Cloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing. Группа авторов
Чтение книги онлайн.

Читать онлайн книгу Cloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing - Группа авторов страница 11

СКАЧАТЬ Systeme gewährleistet. Gleichzeitig wird durch diese Organisationsform die agile Anwendungsentwicklung für die Kundenschnittstelle nicht blockiert bzw. gebremst.

      Die Entwicklung am Markt der letzten Jahre hat den Bedarf der Flexibilität auch bei den Kernsystemen aufgezeigt. Es wird längerfristig erforderlich sein, dass beide Vorgehensmodelle für die Erreichung der Unternehmensziele koexistieren können. Hierbei steht die geeignete Balance zwischen Effizienz und Innovation bei der Umsetzung von digitalen IT-Projekten im Fokus, welche für jedes Projekt je nach den vorhandenen Rahmenbedingungen gefunden werden muss.

      Die Grundlage für den Erfolg der integrierten flexiblen IT-Organisation ist die durchgängige Veränderung der Prozesse. Agile Methoden zur Softwareentwicklung sowie ein neues Betriebsmodell mit DevSecOps-Ansätzen zur Verschmelzung von Softwareentwicklung und IT-Betrieb unter Berücksichtigung der Sicherheitsaspekte sollten zum Einsatz kommen. Neue Technologien wie Cloud Computing bieten die notwendige Flexibilität und Skalierbarkeit.

      3.2 Veränderte Governance durch Cloud-Nutzung

      Die Governance in der IT-Organisation war bisher eine wichtige Führungsdisziplin. Ohne eine klare Richtlinie im Unternehmen sowie einer Kontrolle zur Einhaltung konnte es in der Vergangenheit innerhalb eines Rechenzentrums auch zu Sicherheitsvorfällen kommen. Dabei konnten auch gesetzliche und regulatorische Vorschriften, welche Unternehmen im Rahmen der IT-Governance einhalten müssen, verletzt werden.

      Durch die Nutzung der Cloud sowie die Verwendung von agilen Methoden hat sich einiges verändert. Der IT-Betrieb erfolgt beispielsweise auf mehreren dezentral verteilten Public-Cloud-Plattformen, intern betriebenen Private-Cloud-Plattformen und/oder bei Hosting-Anbietern. Hybride Ansätze können hierbei zum Einsatz kommen. Bestehende Governance-Strukturen oder Service-Management-Prozesse sind aufgrund der neuen verteilten Strukturen nicht mehr ausreichend und der Einsatz eines passenden Cloud Governance Frameworks wird erforderlich.

      Folgende Fragestellungen erhalten durch die Nutzung der Cloud eine größere Bedeutung:

      • Welche Cloud Provider befinden sich für das Unternehmen bereits im Einsatz?

      • Ist ein aktueller Gesamtüberblick zur IT des Unternehmens (inkl. aller Cloud Provider und Rechenzentren) vorhanden?

      • Für welche Workloads darf welcher Cloud Provider verwendet werden?

      • Aus welchem Land wird welche SaaS-Lösung bereitgestellt?

      • Wie wird mit privilegierten Benutzerkonten umgegangen bzw. diese gegen unbefugten Zugriff abgesichert?

      • Welche zentralen Architektur- und Namenskonventionen sind vorhanden?

      • In welchen Regionen dürfen welche Daten gespeichert und/oder verarbeitet werden?

      • Wird die Einhaltung der Sicherheitsrichtlinie des Unternehmens durch automatisierte Einrichtung erzwungen und zusätzlich auch automatisiert überprüft?

      • Wie werden einmal allokierte Ressourcen überwacht und deren Freigabe sichergestellt?

      • Wer ist für das Lifecycle-Management von Cloud-Ressourcen verantwortlich, das heißt, wer überwacht, ob Ressourcen, die nicht mehr benötigt werden, auch de-allokiert werden?

      • Wer hat eine Übersicht der aktuellen und geplanten Kosten?

      • Wie können Audits unterstützt werden?

      • Was sind die Mindeststandards für Verträge mit Cloud Providern?

      Ohne klare Antworten auf die Fragestellungen kann ein Unternehmen die Kontrolle über die Nutzung von Cloud-Diensten verlieren sowie dabei auch die Einhaltung von Sicherheitsrichtlinien des Unternehmens, gesetzliche und regulatorische Vorschriften nicht mehr gewährleisten.

      Einige Regelwerke und Frameworks sind vorhanden, um die Umsetzung und Einhaltung von IT-Governance-Vorgaben zu unterstützen. COBIT gilt als eines der wichtigsten Frameworks für die Umsetzung der IT-Governance, welches von der Information Systems Audit and Control Association (ISACA) erstellt wurde. Im Jahr 2019 wurde das COBIT Framework aktualisiert und mit aktuellen Themen wie DevOps, Agilität und Cloud erweitert.

      Eine Cloud-Computing-Richtlinie regelt grundsätzlich die Verwendung von Cloud-Diensten im Unternehmen. Hierbei werden die oben beschriebenen Fragestellungen und andere Themen beantwortet und Voraussetzungen für die Nutzung von Cloud-Diensten festgelegt. Alle vorhandenen Risiken und mögliche Konsequenzen werden beschrieben.

      3.3 Übersicht zum Ansatz mit „Security by Design“

      Vor der Herstellung eines neuen Produkts gehen dem Softwareentwickler viele Fragen durch den Kopf: Wie soll die Benutzerschnittstelle aussehen? Wie leistungsfähig soll die neue Software sein? Ein wichtiger Aspekt fällt dabei jedoch immer noch zu oft unter den Tisch: die Sicherheit.

      Aktuell nimmt die Zahl von Cyberangriffen rapide zu, wie aus dem Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervorgeht. Demnach entdecken die Experten zum Beispiel täglich etwa 380.000 neue Varianten von Schadprogrammen. Große Konzerne verzeichnen schon heute mehrere Tausend Attacken pro Tag. 95 Prozent der erfolgreichen Angriffe basieren auf schlecht programmierter, schlecht gewarteter oder schlecht konfigurierter Software. Dieses Problem ließe sich aber lösen, indem Security zu Beginn des Projektes direkt berücksichtigt wird. Der Fachbegriff dafür lautet: Security by Design.

      Werden Sicherheitseigenschaften als Designkriterium durch die Softwareentwicklung berücksichtigt, lassen sich Systemfehler von vornherein vermeiden. Ein Softwareingenieur arbeitet dann auch ganz anders, denn er arbeitet Spezifikationen ab. Ist Security nicht Teil der Anforderungen, werden diese durch den Entwickler nicht abgearbeitet. Im Idealfall ist das Thema Security bereits ein fester Bestandteil in der Ideenphase, und eine mögliche Umsetzung mit allen Vorgaben kann frühzeitig mit beispielsweise einem Prototyp überprüft werden. Durch weitere Einhaltung der Sicherheitsvorgaben in den weiteren Produktionsstufen erfüllt das fertige Produkt bestenfalls alle Erfolgskriterien.

      Sieben Grundregeln zur Reduzierung der Risiken sollten durch Unternehmen berücksichtigt werden:

       1. Angriffsfläche klein halten

      Die Angriffsfläche lässt sich deutlich minimieren, indem Überflüssiges deaktiviert wird. Deaktivierte, nicht benötigte Softwareprogramme und Komponenten auf IT-Systemen können auch nicht angegriffen werden.

       2. Geeignet authentifizieren und autorisieren

      Vertrauliche Informationen und Informationssysteme sollten nur für die gewünschten Kommunikationspartner zugänglich und im erforderlichen Umfang nutzbar sein.

       3. Eingaben überprüfen

      Jede Eingabe sollte auf zulässige Zeichen, insbesondere Sonderzeichen, und auf die maximal zulässige Eingabelänge geprüft werden. Ein Beispiel: Bei der Bestellung auf einem Web-Portal sind im Feld für das Geburtsdatum des Nutzers nur Zahlen und möglicherweise noch Punkte erforderlich. Ziel hierbei ist die wirksame Verhinderung von Pufferüberläufen oder die Einspeisung von als Code interpretierbaren Zeichenketten.

       СКАЧАТЬ