Cloud-Sicherheit

Was ist Cloud-Sicherheit?

Cloud-Sicherheit sind die Sicherheitsrichtlinien, Sicherheitskontrollen, Sicherheitsprüfungen und andere Sicherheitslösungen, die Cloud-Daten, Anwendungen, APIs und Ihre gesamte Infrastruktur vor Sicherheitsrisiken schützen.

Cloud und Sicherheitslücken

Cloud bedeutet erhöhte Belastung

Cloud Computing erfreut sich aufgrund seiner zahlreichen Vorteile wie Skalierbarkeit, Erschwinglichkeit usw. zunehmender Beliebtheit und Massenanwendung. Allerdings gibt es eine Vielzahl von potenziellen Bedrohungen, die durch Cloud Computing auftreten können.

DDoS

Volumetrische DDoS-Angriffe sind nach wie vor sehr verbreitet, wobei Ausmaß der Angriffe und Raffinesse der Angreifenden zunehmen. Wenn Angreifende hohen Zustrom an bösartigem Datenverkehr an eine Anwendung oder API senden, werden deren Bandbreitenfähigkeiten überwältigt und kritische Dienste somit für Nutzer blockiert. Dies führt zu einer enormen Auswirkung auf das betroffene Unternehmen. Daher benötigen Sie ein fortschrittliches DDoS-Erkennungssystem und eine Schutztechnologie, um die Auswirkungen solcher Angriffe auf Ihr Netzwerk, Ihre digitalen Assets, Ihr Unternehmen und Ihre Kunden zu verringern.

Angriffe auf der Anwendungsebene 

Auch Angriffe auf der Anwendungsschicht können großen Schaden anrichten. Wie der Name sagt, zielt der Angriffsverkehr auf die Anwendungsschicht oder Layer 7 des OSI-Modells (Open Systems Interconnection), das Ihre Cloud-Umgebung unterstützt, indem das Verkehrsverhalten der Benutzer imitiert wird. Bei den angegriffenen Anwendungen kann es sich um die von Ihnen in der Cloud-Umgebung erstellten Anwendungen oder um Anwendungen handeln, die von einem Drittanbieter bereitgestellt werden. Daher erscheint der Datenverkehr legitim und ist schwer als bösartig zu identifizieren. In Kombination können DDoS-Angriffe und Angriffe auf Anwendungsebene Ihre gesamte Infrastruktur gefährden. Sie benötigen einen Cloud-Anbieter mit einem starken DDoS-Erkennungssystem, um solche Sicherheitsrisiken zu minimieren.

Herausforderungen der Private Cloud

Auch wenn Public Clouds mehr Flexibilität bieten, bevorzugen viele Unternehmen eine Private-Cloud-Umgebung im Vergleich zu Public Clouds oder hybriden Cloud-Infrastrukturen. Allerdings hat die Private Cloud ihre eigenen Risiken. Beispielsweise könnte ein Angreifer eine Schwachstelle ausnutzen, Zugriff auf den Hypervisor und das Gesamtsystem erlangen und die benachbarten virtuellen Maschinen angreifen, die auf seinem Host-Server installiert sind. Wer eine Public Cloud aufbaut, ist ebenfalls anfällig für solche Schwachstellen in seiner Infrastruktur. Allerdings bieten Amazon, Microsoft oder Google eine schnellere Reaktion, um solche Risiken zu minimieren und sind besser für die Sicherheit ihrer Hypervisoren gerüstet.

Sicherheitslücke in der Cloud und Datenverlust

Benutzer müssen sich anmelden, um auf die Ressourcen der Cloud-Plattform zuzugreifen. Dies erfordert eine erfolgreiche Authentifizierung und Autorisierung. Ein Angreifer könnte die Anmeldedaten manipulieren und sich unerwünschten Zugriff auf die Cloud-Infrastruktur verschaffen. Sie müssen sicherstellen, dass Ihr System nicht in falsche Hände gerät. Um solche Probleme zu verhindern, benötigen Sie ein Identitäts- und Zugriffsmanagement-Framework (IAM), das Funktionen wie Web Single Sign On (Web SSO) bereitstellt. Ein schlecht konfiguriertes IAM kann jedoch dazu führen, dass ein unbefugter Benutzer (durch einen inneren Feind oder eine Fehlkonfiguration) verbotene Ressourcen instanziiert. Dies könnte weiter zu ungewollten Kosten für die Infrastruktur und zu Rogue-Instanzen führen, die überall in der Infrastruktur Verstöße begehen.

Die Rollenverwaltung ist fehleranfällig, bietet neue Angriffsflächen und kann eine zeitaufwändige Angelegenheit sein. Deshalb ist ein IAM wichtig, wenn Sie Ihre Anwendungen konfigurieren, um den Benutzern genaue Rechte zu geben, damit sie nur auf das zugreifen können, was sie wirklich brauchen (Teile des Netzwerks, Speicherort). Dieser Ansatz wird erweitert, indem bestimmte Regeln basierend auf diesen Rollen definiert werden.

Unvorhergesehene Ereignisse wie Abrechnungsangriffe

Es wird empfohlen, Serverless-Anwendungen zu haben, um sich wiederholende Aufgaben zu automatisieren und die Gesamtproduktivität zu verbessern. Damit können Sie Code schreiben und ihn als Reaktion auf einen Auslöser ausführen, ohne sich um die Verwaltung von virtuellen Maschinen oder Containern, Skalierung usw. kümmern zu müssen. AWS hostet z. B. den Code der Entwickler, erstellt die virtuellen Maschinen und skaliert automatisch, sodass Sie sich überhaupt nicht um die Verwaltung der Infrastruktur kümmern müssen und sich auf Ihre anderen Geschäftsaufgaben konzentrieren können, sozusagen als „Next Generation Cloud“. Allerdings kann es recht kostspielig werden, Anwendungen mit einer Serverless-Architektur zu betreiben.

Angenommen, ein Kunde möchte sein Profilbild auf Ihrer Website hochladen. Sobald das Bild hochgeladen ist, wird es von der Serverless-Routine automatisch in der Größe angepasst. In einem solchen Szenario neigt der Angreifer dazu, anstelle eines klassischen DDoS-Angriffs Hunderte von falschen Konten zu erstellen und das Profilbild in jedem Konto zu ändern, und zwar mehrfach innerhalb einer Sekunde. Wenn es Sie mindestens ein paar Cent pro Ausführung kostet, dann können Sie sich vorstellen, wie schnell die Gesamtkosten eskalierten. Um Ihnen eine Vorstellung zu geben: Wenn Sie 100 EUR pro Monat für klassischen Traffic bezahlen und der Angriff Sie 100 EUR kostet, könnten die Gesamtkosten bis zu 10.000 EUR pro Monat betragen.

Compliance ist nicht gleichbedeutend mit Sicherheit

Es gibt strenge Anforderungen an die Einhaltung von Daten und Vorschriften, die von Cloud-Anbietern in verschiedenen Branchen erfüllt werden müssen. Da Cloud Computing viele Branchen beeinflusst, ist es wichtig, Compliance-Programme einzurichten, um die verschiedenen Sicherheitsrisiken zu adressieren. Cloud-Anbieter müssen die Schutzstandards von HIPAA, der DSGVO und des PCI DSS erfüllen, um Kunden den Schutz zu bieten, den sie verdienen. 

Die Einhaltung der DSGVO gemäß dem Schrems-II-Urteil ist notwendig, um hohe Bußgelder zu vermeiden, die bis zu 4 % des weltweiten Umsatzes des Unternehmens betragen können. Es ist ratsam, einen in der EU ansässigen Cloud-Anbieter zu nutzen, um Ihren Datenschutz in der Cloud zu gewährleisten, denn für die Einhaltung sind Sie verantwortlich. Allerdings können Angreifer auch die Compliance-Programme negativ beeinflussen. Der Bedarf an Sicherheitsstandards beim Sicherheitsmanagement in der Cloud steigt ständig.

 

Absicherung von Cloud-gehosteten Anwendungen

Sécurité du Cloud
Cloud-Sicherheit

Die Cybersecurity-Management-Lösungen von Rohde & Schwarz Cybersecurity adressieren die verschiedenen Herausforderungen, die mit der Cloud-spezifischen Sicherheit verbunden sind. Einige zusätzliche Vorteile.

 R&S®Web Application Firewall (on-premises)

  • Es ermöglicht eine zentralisierte Protokollverwaltung und Berichterstattung direkt in einer SaaS-Plattform – ideal für Unternehmen, die aus Gründen der Compliance oder des Sicherheitsmanagements eine Vor-Ort-Verwaltung bevorzugen
  • Web-Apps & API-Sicherheitskontrollen auf Basis von Reverse-Proxy
  • Visuelles Design von Sicherheitsrichtlinien & Management von In-/Out-Traffic
  • Optimierte TCO sowohl in der Build- als auch in der Run-Phase & DevOps-orientiert
  • Adaptiver Ansatz basierend auf Verhaltensanalyse & IP-Reputation
  • Erweiterte Überwachung von Sicherheit, Leistung und Web-Workload

R&S®Web Application Firewall (Cloud-gehostet)

Die klassische R&S®Web Application Firewall kann auf dem Cloud-Marktplatz eingesetzt werden, ist sehr einfach einzurichten und zu instanziieren und bietet alle Vorteile der On-Premises-Version.

R&S®Cloud Protector (WAF-as-a-Service)

Ideal für Unternehmen, die auf eine Software-as-a-Service-Bereitstellung in der Cloud setzen, um möglichst flexibel zu sein. Anders als bei der Cloud-gehosteten Version müssen Sie sich bei dieser nicht um die Software-Updates kümmern.

  • Application Security Engines der R&S®Web Application Firewall, eingebettet in einen WAF-as-a-Service
  • Beste Balance zwischen hoher Sicherheit und einfacher Bedienung dank vordefinierter Richtlinien
  • Hohe Verfügbarkeit und Leistung von Anwendungen
  • Nutzungsabhängiges Abonnement mit einem vom Anbieter verwalteten Dienst
  • Vertrauenswürdige, souveräne, europäische Lösung