In wenigen Schritten können Unternehmen den Schutz ihrer Cloud-Ressourcen deutlich erhöhen.
Sicherheitsbedenken stellen nach wie vor das größte Hindernis bei der Public-Cloud-Nutzung dar. Laut dem Cloud Monitor 2019, einer jährlich von Bitkom Research und KPMG durchgeführten Befragung, nennen fast drei Viertel der Teilnehmer die Gefahr eines unberechtigten Zugriffs auf sensible Unternehmensdaten als Hauptargument gegen die Public Cloud. Spektakuläre Fälle wie der Diebstahl von mehr als 100 Millionen Kundendaten aus einem Cloud-Speicher bei der Bank Capital One oder über zehn Millionen Gästeadressen und -telefonnummern bei der Hotelkette MGM Resorts fördern diese Ängste.
Public-Cloud-Ressourcen sind jedoch nicht per se unsicherer als lokale IT-Infrastrukturen – ganz im Gegenteil. Kaum ein Unternehmen dürfte selbst ein Sicherheitsniveau erreichen können, das dem der Cloud-Provider ebenbürtig ist. Das zeigt auch der Cloud Monitor 2020. Die befragten Unternehmen verzeichneten deutlich mehr Sicherheitsvorfälle in der internen IT-Infrastruktur als in den genutzten Public-Cloud-Ressourcen.
Sicherheit in der Cloud bedeutet jedoch auch immer eine gemeinsame Verantwortung von Kunde und Provider. Die beste Sicherheitsinfrastruktur beim Provider nutzt nichts, wenn Anwender Ressourcen falsch konfigurieren oder schlampig mit der Sicherung und Rechtevergabe bei ihren Nutzerkonten umgehen. Unternehmen müssen sich daher ihrer Verantwortung bewusst werden, und ihre Cloud-Ressourcen schützen. Diese sechs Schritte helfen dabei:
1. Transparenz schaffen
Einer der größten Vorteile von Cloud-Services, nämlich ihre einfache Konsumierbarkeit, stellt gleichzeitig eines der größten Sicherheitsprobleme dar. In den Fachabteilungen ist die Versuchung groß, „einfach mal schnell“ einen Cloud-Dienst zu buchen, ohne die IT-Verantwortlichen einzubeziehen. Verstöße gegen IT-Sicherheits- und Compliance-Richtlinien sind so an der Tagesordnung. Für eine durchgängige Cloud-Sicherheit gilt es deshalb zunächst einmal, alle verwendeten Cloud-Ressourcen sichtbar zu machen. Lösungen wie Sophos Cloud Optix schaffen die nötige Transparenz über alle Cloud-Anbieter hinweg. So lassen sich Sicherheits- und Compliance-Probleme zuverlässig erkennen, risikobasiert priorisieren und bereinigen. Auch wirtschaftlich bietet eine solche Lösung Vorteile. Weil alle Services sichtbar werden, können versteckte Kosten besser erkannt und die Cloud-Nutzung kann optimiert werden.
2. Compliance- und Sicherheitsrichtlinien festlegen und durchsetzen
Eine zu sorglose Nutzung von Public-Cloud-Ressourcen erhöht nicht nur Sicherheitsrisiken, sondern kann auch zu Verstößen gegen Compliance- und Datenschutzvorschriften führen. Klare, unternehmensweit kommunizierte Richtlinien helfen, solche Risiken einzudämmen. Die definierten Regeln müssen kontinuierlich und am besten automatisiert überwacht werden, so dass Verstöße schnell erkannt und behoben werden können.
3. Multi-Faktor-Authentifizierung nutzen
Noch immer ist die große Mehrheit aller Cloud-Konten mit einer einfachen Kombination aus Nutzername und Passwort geschützt. Oft erfüllen die verwendeten Kennwörter noch nicht einmal die einfachsten Sicherheitskriterien. Diese Sorglosigkeit macht es Angreifern besonders einfach. Bei Public-Cloud-Konten müssen sie noch nicht einmal die Sicherheitsvorkehrungen am Netzwerk-Perimeter eines Unternehmens überwinden, schließlich sind diese über das öffentliche Internet zugänglich. Die Authentifizierung an Cloud-Ressourcen sollte deshalb immer mit einem zweiten Faktor abgesichert werden. Alle großen Public-Cloud-Provider bieten die Möglichkeit, Konten per MFA (Multi-Faktor-Authentifizierung) zu schützen.
4. Zugriffsrechte managen
Schon die Übernahme eines einfachen Anwender-Accounts kann erhebliche Schäden verursachen. Noch problematischer wird es allerdings, wenn Cyberkriminelle die Zugangsdaten sogenannter privilegierter Accounts mit erweiterten Rechten erbeuten. Dann können sie sich ungehindert in der Cloud-Umgebung ausbreiten, Server umkonfigurieren oder sensible Daten aus besonders geschützten Bereichen stehlen. Unternehmen sollten daher die Zahl privilegierter Accounts auf ein Minimalmaß begrenzen und die Berechtigungen von Anwendern kontinuierlich monitoren.
5. Endpunkte schützen
Mit Malware infizierte Endgeräte gehören zu den Haupteinfallstoren für Cloud-Angriffe. Zu einer effizienten Absicherung von Cloud-Ressourcen gehört deshalb auch der Schutz der Endgeräte mit einer modernen leistungsfähigen Endpoint-Protection-Lösung wie Sophos Intercept X Endpoint. Dank der KI-basierten Erkennung von Verhaltensanomalien kann sie nicht nur bereits bekannte Schadprogramme abwehren, sondern auch unbekannte Malware oder gar dateilose Angriffe identifizieren.
6. Cloud-Server absichern
Für den Schutz der Cloud-Server sollten Unternehmen eine Web Application Firewall (WAF) auf dem Cloud-Gateway, ein Intrusion-Prevention-System (IPS) sowie einen modernen AV-Scanner installieren. Die XG Firewall von Sophos schützt beispielsweise vor unbekannten und komplexen Bedrohungen und hat eine Web Application Firewall integriert. Dank vorkonfigurierter Maschinen in Azure und in AWS lässt sie sich in der Public Cloud schnell starten. Die XG Firewall lässt sich darüber hinaus mit der Server-Host-Schutz-Lösung Intercept X for Server synchronisieren. Sämtliche Meldungen und Warnungen werden ausgetauscht und lassen sich über das Sophos Central Dashboard visualisieren.
Fazit
Cloud-Security kann und darf nicht allein dem Provider überlassen werden. Unternehmen tun gut daran, ihre Cloud-Ressourcen genauso gut zu schützen wie ihre interne IT-Landschaft. Die Integration und Synchronisation aller dafür notwendigen Komponenten sorgt dabei nicht nur für maximale Transparenz und Sichtbarkeit, sondern schützt auch vor neuen und komplexen Bedrohungen.