Automatisierte Richtliniendurchsetzung: Governance und Compliance in der Cloud

26. März 2019

Cloud und Datensicherheit, eine nie endende Geschichte. Wie viel offene Fragen und Unkenntnis in Unternehmen anzutreffen sind, berichtet Palo Alto Networks. Laut der Veritas Truth in Cloud Study gehen 76 Prozent der Unternehmen davon aus, dass ihre Cloud-Betreiber sich um alle Datenschutz- und Compliance-Vorschriften kümmern. Gemäß dem Shared-Responsibility-Modell ist jedoch der Kunde für die Sicherheit, den Datenschutz und die Compliance seiner Workloads und Daten in der Cloud verantwortlich.

Anzeige
it clientmanagement ad

Es gibt mittlerweile mehrere Compliance-Frameworks, und je nach Branche ist es zwingend erforderlich, eines oder mehrere davon einzuhalten. Hierzu nennt Palo Alto Networks einige Beispiele:

  • ISO 27001: Internationale Norm
  • SOC 2: Weit verbreitet in den USA, insbesondere bei Finanzdienstleistern und SaaS-Anbietern
  • FedRAMP: US-Regierungskunden, NIST 800-53
  • PCI: Kreditkartenzahlungsabwicklung
  • HIPAA: Patientendaten im Gesundheitswesen in den USA
  • DSGVO: Datenschutz-Grundverordnung der EU für personenbezogene Daten

Unternehmen müssen sich intensiv mit denjenigen Rahmenwerken vertraut machen, die für sie relevant sind. Von diesem Stadium aus kann die Geschäftsleitung mit der Verteilung von Rollen und Verantwortlichkeiten innerhalb des Unternehmens beginnen.

Cloud-Sicherheit und Compliance sind eine Teamdisziplin

Es ist wichtig, einige der wichtigsten Akteure und ihre Verantwortung für die Sicherstellung der Compliance aufzuzeigen. Hier gibt es drei verschiedene Verantwortungsbereiche:

  • Management (z.B. C-Level): Dies sind die Personen, die rechtlich verantwortlich sind, wenn ihr Unternehmen gegen Vorschriften verstößt. Nicht nur aus der Sicht der Markenreputation stehen diese Leute buchstäblich auf vorderster Front und können bei Nichteinhaltung von Vorschriften strafbar gemacht werden.
  • Compliance (z.B. interne Audit- und Governance-Teams): Diese Gruppe muss sicherstellen, dass die Compliance-Programme auf dem neuesten Stand sind und ständig getestet werden.
  • InfoSec und Entwickler (z.B. SecOps und DevOps): Diese Teams müssen Aufgaben erledigen, die für Audits benötigt werden, um den Nachweis der Compliance zu erbringen.
Compliance in der CloudDies lässt sich noch weiter aufschlüsseln. Palo Alto Networks wirft einen Blick auf die Rollen und Prioritäten der drei Schlüsselgruppen und die Varianz, die auf dem Reifegrad der Cloud-Nutzung im Unternehmen basiert. Wenn das Compliance-Audit bevorsteht, bedeutet das für SecOps- und DevOps-Teams zusätzliche Arbeit, um dem Compliance-Team zu helfen, ein positives Ergebnis in einem Security-Audit zu erzielen. Dies ist ein typischer manueller Prozess, der viel Zeit und Ressourcen beansprucht. Darin liegt das Problem. Automatisierung kann jedoch maßgeblich dazu beitragen, das Konfliktpotenzial zu verringern und die Teams zu vereinen in der gemeinsamen Mission, die kontinuierliche Einhaltung der Vorschriften.

Sicherheit durch Design – Automatisierung der Richtliniendurchsetzung

Laut dem RightScale 2018 Cloud Security Report konzentrieren sich 42 Prozent der Unternehmen auf die Automatisierung von Richtlinien für Governance. Optimal ist es, wenn Compliance-Anforderungen in der Cloud mit der richtigen Strategie, den richtigen Tools und Governance, unterstützt durch Automatisierung, erfüllt werden können.

  • Die Automatisierung der Richtliniendurchsetzung ist hierbei nach Meinung von Palo Alto Networks von großem Nutzen. Sie trägt dazu bei, die Transparenz der Richtlinien in den Clouds und im gesamten Unternehmen zu gewährleisten, und fördert Innovationen durch das Vertrauen, dass kritische Richtlinien und Standards stets eingehalten werden. Hier sind einige Punkte, die es bei der Entwicklung der Strategie und Ausführung zu beachten gilt:
  • Wählen Sie einen „Shift Left“-Ansatz. Achten Sie darauf, dass die Urheber der Richtlinien in jeden Schritt und bei der Umsetzung jedes Projekts einbezogen werden. Berücksichtigen Sie mögliche Vorfälle im Rahmen Ihrer Projektzeitpläne im Voraus.
  • Wählen Sie einen Cloud-zentrischen Ansatz. Denken Sie daran, dass die Cloud nicht Ihr Rechenzentrum ist. Sie müssen Sicherheit und Compliance, einschließlich der automatisierten Richtliniendurchsetzung, unterschiedlich angehen.
  • Die Cloud ist sofort verfügbar. So schnell Sie „Cloud-Workload“ sagen können, kann ein Projekt in der Cloud in großem Maßstab durchgeführt werden. Die Compliance darf nicht hinterherhinken.

Die Einhaltung der Compliance-Vorgaben kann angesichts steigender Anforderungen und eines erweiterten Umfangs eine Herausforderung darstellen. Zeitgemäße Sicherheits- und Compliance-Services überwachen dazu kontinuierlich alle Cloud-Ressourcen auf mögliche Compliance-Verstöße und bieten anpassbare One-Click-Compliance-Reports. Click-Through-Kontrollen lösen im Idealfall Probleme schnell und einfach, da sich die Konfigurationen und Entwicklungsanforderungen ständig ändern. Automatisierung kann hier helfen, in Sachen Compliance auf dem Laufenden zu bleiben.

Palo Alto Networks

Lesen Sie auch