Die wichtigsten falschen Annahmen zur Cloud-Sicherheit, die unnötige Risiken schaffen

Es ist 15 Jahre her, dass Amazon Web Services die erste Cloud-Infrastrukturplattform auf den Markt brachte. Mit einem Knopfdruck können Sie ein Rechenzentrum in Betrieb nehmen, ohne Hardware kaufen oder Kapital vergraben zu müssen. Doch anfangs beäugten viele Unternehmen die Cloud mit Argwohn. Aus Angst, die Kontrolle zu verlieren, hielten sie daran fest, ihre eigenen Rechenzentren zu betreiben. Sie hielten die Cloud für riskant. Und das war es auch.

In this blog post — the first of two — we’ll explore false assumptions about cloud security that make the cloud riskier than it needs to be.

Die Cloud: einfach zu verlockend, um sie zu ignorieren

Trotz der Risiken erwies sich der Wert der Cloud im Laufe der Zeit als zu überzeugend, um ihn zu ignorieren. Heutzutage nutzt fast jedes Unternehmen die Cloud auf die eine oder andere Weise. Und viele Unternehmen verlassen sich auf die Cloud, um kritische Vorgänge zu hosten – vor einem Jahrzehnt noch undenkbar.

While the cloud has provided far-reaching benefits, its risks and challenges remain. Enforcing comprehensive, Zero Trust security in the cloud is just as important as it is for any other part of your digital infrastructure.

The biggest problem? Organizations often do not fully understand the ways their cloud infrastructure exposes them to cyberattacks and ransomware.

Annahme #1: Ihr Cloud-Anbieter ist für die Sicherheit Ihrer Anwendungen verantwortlich.

If not your cloud provider, then who is responsible for cloud security?

Die Wahrheit ist, dass Sicherheit eine gemeinsame Verantwortung ist.

Unabhängig davon, ob Sie mit Amazon, Microsoft, Google oder einem anderen Cloud-Anbieter zusammenarbeiten, werden Sie feststellen, dass sich ihre Sicherheitsverantwortung auf den Schutz der Netzwerkstruktur beschränkt – das ist alles, was ihre Hosting-Umgebung ausmacht.

Die Anwendungssicherheit liegt weiterhin in Ihrer Verantwortung. Sobald Sie eine Anwendungsinstanz mit einem Betriebssystem auf dem Cloud-Netzwerk bereitstellen, ist der Schutz diese Aufgabe Ihre Aufgabe, nicht ihre.

Darüber hinaus erfolgt beim Cloud-Sicherheitssupport von Anbietern ein "Best Effort"-Modell und keine Service Level Agreements (SLAs). Das bedeutet, dass sie nur versprechen müssen, ihr Bestes zu tun, um Sie vor netzwerkbasierten Bedrohungen wie DDoS-Angriffen (Distributed Denial of Service) zu schützen. Aber wenn einer durchkommt, nun, dann haben sie ihr Bestes gegeben. Der Schutz Ihrer Workloads liegt immer bei Ihnen.

Cloud-Anbieter patchen zwar Systeme wie Linux-Server, auf denen Anwendungen gehostet werden, aber das behebt nicht Ihre potenziellen Anwendungsschwachstellen. Ohne Transparenz auf Anwendungsebene können Sie nicht wissen, ob eine Anwendung ordnungsgemäß bereitgestellt oder konfiguriert wurde.

Annahme #2: Cloud-Sicherheit ist einfach zu verwalten.

The cloud’s benefits — speed, agility and elasticity — actually make cloud security more difficult. That’s because the cloud lets virtually anyone in your organization spin up a new application or resource with just a few clicks of their mouse.

Making things even more difficult, few organizations centrally manage cloud services within their IT and security teams. Instead, various business units and groups can independently set up new cloud accounts.

Mit anderen Worten, jeder Benutzer oder Entwickler mit Zugriffsrechten kann Anwendungen erstellen, die über offene Ports zum Internet verfügen, in denen alles mit allem kommunizieren kann. Und das alles, ohne dass die IT oder die Sicherheit überhaupt wissen, dass diese Anwendungen existieren, geschweige denn sie sichern.

Darüber hinaus haben große Unternehmen oft Hunderte von Cloud-Konten auf AWS, Microsoft Azure, Google Cloud und anderen Cloud-Plattformen. Jedes dieser Konten kann über viele Virtual Private Clouds mit eigenen Sicherheitsgruppen verfügen.

All dies macht es immer schwieriger, diese Gruppen zu verwalten und ihre Sicherheitsrisiken zu verstehen. Es wäre hilfreich, Tools zur Visualisierung des Anwendungsdatenverkehrs zu und von Cloud-Umgebungen zu haben, aber in der Regel bieten Cloud-Anbieter diese nicht an.

Die Cloud ist hier, um zu bleiben, und damit auch ihre Sicherheitsrisiken

Wenn große und kleine Unternehmen erwägen, Workloads in die Cloud zu verlagern, lassen sie die Sicherheit allzu oft aus der Diskussion aus. Warum? Denn einige Teams betrachten Sicherheit als Hemmnis, das das Geschäft verlangsamt, und nicht als Wegbereiter, der das Geschäft beschleunigen kann.

Dies stellt CIOs, Sicherheitsverantwortliche und andere Technologieführer vor ein schwieriges Dilemma. Wenn Sie Initiativen und Anwendungen, die das Geschäft vorantreiben, nicht unterstützen können, helfen Sie dem Unternehmen nicht, zu wachsen. Wenn Sie jedoch die potenziellen Sicherheitsrisiken, die die Cloud darstellt, nicht bewältigen, setzen Sie das Unternehmen ernsthaften Bedrohungen aus.

Stay tuned for the next blog post in which I'll unpack additional cloud security assumptions that may be putting your business at risk.

In the meantime, learn how Illumio can help you build stronger digital security for your multi-cloud and hybrid cloud environments. Or have one of our experts explain how Illumio can strengthen your digital defenses against ransomware and cyberattacks.