Druckansicht
Kontakt
RSS-Newsfeed
Sitemap
Impressum
Der Cloud Security Expert sorgt für Sicherheit in der Cloud
Der Begriff Cloud ist längst kein "buzz word" oder Marketing-Begriff mehr, sondern im Alltag nicht mehr wegzudenken. Das Marktforschungsunternehmen Gartner spricht sogar von der neuen Norm. Sowohl im privaten Bereich als auch in Unternehmen werden Anwendungen kontinuierlich auf Cloud-Lösungen umgestellt, was nicht nur an den potentiellen Kosteneinsparungen liegt, sondern auch an den vielen Bequemlichkeiten einer Cloud-Anwendung. Geringer Wartungsaufwand (bspw. Backup, Sicherheit usw.), Platformunabhängigkeit (größtenteils Browser-basiert ) oder Zugriff von jedem Ort dieser Welt sind nur einige Beispiele, warum Cloud-basierte Anwendungen so erfolgreich sind und in Zukunft eine immer wichtigere Rolle spielen werden.
Wer glaubt, dass die Cloud noch ein Nischenprodukt ist, hier eine Liste mit Praxisbeispielen:
- Smartphones (Android, iOS, Apps wie Whatsapp)
Wer kann sich noch daran erinnern, wie aufwendig ein Handy-Wechsel vor den Zeiten von Android- oder Apple-Smartphones war? Kontakte mussten manuell von der Sim-Karte kopiert werden. Bilder oder andere Daten konnten nicht einfach auf den PC kopiert werden, weil man in der Regel ein spezielles Datenkabel und eine entsprechende Hersteller-Software benötigte. Heute liegen die Kontakte in der Cloud, Inhalte wie Bilder und Videos werden über die Cloud auf alle Geräte (bspw. iPhone, iPad, iMac usw.) synchronisiert und ein neues Smartphone ist in Minuten eingerichtet. - Wer braucht schon einen E-Mail-Client
Die angestaubten E-Mail-Clients wie Outlook oder Mozilla Thunderbird installieren sich heute nur noch die Wenigsten. E-Mails werden einfach über den Browser gelesen und versendet. Auch in Unternehmen wird immer häufiger der in-house Exchange-Server durch das cloudbasierte Office 365 ersetzt und die Mitarbeiter arbeiten mit Outlook online. - Home-Schooling
Was hätten die Schulen in Zeiten der Corona-Pandemie nur ohne die zahlreichen Cloud-Dienste gemacht? Kommunikation, Videokonfonferenzen und Austausch von Arbeitsblättern oder Präsentationen erfolgte gerne mittels Google for Education, eine Erweiterung für die klassische Google Cloud (d.h. Drive, Mail & Co.). - Immer weniger Hardware-Server, immer weniger In-House-Anwendungen in Unternehmen
Systemadministratoren vor 10, 20 Jahren administrierten noch eigene Server-Racks, installierten dort die im Unternehmen benötigten Server-Applikationen. Doch kaum eine Firma möchte sich noch ein eigenes Rechenzentrum leisten. Redundante Anbindungen, Ausfallsicherheit, Backup-Strategien, laufenden Energiekosten, Personalkosten für den Betrieb, Wartung (bspw. Updates) sind nur einige Punkte, warum Unternehmen ihre eigene Hardware rauswerfen und auf Cloud-Dienste wechseln.
Grundlegend kann man sagen, dass überall dort, wo früher physikalische Hardware eingesetzt wurden, in Online-Dienste ausgelagert wird. Im privaten Bereich werden die Familienfotos nicht mehr auf der USB-Festplatte, sondern auf Dropbox & Co. gespeichert. In Unternehmen landen Dateien auf Onedrive for Business.
Unter dem Begriff Cloud assoziieren viele Menschen lediglich einen Online-Datenspeicher, wo ihre Daten, Bilder oder Videos abgelegt und von überall zugreifbar sind. Lediglich ein Internet-Zugang ist Voraussetzung. Der Online-Datenspeicher ist aber nur einer von zahlreichen Services unter der Haube von Cloud Computing. Hier einige weitere Beispiele: Anwendungen (Google Docs, Excel Online), Datenbanken oder Kommunikation (Whatsapp, Microsoft Teams).
Auch bei Applikationen hält man primär Ausschau nach Cloud-Anwendungen, anstatt diese selbst administrieren zu müssen. Vor allem in der Software-Entwicklung verfestigt sich immer mehr der Trend, Anwendungen nicht mehr in Eigenentwicklung anzubieten, sondern auf Standard-Software zurückzugreifen, die als so genannte Software-as-a-Service angeboten wird. D.h. Anwendung, Datenbank, Server-Ressourcen werden vom Anbieter komplett zur Verfügung gestellt und der Kunde mietet sie und kann (in Eigenregie) Anpassungen an der Anwendung vornehmen.
Klassifikation von Cloud Computung
Cloud-Computing ist nicht gleich Cloud-Computing und man spricht von mindestens vier Servicemodellen. Unterschieden wird, ob Kunde oder Anbieter für einen Teilbereich verantwortlich ist oder der Cloud Anbieter alle Bereiche verwaltet. Es gibt Anwendungsfälle, da möchte man als Kunde Teilbereiche selbst verantworten. Häufig verbreitet ist auch der Wunsch, dass der Anbieter ein Rundum-Sorglospaket anbietet und alle Aspekte einer Applikation wie Anwendung, Datenbank, Server, Backup/Disaster Recovery zur Verfügung stellt.
| Verantwortung Systemumgebung | Verantwortung Applikation | |
|---|---|---|
| Infrastructure as a Service (IaaS) | Kunde | Kunde |
| Platform as a Service (PaaS) | Anbieter | Kunde |
| Software as a Service (SaaS) | Anbieter | Anbieter |
| Function as a Service (FaaS) | Anbieter | Anbieter |
Diese Flexibilität hat sich im Markt durchgesetzt, da der Kunde bestimmte Teilbereiche nicht abgeben möchte oder dies auch überhaupt nicht darf, weil beispielsweise Gesetze ihm dies verbieten.
- Infrastructure as a Service (IaaS)
Anbieter stellt die Server-Infrastruktur zur Verfügung, der Kunde kümmert sich vollständig um die Applikation. Typisches Beispiel ist ein Root Webserver (bspw. von Hetzner), wo der Anbieter lediglich Hardware-Ressourcen, Netzwerk und Speicher zur Verfügung stellt. Der Kunde installiert alles vom Betriebssystem bis hin zur Applikation in Eigenregie. - Platform as a Service (PaaS)
Im Vergleich zu IaaS fällt für den Kunden die Verwaltung der grundlegenden Infrastuktur wie Betriebssystem, Netzwerk und Storage weg. Der Kunde möchte lediglich seine Applikation auf der Platform entwickeln. Typische beispiele sind Microsoft Azure oder Amazon AWS. - Software as a Service (SaaS)
Der Kunde muss sich lediglich registrieren bzw. das gesamte Paket bestellen und kann die fertige Software sofort nutzen. Das Hosting, Backup-Strategien, Datenhaltung übernimmt der Anbieter komplett. Beispiele sind Webshops von Salesforce oder die Unternehmensplattform ServiceNow. - Function as a Service (FaaS)
Sehr ähnlich zu PaaS, wobei hier gezielt Funktionen und kleinere Applikationen (die bspw. via REST aufgerufen werden) angeboten werden. Kunden nutzen diese Möglichkeit, um bestimmte Prozesse auszulagern und vor allem Skalieren zu können. Beispiel: AWS Lambda Functions.
Zu unterscheiden ist zusätzlich, ob der Kunde exklusiven Zugriff auf die Ressourcen hat oder der Kunde sich diese mit anderen teilt. Web-Administratoren kennen einen ähnlichen Ansatz bei den Web-Hostern. Diese unterscheiden zwischen Dedicated Root Server (exklusive Hardware für einen Kunden = teurer) und Virtuellen Servern (Kunde teilt sich Ressourcen mit anderen Kunden = günstiger).
Ähnlich ist es bei Cloud Computing. Bei einer Public Cloud verwaltet der Cloud Anbieter alle Ressourcen wie Hardware, Storage oder Netzwerkgeräte und bietet sie auf einer zentralen Platform seinen Kunden zur Verfügung. Den Kunden werden Ressourcen zugeteilt und damit Kunde A nicht auf die Ressourcen von Kunde B zugreifen kann, werden diese in eigene Zugriffsbereiche segmentiert. Microsoft spricht beispielsweise von Tenants und Amazon AWS von Accounts. Vom Prinzip her entspricht eine Public Cloud einem virtuellen Server im Webhosting.
Der Begriff Private Cloud ist etwas missverständlich. Es handelt sich hierbei nicht um Hardware, die in-house in einem Unternehmen betrieben wird. Bei einer private Cloud werden die Ressourcen exklusiv für einen Kunden bereitgestellt, was natürlich teurer ist.
Die Hybrid Cloud ist eine Kombination aus Public und Private Cloud. Das heißt Teilbereiche der Cloud werden exklusiv, andere Teilbereiche wiederum nicht exklusiv bereitgestellt.
Cloud security challenges
Beim Thema Sicherheit ist die Cloud abstrakt. Grenzen verschmelzen, sie ist aus der ganzen Welt erreichbar und irgendwie doch nicht greifbar. Wie kann ich die Cloud vor dem Zugriff Dritter schützen und wie bemerke ich es überhaupt, denn anders als beim internen Netzwerk gibts keine klassische Firewall, die man monitoren kann. Aufgabe eines Cloud Security Experts ist es, Sicherheitsbewertungen, Schutzbedarfs- und Risikoanalysen von Cloud-Plattformen durchzuführen. Wir zeigen nun einen Überblick des typischen Aufgabengebietes.
Zugriffsberechtigung
Wie bereits erwähnt nutzen bei einer Public Cloud eine Vielzahl an Kunden gemeinsam die Ressourcen eines Cloud Anbieters. Umso wichtiger ist es, die Ressourcen klar segmentiert sind und keine unbefugten Zugriffe möglich sind. Außerdem ist die Benutzerverwaltung, oftmals als IAM (User Access Management) bezeichnet, eine zentrale Schlüsselrolle. Der Cloud Anbieter muss eine detaillierte Benutzer- und Rechteverwaltung anbieten, um die Zugriffe auf Daten, Datenbanken, Applikationen usw. gezielt steuern zu können.
Monitoring der Zugriffe
Eine Cloud ist 24/7 und von überall aus der Welt erreichbar. Das macht es für Hacker und Kriminelle interessant und sie versuchen, möglichst unbemerkt Zugriff auf die Ressourcen zu erhalten. Aufgabe des Cloud Security Experts ist es, Zugriffe zu monitoren und unbefugte Zugriffe ausfindig zu machen. Die Überall-und-Jederzeit-Verfügbarkeit spielt dem Hacker hierbei in die Karten, macht dem Cloud Anbieter aber das Leben schwer. Man möchte ja niemand aus bestimmten Regionen oder zu bestimmten Zeiten aussperren.
Datensicherung / Disaster Recovery
Daten sind einfach und schnell in der Cloud abgelegt, Applikationen eingerichtet und die Benutzer- / Zugriffsrechte nach intensiver Konzeption umgesetzt. Was passiert aber im Worst Case Szenario und der Cloud Anbieter wird gehackt oder fällt vollständig aus? Ist man in der Lage, innerhalb kürzester Zeit den Betrieb wieder herzustellen? Keine leichte Aufgabe, denn beim klassischen Vorgehen würde man einfach neue Server-Hardware zur Verfügung stellen und die letzten Backups einspielen. Aber wir funktioniert das in der Cloud?
DoS and DDoS Attacken
Immer wieder werden Unternehmen mit Denial-of-Service-Attacken penetriert, um ihnen einen wirtschaftlichen Schaden zuzufügen. Cloud Anbieter stehen hier ebenfalls im Fokus von Kriminellen und DoS-Attacken gehören quasi zum Alltag.
Einhaltung länderspezifischer Gesetze (Datenschutz)
Die Rechenzentren der Cloud Anbieter verteilen sich auf dem gesamten Globus. Große Gloud Anbieter haben aus Performance-Gründen in nahezu allen Regionen Rechenzentren, damit der Weg des Kunden zur Cloud möglichst gering ist. Aber auch Kosten spielen eine Rolle. Das bedeutet aber auch, dass die länderspezifischen Regularien eingehalten werden müssen, was immer wieder zu Problemen führt. So steht regelmäßig die Frage zur Debatte, ob sensible Daten deutscher Unternehmen in amerikanischen Rechenzentren gespeichert werden dürfen. Erst vor kurzem hat Meta (ehemals Facebook) angedroht, einige wichtige Dienste wie Facebook oder Instagram in Europa abzukündigen, da die Geschäfte durch die strengen EU-Datenschutzbestimmungen aus Sicht des Unternehmens zu stark reglementiert sind.
Fazit
Cloud Computing ist praktisch. Einfach zu bedienen, überall und jederzeit verfügbar. Was viele Anwender vergessen ist das Thema Sicherheit: sind die Daten sicher und vor dem Zugriff Unbefugter geschützt? Was passiert bei einem Totalausfall der Cloud? Können die Anwendungen und Daten in kürzester Zeit wiederhergestellt werden?
Der Cloud Security Expert beschäftigt sich mit diesen komplexen Fragen. Da Cloud Computing bereits heute einen wichtigen Stellenwert einnimmt, der in Zukunft noch wichtiger sein wird, werden Cloud Security Experten von Unternehen händeringend gesucht.
Server icons created by Eucalyp - Flaticon