Seite 3: Das Sicherheitskonzept

Inhaltsverzeichnis

Das Sicherheitskonzept sollte möglichst vor der Testphase in Grundzügen stehen, so dass auch die Sicherheitsmaßnahmen in der Cloud mit getestet werden können. Je später man da feste Regeln vorgibt, desto schwieriger wird es, diese dann auch durchzusetzen.

Die Basis der Sicherheit in der Cloud ist der Schutz der Identitäten. Sie gewährleistet der sogenannte Identitäts-Perimeter, der sich aus Authentifizierung und Zugriffskontrolle zusammensetzt. Wir können nur jedem Unternehmen ans Herz legen, da von Beginn an hohe Missbrauchshürden einzuführen, indem Need-to-Know- beziehungsweise Least-Privilege-Prinzipien und Multifaktorauthentifizierung vorgeschrieben werden (mehr dazu findet sich in Cloud für Unternehmen: Typische Angriffe und wie Sie sich schützen).

Damit der Einstieg in die Cloud schnell gelingt, haben die Cloud-Provider oftmals bereits standardisierte Rollen oder Berechtigungen definiert, die dann entsprechend an die jeweiligen Personen vergeben werden können. So kann man der Gruppe Buchhaltung, die für die Abrechnungen in der Cloud zuständig ist, im Azure AD die Rolle Billing Administrator zuordnen.

In AWS ist für diese Mitarbeiter eine IAM-Richtlinie mit der Berechtigung BillingFullAccess (Vollzugriff) oder BillingViewAccess (Lesender Zugriff) zu erstellen. Diese IAM-Richtlinie wird dann an die Gruppe der Buchhaltungsmitarbeiter angehängt. Denn um den Überblick nicht zu verlieren, sollten IAM-Richtlinien nicht direkt an die Benutzerkonten angefügt werden. Grundsätzlich sind alle Berechtigungen und Rollen dynamisch zu sehen und die Notwendigkeit der jeweiligen Berechtigungen sollte regelmäßig überprüft werden, zum Beispiel einmal im Quartal.

Der zweite Eckpfeiler der Cloud-Security ist das konsequente Monitoring. Dabei muss zum einen sichergestellt werden, dass alle Ecken – auch die Dunkelsten – der Cloud-Umgebung überwacht werden, damit ein Angreifer sich nicht in eine nicht überwachte Region "verkrümeln" kann. Zum anderen muss man dafür sorgen, dass alle generierten Events – also auch die von den Endpunkten – ins Monitoring fließen.

Ordnung ins Chaos

Viele Cloud-Provider ermöglichen die Definition von globalen Sicherheitsregeln, mit denen sich die im Sicherheitskonzept definierten Mindeststandards umsetzen lassen. Eine der Sicherheitsregeln, deren Bedeutung man gar nicht genug betonen kann, stellt sicher, dass sich neue Ressourcen nur dann aktivieren lassen, wenn sie mit Tags versehen sind.

Das klingt nach einer Kleinigkeit für Buchhalterseelen, ist aber ein wichtiges Element einer sicheren Cloud-Strategie. Denn Tags schaffen Ordnung im Chaos und ermöglichen den Überblick, ohne den Security weitgehend nutzloses Stückwerk bleibt. Sie identifizieren etwa den Ressourcen- und damit auch Kosten-Eigentümer. Sie legen Sicherheitseinstufungen fest. Mit Tags kann man Ressourcen gezielt und automatisiert (de-)aktivieren. Damit die dazu verwendeten Tags vom Aufbau und der Benamung auch zueinander passen, sollte es eine globale Namenskonvention für Tags in der Cloud geben, die im Sicherheitskonzept dokumentiert ist.

Und schließlich sollte das Sicherheitskonzept den Einsatz von Verschlüsselung regeln. Also grob gesagt: Welche Daten sind wann wie zu verschlüsseln und wer verwaltet die Schlüssel dazu? Grundlage dieser Festlegung ist die Natur der verarbeiteten Daten und deren jeweiliger Schutzbedarf, die man ja bereits im Rahmen der DSGVO-Konformität dokumentiert haben sollte.

Die meisten Cloud-Provider verschlüsseln im Zuge der Mandantentrennung bereits auf unterschiedlichen Ebenen. In diesen Fällen verwaltet der Cloud-Provider auch das Schlüsselmaterial. Das mag in vielen Fällen ausreichend sein; bei speziellen Compliance-Anforderungen und besonderem Schutzbedarf ist das jedoch nicht zulässig. Dann muss der Kunde das Schlüssel-Management übernehmen. Das erhöht die Sicherheit aber nur dann, wenn es sorgfältig organisiert ist. Wichtig ist dabei unter anderem, den Lebenszyklus von Zertifikaten zu überwachen, damit diese vor ihrem Ablauf ausgetauscht werden. Dieser Vorgang sollte möglichst weit automatisiert stattfinden.

Notfallvorsorge ist besser als Nachsorge

Zwar heben Cloud-Provider gerne ihre hohe Verfügbarkeit hervor. Doch Cloud-Dienste können und werden auch ausfallen. Und Sie sollten darauf vorbereitet sein. Am besten mit einem vorab erstellten Notfallkonzept für den Cloud-Dienst. Das muss insbesondere alle Ansprechpartner, deren Kontaktdaten und Zuständigkeiten enthalten. Es ist fast schon peinlich, aber man muss es immer wieder sagen: Das Notfallkonzept muss unbedingt lokal vorliegen! Am besten ausgedruckt auf Papier.

Da die Cloud auf Redundanz und nicht auf Datensicherheit ausgerichtet ist, sollte man eine separate Datensicherung definieren. Diese kann beim eigenen Cloud-Provider erfolgen, eventuell über einen Cloud-Dienst den man buchen kann. Oder man sichert die Daten zurück in die lokale Datensicherung.

Weiterhin sollte man regelmäßig Notfallübungen durchführen. Diese sollten auch eine Rücksicherung größerer Datenmengen in die Cloud durchexerzieren. Denn Sie wollen nicht erst bei einem echten Notfall feststellen, was da alles schief laufen kann. Also dass beispielsweise die Wiederherstellung deutlich länger dauert, als ein Ausfall tolerierbar ist. Oder dabei Service Level Agreements überschritten werden, so dass hohe Konventionalstrafen anfallen. Das sind keine ausgedachten Fails, sondern ist tatsächlich und sogar mehrfach so geschehen.

Fazit und Ausblick

Überhaupt sollten Sie davon ausgehen, dass Sie Dinge übersehen oder vergessen. Der Knackpunkt dabei ist, das dann möglichst frühzeitig zu bemerken. Also nicht erst wenn das Kind bereits im Brunnen ist, sondern zu einem Zeitpunkt, zu dem Sie noch gegensteuern können.

Ein typisches Beispiel aus unserer Praxis ist eine vergessene Ressourcenbegrenzung pro Cloud-Konto. Deren Überschreitung kann zu einem Ausfall in der Cloud mit sehr unangenehmen und vor allem teuren Folgen führen. Wer das einmal durchgemacht hat, wird zukünftig sein Kapazitätsmonitoring ordentlich aufsetzen.

Hoffentlich hilft Ihnen diese Abhandlung dabei, Ihre eigenen Cloud-Projekte systematisch und geplant anzugehen. Denn nur so lassen sich die Gefahren einer überhasteten Migration vermeiden. Und damit Sie danach nicht übermütig werden, beschäftigt sich der vierte und letzte Teil mit den Dingen, die nach einem erfolgreichen Start des Cloud-Projekts anstehen. Darüber hinaus bereiten die Autoren der Serie ihre Tipps und Konzepte im heise-Security-Webinar In die Cloud - aber sicher, gezielt für IT- und Sicherheitsverantwortliche auf und stehen da auch für konkrete Fragen zur Verfügung.

(ju)