Sicherheit beim Cloud Computing

Lesezeit
2 Minuten
Bis jetzt gelesen

Sicherheit beim Cloud Computing

16.02.2011 - 13:00
Veröffentlicht in:
Cloud Computing ist derzeit in aller Munde – manche Unternehmen stehen der Wolke aufgrund von Sicherheitsbedenken jedoch noch immer skeptisch gegenüber. Zweifellos sind der Sicherheitsstatus in der Cloud und die Security-Verfahren, durch die sich SaaS-Dienstleister unterscheiden, für IT-Entscheider grundlegende Themen. In unserem Fachbeitrag helfen wir Ihnen mit einer Checkliste dabei, die besten Sicherheitskonzepte für die Cloud zu finden.
Aktuelle Cloud-Lösungen decken eine breite Palette von Geschäftsbedürfnissen ab, darunter Anwendungen für On-Demand-Collaboration, Webkonferenzen, IT-Service-Management, Online Backup oder Customer Relationship Management. Die Folge: Immer mehr kritische Informationen befinden sich in der Cloud. Doch trotz umfassender Kenntnisse über die Funktionsweise des On-Demand-Modells und seiner Vorteile, wie Kosteneffizienz, schnelle Anwendung, Flexibilität und Skalierbarkeit, fasst diese Technologie bei vielen Unternehmen nur langsam Fuß.

Ein Grund für die Zurückhaltung in puncto Umstellung auf SaaS sind Sicherheitsbedenken. Übermittelt ein Unternehmen sensible Daten über das Internet, sind strenge Kontrollen nötig, um die Sicherheit, Vertraulichkeit, Verlässlichkeit und Integrität sowie die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Solche Kontrollen müssen sämtliche Organisationen umfassen, an die Dienste ausgelagert werden. Denn auch hier ist das Einhalten von rechtlichen, ethischen und gesetzlichen Vorschriften zum Schutz von Informationen essenziell. Cloud-basierte Systeme beziehen sich auf vier Hauptbereiche – Anwendungs-, Infrastruktur-, Prozess- und Personalsicherheit –, die jeweils eigenen Sicherheitsregeln unterliegen.


Bild 1: Die Sicherheitsregeln für Cloud-basierte Dienste lassen sich in vier Teilbereich untergliedern

Anwendungssicherheit
Der Sicherheitsbedarf beginnt bereits bei der zugrunde liegenden Anwendung und sobald sich der Endbenutzer ins System einloggt. Die besten SaaS-Anbieter schützen ihr Angebot durch starke Authentifizierungs- und Autorisierungssysteme. Die Authentifizierung stellt sicher, dass nur Benutzer mit einem gültigen Berechtigungsnachweis Zugriff erhalten. Die Autorisierung steuert, auf welche Dienste und Daten der einzelne zugelassene Benutzer zugreifen kann.

Um zu verhindern, dass Passwörter geteilt werden, sollte die Anwendung nicht zulassen, dass das Einloggen mit einer einzelnen User-ID an mehreren Orten gleichzeitig möglich ist. Zusätzlich zur Verwendung eines Passwortes – einer Form der einfachen Authentifizierung – wird die Identität des Benutzers durch mehrfache Authentifizierung nochmals bestätigt. Diese dient als Schutzschild, um Benutzer und Kunden vor unbefugtem Zugriff auf ihre Inhalte und Daten zu bewahren. Die mehrfache Authentifizierung bietet ein höheres Sicherheitsniveau, wie es häufig bei staatlichen oder Finanzinstitutionen erforderlich ist. Elektronische Systeme verwenden die von den Benutzern angegebenen Informationen, um zu überprüfen, ob der User auch tatsächlich die autorisierte Person ist.

Diese Informationen beruhen auf einer Kombination von Tokens, die sich in die folgenden drei Kategorien einordnen lassen:
  • Was sie wissen – User-IDs, Passwörter, Passphrases persönliche Daten, et cetera
  • Was sie haben – PCs, Laptops, Hardware-Tokens (zum Beispiel SecurID), Smart Phones et cetera
  • Wer sie sind – Fingerabdruck, Iris- oder Netzhautscans et cetera
Durch Echtzeit-Berichte und die Überprüfungen der Benutzeraktivität ist ersichtlich, wer wann auf was zugreift und welche Änderungen vorgenommen wurden. Zusätzlich sollte kontrolliert werden, wer Dokumente drucken, kopieren oder weiterleiten darf. Auch ist es wichtig festzulegen, wie sich solche Aktivitäten, sofern nicht ausdrücklich genehmigt, verhindern lassen – selbst nachdem die Dokumente den Unternehmensbereich verlassen haben. Stabile Wasserzeichen-Funktionen helfen, dass Unterlagen nicht ohne Erlaubnis reproduziert oder verbreitet werden.

Außerdem ist es klug, den Zugriff auf die Anwendung durch eine wirksame Verschlüsselung abzusichern, um unbefugtes Sniffing (Schnüffeln) oder Snooping (Ausspionieren) von Online-Aktivitäten zu verhindern. Um Datenübertragungen von Kunden jederzeit zu schützen, muss eine Kodierung vorhanden sein. Des Weiteren sollten bei der Entwicklung und Verwendung der Anwendung SDL-Prozesse (SDL = Security Development Lifecycle) eingehalten werden.

Infrastruktursicherheit
Cloud-Dienste sind nur so gut wie ihre Verfügbarkeit. Die Anbieter müssen eine hochverfügbare, redundante Infrastruktur besitzen, um ihren Kunden unterbrechungsfreie Dienste bieten zu können. Die Infrastruktur sollte zudem Echtzeit-Replikation, mehrere Anschlüsse, wechselnde Energiequellen und moderne Notfallsysteme beinhalten, um umfassenden Datenschutz zu gewährleisten. Netzwerk- und Peripheriesicherheit haben für die Infrastrukturelemente oberste Priorität. Daher bedarf es moderner Technologien für Firewall, Load Balancer sowie Zugriffsicherungs-/Präventionssysteme, die permanent durch erfahrenes Sicherheitspersonal überwacht werden. Zudem sollten die Anbieter im Falle einer Störung stabile Wiederherstellungsverfahren zum Schutz ihrer Daten bieten und regelmäßig Disaster-Recovery-Tests durchführen.



                                                Seite 1 von 2                     Nächste Seite>>






ln/Peter Leichsenring, Sales Direktor Zentraleuropa bei IntraLinks

Tags

Ähnliche Beiträge

Sichere E2E-Verschlüsselung im Unternehmen Redaktion IT-A… Mi., 27.09.2023 - 08:40
Hybrid Work ist gekommen, um zu bleiben und die Arbeitsplätze sind mittlerweile entsprechend ausgestattet. Für jede Branchenanforderung gibt es eine eigene Software, die oft als SaaS aus der Cloud bezogen wird. Dabei gilt es, Sicherheitslücken zu vermeiden. Eine Maßnahme hierzu kann konsequente Ende-zu-Ende-Verschlüsselung nach dem Zero-Knowledge-Prinzip sein.
Im Test: Wazuh Redaktion IT-A… Mo., 25.09.2023 - 07:26
Extended Detection and Response und Security Information and Event Management sind zwei elementare Bausteine von Sicherheitskonzepten, in der Praxis aber regelmäßig kompliziert umzusetzen. Die Open-Source-Software Wazuh verspricht, dies zu vereinfachen, und positioniert sich als Rundum-Sorglos-Paket für IT-Sicherheit.