Cloud-basierte IT-Systeme erfüllen in nahezu jeder modernen Industrie wichtige Funktionen. Unternehmen, gemeinnützige Organisationen, Regierungen und sogar Bildungseinrichtungen nutzen die Cloud, um die Reichweite des Marktes zu erweitern, die Leistung zu analysieren, die Humanressourcen zu verwalten und verbesserte Dienstleistungen anzubieten. Natürlich ist eine effektive Cloud-Sicherheitssteuerung für alle Unternehmen von entscheidender Bedeutung, die die Vorteile verteilter IT nutzen möchten.
Wie jede IT-Domäne hat auch Cloud Computing einzigartige Sicherheitsbedenken. Obwohl der Gedanke, Daten sicher in der Cloud zu schützen, schon lange als unlösbarer Widerspruch angesehen wurde, zeigen weit verbreitete Branchenpraktiken zahlreiche Techniken, die effektive Cloud-Sicherheit bieten. Wie kommerzielle Cloud-Anbieter wie Amazon AWS durch die Einhaltung der FedRAMP-Compliance gezeigt haben, ist effektive Cloud-Sicherheit in der Realität sowohl erreichbar als auch praktisch.
$config[code] not foundEine wirkungsvolle Sicherheits-Roadmap darstellen
Kein IT-Sicherheitsprojekt kann ohne einen soliden Plan funktionieren. Praktiken, die die Cloud betreffen, müssen sich in Abhängigkeit von den Domänen und Implementierungen unterscheiden, die sie schützen möchten.
Angenommen, eine lokale Regierungsbehörde führt eine Richtlinie für Ihr eigenes Gerät oder BYOD ein. Möglicherweise müssen andere Aufsichtskontrollen durchgeführt werden, als wenn die Mitarbeiter einfach über ihre persönlichen Smartphones, Laptops und Tablets auf das Organisationsnetzwerk zugreifen würden. Ebenso muss ein Unternehmen, das seine Daten durch das Speichern in der Cloud für autorisierte Benutzer zugänglicher machen möchte, wahrscheinlich andere Schritte unternehmen, um den Zugriff zu überwachen, als wenn es seine eigenen Datenbanken und physischen Server unterhalten würde.
Dies ist nicht so, wie einige bereits angedeutet haben, dass ein erfolgreicher Schutz der Cloud weniger wahrscheinlich ist als die Sicherheit in einem privaten LAN. Die Erfahrung hat gezeigt, dass die Wirksamkeit verschiedener Cloud-Sicherheitsmaßnahmen davon abhängt, wie gut bestimmte erprobte Methoden eingehalten werden. Für Cloud-Produkte und -Dienste, die Regierungsdaten und -ressourcen verwenden, werden diese Best Practices als Teil des Federal Risk and Authorization Management Program (FedRAMP) definiert.
Was ist das Federal Risk and Authorization Management Programm?
Das Federal Risk and Authorization Management Program ist ein offizielles Verfahren, mit dem Bundesbehörden die Wirksamkeit von Cloud-Computing-Diensten und -Produkten beurteilen. Im Mittelpunkt stehen Standards, die vom National Institute for Standards and Technology (NIST) in verschiedenen Special Publication- oder SP- und Federal Information Processing Standard- oder FIPS-Dokumenten definiert wurden. Diese Standards konzentrieren sich auf einen effektiven Cloud-basierten Schutz.
Das Programm enthält Richtlinien für viele allgemeine Cloud-Sicherheitsaufgaben. Dazu gehören die ordnungsgemäße Behandlung von Vorfällen, der Einsatz forensischer Techniken zur Untersuchung von Verstößen, die Planung von Eventualitäten zur Aufrechterhaltung der Ressourcenverfügbarkeit und das Risikomanagement. Das Programm enthält auch Akkreditierungsprotokolle für Drittanbieter-Akkreditierungsorganisationen (3PAOs), die Cloud-Implementierungen von Fall zu Fall bewerten. Die Einhaltung der von 3PAO zertifizierten Compliance ist ein sicheres Zeichen dafür, dass ein IT-Integrator oder -Dienstleister bereit ist, Informationen in der Cloud zu schützen.
Effektive Sicherheitsmaßnahmen
Wie halten Unternehmen ihre Daten mit kommerziellen Cloud-Anbietern sicher? Während es unzählige wichtige Techniken gibt, sind hier einige zu erwähnen:
Provider-Überprüfung
Starke Arbeitsbeziehungen bauen auf Vertrauen auf, aber dieser Glaube muss irgendwo entstehen. Unabhängig davon, wie gut ein Cloud-Anbieter etabliert ist, ist es wichtig, dass Benutzer ihre Compliance- und Governance-Praktiken authentifizieren.
Staatliche IT-Sicherheitsstandards beinhalten normalerweise Prüfungs- und Bewertungsstrategien. Überprüfen Sie die Leistung Ihres Cloud-Anbieters in der Vergangenheit, um herauszufinden, ob er für Ihr zukünftiges Geschäft angemessen ist. Personen mit.gov- und.mil-E-Mail-Adressen können auch auf FedRAMP-Sicherheitspakete zugreifen, die verschiedenen Providern zugeordnet sind, um ihre Compliance-Behauptungen zu bestätigen.
Nehmen Sie eine proaktive Rolle an
Obwohl sich Services wie Amazon AWS und Microsoft Azure für die Einhaltung etablierter Standards bekennen, erfordert umfassende Cloud-Sicherheit mehr als eine Partei. Je nach Cloud-Servicepaket, das Sie erwerben, müssen Sie möglicherweise die Implementierung bestimmter Schlüsselfunktionen Ihres Anbieters anweisen oder ihm mitteilen, dass er bestimmte Sicherheitsverfahren einhalten muss.
Wenn Sie beispielsweise ein Hersteller von Medizinprodukten sind, können Gesetze wie das Health Insurance Portability and Accountability Act oder HIPAA dazu führen, dass Sie zusätzliche Schritte unternehmen, um die Gesundheitsdaten der Verbraucher zu schützen. Diese Anforderungen bestehen häufig unabhängig davon, was Ihr Provider tun muss, um die Zertifizierung des Federal Risk and Authorization Management Program aufrechtzuerhalten.
Sie sind mindestens für die Aufrechterhaltung der Sicherheitspraktiken verantwortlich, die die Interaktion Ihrer Organisation mit Cloud-Systemen abdecken. Beispielsweise müssen Sie sichere Kennwortrichtlinien für Ihre Mitarbeiter und Kunden festlegen. Wenn Sie den Ball auf den Kopf stellen, kann dies sogar die effektivste Cloud-Sicherheitsimplementierung beeinträchtigen. Übernehmen Sie jetzt die Verantwortung.
Was Sie mit Ihren Cloud-Services tun, wirkt sich letztlich auf die Wirksamkeit ihrer Sicherheitsfunktionen aus. Ihre Mitarbeiter können sich aus Bequemlichkeitsgründen an Schatten-IT-Praktiken beteiligen, beispielsweise dem Austausch von Dokumenten über Skype oder Google Mail. Diese scheinbar harmlosen Aktionen können jedoch Ihre sorgfältig festgelegten Cloud-Schutzpläne behindern. Neben der Schulung des Personals, wie autorisierte Dienste ordnungsgemäß verwendet werden, müssen Sie ihm beibringen, wie Fallstricke mit inoffiziellen Datenströmen vermieden werden.
Verstehen Sie die Bedingungen Ihres Cloud-Services zur Risikokontrolle
Durch das Hosting Ihrer Daten in der Cloud erhalten Sie nicht notwendigerweise die gleichen Berechtigungen, die Sie bei der Selbstspeicherung an sich haben. Einige Anbieter behalten sich das Recht vor, Ihre Inhalte zu durchsuchen, damit sie Anzeigen schalten oder die Verwendung ihrer Produkte analysieren können. Andere Benutzer müssen möglicherweise im Rahmen der technischen Unterstützung auf Ihre Informationen zugreifen.
In einigen Fällen ist die Datenbelastung kein großes Problem. Wenn Sie mit personenbezogenen Verbraucherinformationen oder Zahlungsdaten zu tun haben, können Sie jedoch leicht erkennen, wie der Zugriff durch Dritte zu einer Katastrophe führen kann.
Es kann unmöglich sein, den Zugriff auf ein Remote-System oder eine Datenbank vollständig zu verhindern. Durch die Zusammenarbeit mit Anbietern, die Prüfprotokolle und Systemzugriffsprotokolle freigeben, wissen Sie dennoch, ob Ihre Daten sicher aufbewahrt werden. Dieses Wissen trägt wesentlich dazu bei, dass die Unternehmen die negativen Auswirkungen von Verstößen abschwächen können.
Gehen Sie niemals davon aus, dass Sicherheit eine einmalige Angelegenheit ist
Die meisten intelligenten Personen ändern regelmäßig ihre persönlichen Passwörter. Sollten Sie nicht ebenso auf Cloud-basierte IT-Sicherheit achten?
Unabhängig davon, wie oft die Compliance-Strategie Ihres Anbieters Selbstaudits durchführt, müssen Sie eigene Standards für die Routineprüfungen festlegen oder festlegen. Wenn Sie auch an Compliance-Anforderungen gebunden sind, müssen Sie ein strenges Regime festlegen, das gewährleistet, dass Sie Ihre Verpflichtungen auch dann erfüllen können, wenn Ihr Cloud-Anbieter dies nicht konsequent durchführt.
Erstellen von funktionsfähigen Cloud-Sicherheitsimplementierungen
Effektive Cloud-Sicherheit ist keine mystische Stadt, die für immer hinter dem Horizont liegt. Als etablierter Prozess ist er für die meisten IT-Servicebenutzer und -anbieter gut zugänglich, unabhängig davon, welche Standards sie erfüllen.
Durch die Anpassung der in diesem Artikel beschriebenen Vorgehensweisen an Ihre Zwecke ist es möglich, Sicherheitsstandards zu erreichen und aufrechtzuerhalten, die Ihre Daten schützen, ohne den Betriebsaufwand drastisch zu erhöhen.
Bild: SpinSys
1 Kommentar ▼
