Check Point eBook
Continuous Compliance: Eine Herausforderung bei der Nutzung von Public Clouds
eBook für eine automatisierte, kontinuierlichen Compliance-Architektur und -Planung
Stellen wir uns vor, wir sind in einem kleinen Boot. Wir befinden uns mitten in einem Teich und müssen das Boot genau an der gleichen Stelle, mitten im Wasser, halten. Aus Gründen der Compliance dürfen wir das Boot nicht mehr als fünf Fuß von der vorgesehenen Stelle wegfahren lassen. Wahrscheinlich würden wir einen Anker werfen und ihn setzen und schon hätte man es geschafft.
Nun, stellen wir uns vor, wir wären in einem Kanu. Und statt in einem Teich sind wir in der Mitte eines Flusses. Wir müssen das Kanu genau an der gleichen Stelle in der Mitte des Flusses halten und dürfen das Kanu nicht mehr als einen Meter von der vorgesehenen Stelle wegfahren lassen. Und dies muss ohne Anker geschehen. Mit nichts als einem Paddel müssen wir das Kanu an der gleichen Stelle halten und sich an die Strömung, den Wind und alle anderen Bedingungen anpassen. Es genügt zu sagen, dass wir dafür ständig daran arbeiten müssen, unsere Position zu justieren und zu halten. Wir wären nicht in der Lage, auch nicht für zwei Sekunden anzuhalten, ohne von unserem Standort wegbewegt zu werden, und würden riskieren, aus der Konformität zu geraten. Außerdem werden wir aufgefordert, dies ohne jegliche Ausbildung, Erfahrung oder spezifische Kenntnisse im Umgang mit einem Kanu zu tun, geschweige denn, wie man ein Kanu auf einem Fluss handhabt. Es wäre deutlich anders als der Umgang mit einem Boot auf einem See oder Teich.
Dies ist eine Analogie für die Unterschiede zwischen der Einhaltung von Compliance in einem On-Premise-Rechenzentrum und einem Public-Cloud-Rechenzentrum. Willkommen in der Welt der „Continuous Compliance“. Trotz der Ähnlichkeiten (schwimmendes Boot, auf dem Wasser) gibt es signifikante Unterschiede (Form des Bootes, bewegliches vs. stilles Wasser, Anker vs. kein Anker) und die Fertigkeiten, einen Anker in einem stillen Teich richtig zu werfen, sind weitaus anders als die Verwendung eines Paddels, um die eigene Position auf einer sich ständig bewegenden, wechselnden Oberfläche zu halten. Auch wenn viele der Unterschiede nuanciert sind, ist dies einer der Schlüssel zum Verständnis, wenn man Public Clouds nutzt.
Die unmittelbarste Folge einer nicht erfolgten Schulung ist, dass Teams die Cloud weiterhin so nutzen und mit ihr arbeiten werden, wie sie es mit ihrem lokalen Rechenzentrum getan haben. Das bedeutet, dass sie Dinge wie das Öffnen von Ports für den bequemen Zugriff oder das Einbetten von Passwörtern in einen Code, tun werden. Diese Aktionen können aber in der Cloud katastrophal sein. Dies mag der Grund sein, warum Gartner öffentlich erklärt hat: „Bis zum Jahr 2022 werden mindestens 95 Prozent aller Public-Cloud-Ausfälle auf die Schuld der Kunden zurückgehen“.
Im Hinblick auf die Einhaltung von Compliance in der Cloud ist es entscheidend, die Unterschiede zwischen der Cloud und der lokalen Umgebung zu erkennen. Die Cloud erfordert eine „kontinuierliche“ Abfrage und Bewertung der Umgebung, um eine kontinuierliche Compliance zu gewährleisten. Was die Herausforderungen noch verschärft, sind die elastischen und kurzlebigen Aspekte, die es nur beim Cloud Computing gibt.
Unabhängig von der spezifischen Public-Cloud-Umgebung ist das eBook von Check Point AUTOMATE YOUR CLOUD COMPLIANCE JOURNEY IN 6 STEPS eine echte Hilfe für Unternehmen, um mit dem Aufbau der eigenen automatisierten, kontinuierlichen Compliance-Architektur und -Planung zu beginnen.
Es ist wichtig, das „Shared Responsibility“-Modell der Cloud vollständig zu verstehen. Einfach verdeutlicht in „In“ und „Aus“. Kunden sind dabei für die Sicherheit des „IN“ verantwortlich und die Cloud-Anbieter sind für die Sicherheit des „AUS“‘ der Cloud verantwortlich. Das eBook schlägt weiter vor, dass „Organisationen gefordert sind, diese Umgebungen zu sichern und ihre Sicherheitskontrollen zu skalieren.“ Cloud Security Operation-Teams sind nicht in der Lage, mit der Bereitstellung, Wartung und Aktualisierung von Sicherheitsrichtlinien in jeder Umgebung Schritt zu halten. Zusätzlich fährt das eBook fort: „…es kann aufgrund der dynamischen Natur der Cloud-Umgebungen schwierig sein, Fehlkonfigurationen zu beheben, bevor ein Datenvorfall auftritt“.
Die sechs im eBook beschriebenen Schritte sind:
Sichtbarkeit gewinnen
Man kann nicht schützen, was man nicht sehen kann, also ist die Sichtbarkeit entscheidend, um zu bestimmen, wie Umgebungen geschützt werden sollten.
Wählen Sie das Compliance-Framework und den Umfang
Nachdem Sie die Landschaft Ihrer Umgebung und die aktuelle Sicherheitslage bewertet haben, können Sie mit dem Aufbau eines neuen Compliance-Programms beginnen.
Evaluieren Sie die ersten Ergebnisse
Bewerten, Ausschließen, Anpassen
Überwachen Sie Ihr kontinuierliches Compliance-Programm
Um von Ad-hoc-Bewertungen zu einem kontinuierlichen Compliance-Prozess überzugehen, müssen Sie diese fortlaufend durchführen und Echtzeit-Benachrichtigungen für nicht konforme Ressourcen einrichten.
Automatisieren Sie die Behebung
Die automatische Behebung sollte mit der Behandlung der wichtigsten Befunde beginnen. Dies kann das Schließen von öffentlich zugänglichen Sicherheitskonfigurationen oder die Aktivierung der Verschlüsselung auf dem Speicher umfassen.
Berichterstattung und Auditierung
An diesem Punkt Ihrer Compliance-Reise sollten Sie sich auf die Pflege aktueller Berichte konzentrieren.
Bevor Sie sich mit dem Aufbau Ihres Frameworks für automatisierte Compliance befassen, empfehlen die Autoren nachdrücklich, dass man zuerst über das erforderliche Fachwissen verfügt, um die Cloud fließend zu beherrschen. Die Autoren räumen ein, dass die Geschwindigkeit der Geschäftsprozesse und der Druck, sowie die Anforderungen in die Cloud zu wechseln und neue Technologien wie Container und Kubernetes einzuführen, immens sind. Durch die Implementierung fortschrittlicher Funktionen wie Cloud-Formationen und -Funktionen müssen Unternehmen zusätzlich Cloud-Fachkenntnisse außerhalb ihres Unternehmens einholen. Alternativ gibt es eine Fülle von kostenlosen und kostenpflichtigen Cloud-Zertifizierungstrainings, die von verschiedenen Organisationen (SANS, ISSA, ISACA) und von den Cloud-Anbietern selbst angeboten werden. Mit einem Cloud-zertifizierten Team sind Sie bereit, die IaaS-Meere zu bereisen und die gewaltigen Möglichkeiten, die Ihnen zur Verfügung stehen, voll auszuschöpfen. Und dank eines automatisierten Compliance-Frameworks können Sie ein reibungsloses Segeln sicherstellen – insbesondere, wenn Ihre Auditoren an Bord gehen!
