werden?
- Werden alle Zugriffe ausreichend protokolliert? Bei AWS gibt es das CloudTrail-Feature welches API Abfragen mitschneidet und als Log zur Verfügung stellt, und den Amazon Inspector, der in gerade einmal 15 Minuten die Sicherheit der Plattform sowie der Nutzung einschätzen kann.
Eine Herausforderung ist der Transport von Daten in die Cloud hinein. Von der Nutzung von http selbst für SaaS ist abzuraten. Bei größeren Umgebungen erfolgt der Transfer („data in motion“) über dedizierte Tunnel. Bei AWS sorgt Virtual Private Cloud für eine isolierte und verschlüsselte Verbindung. VPC lässt sich sogar in bestehende MPLS-Szenarien integrieren.
Des Weiteren gibt es Dienste und Lösungen um die Sicherheit der Cloud als auch des Transportes zu erhöhen. Dies umfasst proprietäre Features der großen Cloudprovider oder auch spezialisierte Lösungen von weiteren Technologieanbietern. Security-Lösungen in der Cloud bieten die bekannten Vorteile wie der garantierten Aktualität von Datensätzen wie Signaturen und Patchständen, aber auch nahezu unlimitierte Ressourcen und garantierte Verfügbarkeit. Einige dieser Lösungen folgen sogar dem hybriden Ansatz, so dass es vollkommen unerheblich ist, ob Daten on-prem oder in der Cloud gesichert werden.
Fazit
Zusammenfassend lässt sich sagen, dass für die Security in der Cloud zwar stellenweise andere Werkzeuge verwendet werden, – letztlich gelten aber immer noch die gleichen Prinzipien und IT-Experten müssen nicht viel umlernen. Sicherheitsstrategien basieren nach wie vor auf elementaren Pfeilern wie dem Erkennen und Verstehen der Daten sowie der Umgebung, dem Anwenden des Verständnisses, sowie dem Anpassen an die jeweilige Situation. IT-Experten sollten bedenken, dass die Wahl der Werkzeuge mit am entscheidendsten ist um die Komplexität möglichst gering zu halten – aber gleichzeitig maximale Skalierung gewährleisten zu können.