Die wichtigsten falschen Annahmen zur Cloud-Sicherheit, die zu unnötigen Risiken führen

Es ist 15 Jahre her, seit Amazon Web Services die erste Cloud-Infrastrukturplattform auf den Markt gebracht hat. Auf Knopfdruck könnten Sie ein Rechenzentrum in Betrieb nehmen, ohne Hardware kaufen oder Kapital vergraben zu müssen. Doch anfangs beäugten viele Unternehmen die Cloud mit Argwohn. Aus Angst, die Kontrolle zu verlieren, hielten sie daran fest, ihre eigenen Rechenzentren zu betreiben. Sie hielten die Cloud für riskant. Und das war es.

In diesem Blogbeitrag — dem ersten von zweien — werden wir das untersuchen falsche Annahmen zur Cloud-Sicherheit das macht die Cloud riskanter als nötig.

Die Cloud: einfach zu überzeugend, um sie zu ignorieren

Trotz der Risiken erwies sich der Wert der Cloud im Laufe der Zeit als zu überzeugend, um ihn zu ignorieren. Heute nutzt fast jedes Unternehmen die Cloud bis zu dem einen oder anderen Grad. Und viele Unternehmen verlassen sich auf die Cloud, um wichtige Abläufe abzuwickeln — vor einem Jahrzehnt undenkbar.

Obwohl die Cloud weitreichende Vorteile mit sich gebracht hat, bestehen nach wie vor Risiken und Herausforderungen. Umfassende Durchsetzung, Zero-Trust-Sicherheit in der Cloud ist genauso wichtig wie für jeden anderen Teil Ihrer digitalen Infrastruktur.

Das größte Problem? Unternehmen verstehen oft nicht vollständig, welchen Risiken ihre Cloud-Infrastruktur sie aussetzt Cyberangriffe und Ransomware.

Annahme #1: Ihr Cloud-Anbieter ist für die Sicherheit Ihrer Anwendungen verantwortlich.

Wenn nicht Ihr Cloud-Anbieter, wer ist dann verantwortlich für Cloud-Sicherheit?

Die Wahrheit ist, dass Sicherheit eine gemeinsame Verantwortung ist.

Egal, ob Sie mit Amazon, Microsoft, Google oder einem anderen Cloud-Anbieter zusammenarbeiten, wenn Sie sich das Kleingedruckte ansehen, werden Sie feststellen, dass sich deren Sicherheitsverantwortung darauf beschränkt, nur die Netzwerkstruktur zu schützen — das ist alles, was ihre Hosting-Umgebung ausmacht.

Die Anwendungssicherheit liegt weiterhin in Ihrer Verantwortung. Sobald Sie eine Anwendungsinstanz mit einem Betriebssystem auf dem Cloud-Netzwerk bereitstellen, ist es Ihre Aufgabe, diese zu schützen, nicht ihre.

Darüber hinaus verwendet der Cloud-Sicherheitssupport von Anbietern ein „Best-Effort“ -Modell und keine Service Level Agreements (SLAs). Das bedeutet, dass sie nur versprechen müssen, ihr Bestes zu geben, um Sie vor Netzwerkbedrohungen wie DDoS-Angriffen (Distributed Denial of Service) zu schützen. Aber wenn einer durchkommt, nun ja, sie haben ihr Bestes gegeben. Was den Schutz Ihrer Workloads angeht, so liegt das immer bei Ihnen.

Cloud-Anbieter patchen zwar Systeme wie Linux-Server, die Anwendungen hosten, aber das behebt Ihre potenziellen Anwendungsschwachstellen nicht. Ohne Transparenz auf Anwendungsebene können Sie nicht wissen, ob eine Anwendung ordnungsgemäß bereitgestellt oder konfiguriert wurde.

Annahme #2: Cloud-Sicherheit ist einfach zu verwalten.

Die Vorteile der Cloud — Geschwindigkeit, Agilität und Elastizität — machen es tatsächlich Cloud-Sicherheit schwieriger. Das liegt daran, dass die Cloud es praktisch jedem in Ihrem Unternehmen ermöglicht, mit nur wenigen Mausklicks eine neue Anwendung oder Ressource einzurichten.

Was die Sache noch schwieriger macht, ist, dass nur wenige Organisationen zentral verwalten Cloud-Dienste innerhalb ihrer IT- und Sicherheitsteams. Stattdessen können verschiedene Geschäftsbereiche und Gruppen unabhängig voneinander neue Cloud-Konten einrichten.

Mit anderen Worten, jeder Benutzer oder Entwickler mit Zugriffsrechten kann Anwendungen erstellen, die über offene Ports zum Internet verfügen, über die alles mit allem kommunizieren kann. Und das alles kann geschehen, ohne dass die IT oder die Sicherheitsabteilung überhaupt wissen, dass diese Anwendungen existieren, geschweige denn, sie zu schützen.

Darüber hinaus verfügen große Unternehmen häufig über Hunderte von Cloud-Konten auf AWS, Microsoft Azure, Google Cloud und anderen Cloud-Plattformen. Jedes dieser Konten kann über viele virtuelle private Clouds mit eigenen Sicherheitsgruppen verfügen.

All dies macht es immer schwieriger, diese Gruppen zu verwalten und ihr Sicherheitsrisiko zu verstehen. Es wäre hilfreich, Tools zur Visualisierung des Anwendungsverkehrs zu und von Cloud-Umgebungen zu haben, aber in der Regel bieten Cloud-Anbieter sie nicht an.

Die Cloud ist gekommen, um zu bleiben, ebenso wie ihre Sicherheitsrisiken.

Da große und kleine Unternehmen erwägen, Workloads in die Cloud zu verlagern, lassen sie das Thema Sicherheit allzu oft aus der Diskussion heraus. Warum? Weil einige Teams Sicherheit als Hemmnis betrachten, das das Geschäft verlangsamt, und nicht als Wegbereiter, der das Geschäft beschleunigen kann.

Dies führt zu einem schwierigen Dilemma für CIOs, Sicherheitsverantwortliche und andere TechnologieFührend. Wenn Sie Initiativen und Anwendungen, die das Geschäft vorantreiben, nicht unterstützen können, tragen Sie nicht zum Wachstum des Unternehmens bei. Wenn Sie aber die potenziellen Sicherheitsrisiken, die Cloud darstellt, nicht in den Griff bekommen, setzen Sie das Unternehmen ernsthaften Bedrohungen aus.

Seien Sie gespannt auf den nächsten Blogbeitrag, in dem ich zusätzlich auspacken werde Annahmen zur Cloud-Sicherheit das könnte Ihr Unternehmen gefährden.

In der Zwischenzeit erfahren Sie, wie Illumio Ihnen helfen kann, eine stärkere digitale Sicherheit für Ihre Multi-Cloud- und Hybrid-Cloud-Umgebungen. Oder lassen Sie sich von einem unserer Experten erklären, wie Illumio das kann stärken Sie Ihre digitale Abwehr gegen Ransomware und Cyberangriffe.