Prinzipien für die Cloud Migration – das „Wo“ und „Wann“ bei der Sicherheit

Originalbeitrag von Jason Dablow

Traditionelle Sicherheitsmodelle drehten sich schon immer um drei Bereiche: Konfigurationen für den Zugang und das Provisioning, Mauern, die Dinge blocken sowie Agenten, die Dinge inspizieren. Doch im Zuge der Umstellung auf sichere native Cloud-Dienste befinden sich einige davon außerhalb dieser Mauern, und es besteht auch nicht immer die Möglichkeit, einen Agenten zu installieren. Wo sollte also Sicherheit in der Cloud angesiedelt sein, und welches ist der richtige Zeitpunkt, um mit der Implementierung anzufangen?

Eigentlich ist Sicherheit für die Cloud gar nicht so anders – nur die Art und Weise, wie sie ein- und umgesetzt wird ist unterschiedlich. Man sollte damit anfangen, sich von dem Gedanken zu verabschieden, dass die Sicherheitsvorkehrungen an bestimmte Implementierungen gebunden sind. Anwender brauchen keine Intrusion Prevention-Mauer in Form einer Hardware-Appliance, genauso wenig wie ein Agent installiert werden muss, um Malware zu bekämpfen. Das Augenmerk liegt vor allem auf der Konfiguration, den Berechtigungen und anderen Best Practices. Sicherheits-Benchmarks sind gefordert, wie AWS Well-Architected, CIS und SANS, um eine anpassungsfähige Sicherheitsrichtlinie zu erstellen, die den Anforderungen eines voran gehenden Unternehmens gerecht wird.

Dabei bietet sich die Konsolidierung von Technologien in einer Cloud-zentrierten Service-Plattform wie Trend Micro Cloud One an, die es ermöglicht, Assets unabhängig von deren Art und Einsatz zu schützen. Cloud One Application Security kann für die Sicherheit von serverlosen Funktionen oder Containern sorgen. Mit Trend Micro Container Security lässt sich Sicherheit bereits in der Entwicklungspipeline ansetzen und mit Cloud One Conformity können Entwickler die Infrastruktur-als-Code scannen.

Es gilt: Wo Sicherheit implementiert wird, dort ist sie vorhanden. Das bedeutet, dass Verantwortliche für die Migration in die Cloud sicherstellen müssen, dass dies der geeignete Ort ist, um die Ziele der Sicherheits-Policy zu erreichen.

Es ist unerlässlich, Sicherheit auf jeder einzelnen Ebene sowohl der Architektur als auch der Umsetzung zu planen und zu integrieren. Das bedeutet, dass etwa für den Fall einer Disaster Recovery-Migration sichergestellt werden muss, dass die Sicherheit für die Infrastruktur, den neuen Cloud Space und die sie unterstützenden Operationen bereit ist. Bei einer Anwendungsmigration in die Cloud wiederum bedeutet der Zeitpunkt, wann Sicherheit tatsächlich implementiert wird, auch eine Menge für die Kostenoptimierung.

NIST Planning Report 02-3

Das Bild zeigt eindrücklich, dass je früher eine Lösung für die Sicherheitsbedrohungen gefunden wird, desto geringer gestaltet sich die Arbeitsbelastung von Infosec und desto niedriger sind die Kosten für die Lösung. Eine Kombination von Tools und Prozessen unterstützt Entwickler dabei, Sicherheitsaufgaben früher in Betracht zu ziehen. So können auch mögliche Konflikte zwischen Sicherheits- und Anwendungsteams vermieden werden, die oft zu Schatten-IT-Projekten und einem allgemeinen Mangel an Transparenz und Vertrauen führen. Weitere Empfehlungen zum Thema finden Interessierte unter dem Stichwort: Sicherheit, die nicht ausbremst.

Weitere Sicherheitsüberlegungen für die Migration in die Cloud liefert der Blogbeitrag „Prinzipien für die Cloud Migration – das „Was“ bei der Sicherheit“ und „Prinzipien für die Cloud Migration – Zuständigkeiten in der Sicherheit“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.