Schwerpunkte

Cloud Security

Sicherheitsvorfälle in der hybriden Cloud wirksam bekämpfen

11. Mai 2016, 13:21 Uhr   |  Autor: Angela Recino / Redaktion: Diana Künstler | Kommentar(e)

Sicherheitsvorfälle in der hybriden Cloud wirksam bekämpfen
© Norbert Preiß, funkschau

Die zunehmende Digitalisierung von Wirtschaft und öffentlicher Hand macht Cyberkriminalität immer lukrativer. Daneben setzt sich die Migration in die Cloud weiter fort. Über den Spielraum für wirksamen Incident Response in der hybriden Cloud.

Die Bearbeitung von Sicherheitsvorfällen ist in der Hybrid Cloud stark davon abhängig, in welcher Infrastruktur sich das Unternehmen bewegt. Im Mittelpunkt steht die Frage: Besteht die Möglichkeit, die Ereignisse in der Infrastruktur aktiv selbst zu überwachen oder muss das Cloud-nutzende Unternehmen anderen – also dem Provider – vertrauen, dies in seinem Sinne zu übernehmen? Im Folgenden ein Überblick darüber, wie die Bearbeitung von Sicherheitsvorfällen innerhalb der verschiedenen Cloud-Services möglich ist:

  • Infrastructure-as-a-Service (IaaS): Für Incident Response die ideale Umgebung, denn der User behält auch im Public-Bereich seiner Cloud die Hoheit über die eigenen Systeme. Auf Systemebene erfolgt die Anbindung entweder an das eigene SIEM (Security-Incident-and-Event-Mana-gement) oder die APT-Sensoren werden in allen virtualisierten Computerhardware-Ressourcen wie Rechnern, Netzen und Speicher angebracht, sodass sich die Überwachung zusammenführen lässt. Der Zugriff auf die Systeminfrastruktur ist die Basis für Gegenmaßnahmen im Sinne des Incident Response, sei es, um Dienste zu deaktivieren oder auch Server für weitere Härtungsmaßnahmen aus dem Betrieb zu nehmen. Weil das auf Netzwerkebene für das Cloud-nutzende Unternehmen nur eingeschränkt möglich ist, da der Provider in der Regel keinen Zugriff auf seine physische Netzwerkinfrastruktur gestattet, ist zu empfehlen, dass Provider und das Cloud-nutzende Unternehmen eine gemeinsame Response-Strategie verfolgen und ihre Erkenntnisse aus dem physikalischen Netzwerkbereich und der Systemüberwachung innerhalb der Cloud aktiv teilen. Um eine zeitnahe und effiziente Bearbeitung von Incidents zu gewährleisten, sind allerdings abgestimmte Notfallpläne und definierte Eskalationsprozeduren erforderlich.  
  • Bei Platform-as-a-Service (PaaS) stellt sich die unmittelbare Frage nach der Integration in das unternehmenseigene SIEM. Für PaaS, die in einer hybriden Cloud-Struktur auf eigener Infrastruktur basieren, besteht die volle Bandbreite an Gegenmaßnahmen – anders als im Public Cloud-Anteil, denn hier fehlt der Zugriff auf die Systeminfrastruktur. Informationen über Incidents kommen also in erster Linie aus einer auf dem PaaS betriebenen Applikation. Ein Incident Response basiert hier überwiegend auf der Abstimmung und Abhängigkeit vom Provider. Ohne Informationen des Providers hat der User keinerationale Entscheidungsgrundlage etwa dafür, Services vom Netz zu nehmen.
  • Software-as-a-Service (SaaS): Der User hat lediglich Zugriff auf die Applikation beispielsweise über ein Web-Frontend, nicht aber auf die darunterliegenden Netzwerkstrukturen – und damit keine Chance für eine sinnvolle Integration der Überwachung für die Computing-Infrastruktur – eine wesentliche Voraussetzung, um die Incident-Response-Strategie im Einzelfall anzupassen. Für das Cloud-nutzende Unternehmen bedeutet das im Klartext: Keine Implementierung der eigenen Sensoren-Technologie, keine Detektionsmöglichkeiten und damit nur sehr eingeschränkte eigenen Incident Response. Abhilfe schaffen kann ein Cloud Access Security Broker: CASB sind lokal installierte oder cloudbasierte Sicherheitslösungen, die zwischen dem Cloud-nutzenden Unternehmen und dem Cloud Service Provider platziert werden. CASB ermöglichen die transparente Überwachung des Zugriffs auf Cloud Services sowie die Einsteuerung technischer Richtlinien in den Bereichen Malware Prevention, Authentifizierung, Verschlüsselung und Data Leakage Prevention (DLP). Mittels Zugriffs-Überwachung durch den CASB kann der Cloud-Nutzer das Monitoring auf Netzwerkebene auf den SaaS-Service erweitern und in seine eigenen Systeme integrieren. Der CASB ermöglicht Gegenmaßnahmen wie die situative Sperrung von Zugriffen im Incident-Fall, die Einrichtung von DLP-Mechanismen beziehungsweise die Verschärfung von deren Regeln. Darüber hinaus bleibt nur die enge Zusammenarbeit mit dem Provider.
Seite 1 von 3

1. Sicherheitsvorfälle in der hybriden Cloud wirksam bekämpfen
2. Vereinbarungen systematisch dokumentieren
3. Nachgehakt: Drei Fragen an TÜV Rheinland

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

TÜV Rheinland Energie und Umwelt GmbH, TÜV Rheinland LGA Products GmbH, TÜV Rheinland LGA Products GmbH Köln