Sind Sie bereit für den Wechsel in die Cloud? Das müssen Sie bei der Auswahl von Dienstleistern beachten

Cyber Security News

Besucher drängen sich bei einer Cloud-Computing-Präsentation auf der Technologiemesse CeBIT am 2. März 2011 in Hannover. Während der RSA-Konferenz wiesen drei Redner auf die wichtigsten Prioritäten beim Umstieg auf die Cloud hin. (Sean Gallup/Getty Images)

Sicherheitsprofis haben viel zu tun, um mit all den Sicherheitsverletzungen und Schwachstellen fertig zu werden, mit denen sie jeden Tag konfrontiert werden. Und da immer mehr Menschen aus der Ferne arbeiten, hat es einen Schub in Richtung Cloud gegeben, was sie gezwungen hat, ihre grundlegenden Netzwerk- und Sicherheitsarchitekturen zu überdenken.

Worauf sollten Sicherheitsteams also achten, wenn sie sich zu diesem Schritt entschließen und neue Cloud-Anbieter in Betracht ziehen?

Auf dem Cloud Security Summit der RSA Conference in dieser Woche nannten drei Referenten die wichtigsten Prioritäten für den Wechsel, die alle damit zusammenhängen, die Erwartungen an einen Cloud-Service-Anbieter im Voraus festzulegen und schriftlich sicherzustellen, dass der Anbieter bestimmte Standards für die Wartung und Sicherung von Daten einhalten kann und wird.

Ein Thema, das von Anfang an berücksichtigt werden muss, ist die eigene Infrastruktur des Cloud-Anbieters. Randy Vickers, Chief Information Security Officer für das US-Repräsentantenhaus, sagte, dass große Unternehmen wie Google, Amazon Web Services und Oracle über eine tiefe Bank für die Softwareentwicklung verfügen. Sie können Patches und Upgrades pflegen und haben Sicherheitsteams, die dafür sorgen, dass die Cloud-Umgebung des Kunden sicher bleibt. Sie können den Kunden auch Informationen über diese Umgebung zur Verfügung stellen.

Aber was passiert, wenn Sicherheitsteams sich einen kleineren CSP ansehen? Verfügen sie über die nötige Wissenstiefe? Haben sie die nötige Erfahrung, um den Service, für den der Kunde bezahlt, aufrechtzuerhalten? Was passiert, wenn der kleinere Anbieter aufgekauft wird? Sind sie so klein, dass sie nicht die Ausfallsicherheit und Redundanz aufrechterhalten können, die der Kunde für seine Geschäftsprozesse benötigt?

“Es ist entscheidend, die Fitness des CSP zu verstehen, um das zukünftige Risiko einzuschätzen”, hilft Vickers und rät den Sicherheitsteams, herauszufinden, ob es dieses Unternehmen in den nächsten Jahren noch geben und als Partner bestehen wird. “Wenn sie gekauft werden, müssen Sie schnell reagieren. Fragen Sie, ob Sie Ihre Daten zurückbekommen können.”

Sicherheitsteams müssen sich auch auf Standards und Reporting konzentrieren. Vickers sagte, dass Unternehmen damit beginnen können, sich mit den NIST 800-53-Standards zu befassen. Die General Services Administration hat das Federal Risk and Management Program entwickelt, das bei der Verwaltung der NIST-Kontrollen hilft. Andere Standards, die in Betracht gezogen werden sollten, sind die Center for Internet Security (CIS) Controls, FedRAMP und die Cloud Controls Matrix (CCM) der Cloud Security Alliance.

Mark Houpt, Chief Information Security Officer bei DataBank Holdings, sagte, dass Sicherheitsteams nach einem CSP Ausschau halten sollten, der Audit-Berichte, ausgefüllte Fragebögen und allgemeine Audit-Unterstützung an den Kunden liefert.

“Wenn ein Unternehmen seine Daten in die Cloud oder physische Assets in ein Rechenzentrum verlagert, das nicht dem Unternehmen gehört, kann es schwierig sein, ein abgerundetes Audit-Programm aufrechtzuerhalten”, so Houpt. “Aber Audits und die Fähigkeit, Audits durchzuführen, sind für solide Geschäftspraktiken unerlässlich.”

Sicherheitsteams sollten sich vergewissern, dass der CSP Auditberichte wie einen SSAE18 SOC2 vorlegen kann, einen jährlichen Bericht darüber, wie der Anbieter das Rechenzentrum und die Cloud verwaltet und betreibt. Kunden können auch nach HIPAA-, PCI-DSS-, FedRAMP- und FISMA-Berichten fragen und sollten auch einen ausgefüllten Consensus Assessment Initiative Questionnaire (CAIQ) oder etwas Ähnliches erwarten.

Es gibt noch andere Überlegungen, wie z. B. die effizientere Verwaltung von Daten-Repositories. sagte Stacy Halota, Vizepräsidentin für Informationssicherheit und Datenschutz bei Graham Holdings, der früheren Washington Post Company.

“Wenn ich zu einem neuen Cloud-Anbieter wechsle, frage ich immer: Wie können wir unseren Fußabdruck reduzieren? Das kann sein, indem wir nicht benötigte Daten löschen, verschlüsseln, archivieren, anonymisieren, einfach etwas anderes machen”, so Halota. Mit der Cloud gibt es viele Möglichkeiten, die uns vorher nicht zur Verfügung standen.”

Halota fügte hinzu, dass Sicherheitsteams die Automatisierungsmöglichkeiten nutzen müssen, die die Cloud bietet, wie z. B. die Automatisierung von Datenmaskierung und Compliance-Kontrollen und die Aktualisierung der Disaster Recovery mit mehr Flexibilität in der Cloud.

Unternehmen haben manchmal “zu viele manuelle Kontrollen, wo sie einige Legacy-Kontrollen in die Cloud-Umgebung replizieren und die Vorteile der Automatisierung nicht nutzen”, sagte sie.

Vickers vom US-Repräsentantenhaus fügte hinzu, dass Sicherheitsteams auch erkennen müssen, dass, wenn ihr Unternehmen eine Verbindung zu einem CSP herstellt, sie bewerten müssen, ob sie die Netzwerkarchitektur ändern müssen. Muss das Unternehmen DNS-, Firewall- oder Routing-Änderungen vornehmen, um sicherzustellen, dass die Daten sauber von den On-Premise-Systemen zum CSP gelangen können?

“Einige CSPs haben dedizierte Verbindungen”, so Vickers. “Einige verlangen, dass Unternehmen spezielle VPNs einrichten. Wenn Sie das im Vorfeld als Teil der Prüfung wissen, können Sie entscheiden, wie Sie den Cloud-Service am besten implementieren oder welchen Sie auswählen. Die Sicherstellung einer sauberen Konnektivität wird das Risiko reduzieren, so dass die Wahrscheinlichkeit von Ausfällen geringer ist.”

Houpt von DataBank sagte, dass Sicherheitsteams auch nach einer Responsibility Assignment Matrix, auch bekannt als RACI, fragen sollten. Dieses Dokument definiert eindeutig die Verantwortung des Anbieters, die Verantwortung des Kunden und was gemeinsam genutzt wird.

“Hier geraten beide Seiten bei technischen Themen ins Grübeln”, so Houpt. “Stellt zum Beispiel der Kunde eine Firewall bereit oder der Provider? Wenn es der Provider ist, arbeitet er in einer gemeinsamen Umgebung? Kümmert sich der Kunde um die Überprüfung von Protokollen und Firewall-Regeln und der Provider um das Betriebssystem?” Houpt sagte, dass all diese Fragen geklärt werden müssen und es erfordert, dass sich beide Seiten zusammensetzen und die technischen Details ausdiskutieren.

Schließlich sagte Vickers, dass der CSP Bedingungen und Konditionen haben wird, wie alle Unternehmen es tun. Deshalb müssen die Sicherheitsteams eng mit dem Rechtsteam zusammenarbeiten, um die Antworten auf wichtige Fragen herauszufinden, wie zum Beispiel: Was passiert, wenn Daten verloren gehen? Was passiert, wenn es einen Zwischenfall gibt? Was passiert, wenn Sie die Beziehung beenden wollen? Muss Geld gezahlt werden, wenn der Qualitätsstandard nicht eingehalten wird? “Das sind alles Fragen, die durch die Rechtsabteilung gehen müssen, bevor ein Vertrag unterzeichnet wird”, so Vickers.

Graham Holdings’ Halota sagte, dass Unternehmen, die eine Cloud-Migration anstreben, mit der Entwicklung einer Cloud-Strategie beginnen sollten. Außerdem sollten Unternehmen Sicherheit und Datenschutz von Anfang an einbeziehen und nicht versuchen, die Automatisierung erst am Ende zu nutzen. Und sich an einem Framework orientieren, wie dem CCM der Cloud Security Alliance.

“Unternehmen brauchen auch einen kontinuierlichen Prozess zur Evaluierung und Verbesserung”, sagte Halota. “Es gibt ständig neue Funktionen, also stellen wir sicher, dass wir alles ausnutzen, was wir aus Sicht der Informationssicherheit und des Datenschutzes tun können.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com