GFI: Der Security Experts Guide to the Cloud
Was erhalten Sie, wenn Sie neun der führenden IT-Strategen zum Thema IT-Sicherheit in der Cloud befragen? Sehr wahrscheinlich professionelle Ratschläge, die Ihnen bei der Umsetzung ihrer Cloud Strategie helfen können. Und genau dies ist im neuen, 43-seitigen eBook mit dem Titel „The Security Experts Guide to the Cloud“ passiert.
In dem Guide warnt beispielsweise der IT-Medienveteran Frank J. Ohlhorst vor Distributed Denial of Service Attacken (DDoS), die nach wie vor sehr verbreitet sind und zunehmend auch den Weg in die Cloud finden. DDoS Attacken können sehr empfindlich ihre Web Server und andere Applikationen stören. Es können sogar einige der Geräte, die die Geschwindigkeit und die Verfügbarkeit der Applikationen verbessern sollen wie bspw. Application Delivery Controller (ADC), selbst angegriffen werden.
Die richtige Antwort darauf? Nehmen Sie die Internet-Sicherheit sehr ernst und konfigurieren Sie ihre ADCs sehr gewissenhaft, damit diese gegen DDoS-Attacken gewappnet sind.
Es gibt noch acht weitere wichtige und größtenteils überzeugende Argumente. Die frühen Befürchtungen über die Cloud drehten sich vor allem um die Sicherheit oder zumindest über die wahrgenommenen IT-Sicherheitsmängel. Der Marketing-Guru, IT-Experte und Autor Nick Cavalancia vertritt hierbei dediziert eine ganz andere Sichtweise. Herr Cavalancia ist der Ansicht, dass der Cloud voll und ganz vertraut werden kann und soll, da es eine ganze Schar von großen und vertrauenswürdigen Anbietern gibt, die ihre Netzwerke mit einer enormen Redundanz aufgebaut haben. Und diese gut betuchten Unternehmen können sich die besten Server-, Speicher-, Netzwerk- und Software-Ausrüstungen leisten.
Die immer wieder bekannt werdenden Sicherheitsmängel halten aber auch einige von der Nutzung der Cloud vor allem im Storage Umfeld zurück. Und in Zusammenhang mit einigen Diensten wie Google Mail, die mit Ausfällen und Datenverlusten zu kämpfen hatten, sind diese Befürchtungen nicht ganz fehl am Platz. Dies sollte aber nicht zu einer Komplettverweigerung des „Speicherns in der Cloud“ führen. Nach Ansicht des Storage Experten Deni Connor kann eine gute Planung der Storage Strategie mit entsprechenden Einstellungen wie eine starke automatische Verschlüsselung den Cloud-Storage Einsatz sehr sicher machen.
Obwohl – wie oben bereits erwähnt – Herr Nick Cavalancia ein großes Vertrauen in die Cloud besitzt, so sieht wiederum der MVP von Microsoft, Herr Brien M. Posey mehr Anlass zur Sorge. Beispielsweise im Zusammenhang mit SaaS (Software-as-a-Service): Sie sind (bzw. können gar nicht mehr) nicht mehr eigenverantwortlich (sein), wie die Daten abgesichert werden. Wenn sie die Applikationen ganz traditionell im eigenen Haus einsetzen, haben sie die Kontrolle.
„Es gibt zwei Gründe, warum diese Art der Sicherheit in der Cloud sich für SaaS Kunden als problematisch herausstellen könnte. Der erste Grund ist der Verlust der Kontrolle. SaaS Kunden können nicht mehr ihre bevorzugten und bewährten IT-Sicherheitslösungen einsetzen, um ihre Cloud-basierten Applikationen selbst zu schützen“ argumentiert Herr Posey. „Der zweite Grund ist die zentrale Verwaltung in SaaS-Umgebungen, die hauptsächlich auch dazu führt, dass keine IT-Sicherheitslösungen von Drittanbietern eingesetzt werden können. Oftmals nutzen Organisationen eine IT-Sicherheitslösung, die ihnen ein zentrales Reporting ermöglicht. Eine solche Funktionalität ermöglicht es einer Organisation, die IT-Sicherheit und die Verfügbarkeit des eigenen Netzwerkes wie durch eine Glasscheibe ständig zu beobachten. Die Einführung von SaaS bedeutet aber, dass es Cloud-basierte Applikationen gibt, die nicht mehr mit der bevorzugten Lösung der Organisationen überwacht werden können.“
Der ZDnet Kolumnist Ed Bott gibt lieber einige Ratschläge, um die eigenen Daten in der Cloud privat zu halten – vor allem hinsichtlich der Verwendung von Cloud Storage:
„Die Speicherung von Daten in der Cloud ist ein optimales Beispiel hinsichtlich der Spannungen zwischen dem Komfort und der IT-Sicherheit in der modernen Datenverarbeitung. Wenn man seine Daten in die Cloud verschiebt, dann kann man auf diese Daten von überall aus zugreifen. Äußerst komfortabel und flexibel. Diese Flexibilität kommt aber zu einem hohen Preis: Wenn sich jemand in diese Cloud-Speicher einschleichen könnte, dann kann dieser jemand alle ihre Geheimnisse sehen. Und sie werden davon vermutlich nie etwas erfahren“ warnt Herr Bott.
Die Antwort hierauf ist, sehr genau zu kontrollieren, wer Zugriff auf ihre Daten hat. Stellen sie daher sicher, dass sie nur sehr starke Passwörter bei einer Datenspeicherung in der Cloud verwenden und alle ihre in der Cloud gespeicherten Daten verschlüsselt sind.
Auch der Bereich Identitätsmanagement ist so ein Segment, in dem die Cloud sowohl helfen wie auch schaden kann. Hinsichtlich des Schadens stehen hier vor allem die vielen Passwörter im Vordergrund, die die ganzen unterschiedlichen Cloud-Dienste erfordern. Wenn bereits auf einer einzigen Webseite für den Zugriff auf unterschiedliche Dienste eine Vielzahl von Passwörtern eingesetzt werden müssen, desto mehr Angriffsmöglichkeiten stehen auch den Hackern zur Verfügung bzw. haben diese, wenn sie nur eine einzige Webseite hacken können.
Der richtige Identity Management Ansatz könnte diese Problematik nach Ansicht der renommierten IT-Autorin Debra Littlejohn Shinder allerdings lösen:
„Die Basis der gesamten Computersicherheit ist die richtige Kontrolle der Zugriffe – die Limitierung der Zugriffsmöglichkeiten um Daten zu sehen oder zu ändern auf diejenigen Personen oder Geräte, die hierzu alleine berechtigt sind. Diese Kontrolle startet damit genau jeden zu identifizieren, der versucht, auf Daten zuzugreifen. Zentrale Identitätsmanagementsysteme auf Basis von Verzeichnisdiensten haben sich schon seit geraumer Zeit in Organisationen etabliert und überspannen bereits mehrere Organisationen in Form von Identitätsverbunden. Jetzt hat das Identitätsmanagement den Umfang durch die Cloud erneut erweitert. Cloud-Dienste sollten jetzt eine globale Nutzerbasis im Identity-Management Sinn umfassen“ erklärt Frau Shinder.
Frau Dana Gardner, Principal Analystin bei BriefingDirect ist wiederum der Meinung, dass die IT-Sicherheit in der Cloud ein sich ständig veränderndes Ziel ist und sich dabei nicht unbedingt in die richtige Richtung bewegt. Ein Teil dieses Problem stellt der rasante Anstieg der Cloud-Dienste dar, von denen der Großteil erst einmal richtig abgesichert werden sollte. Ein weiteres Problem ist, dass die meisten dieser Dienste nicht unbedingt für den Einsatz in Unternehmen konzipiert sind. In der Tat sind 93% der angebotenen Dienste nicht ursprünglich für den Einsatz in Unternehmen konzipiert worden.
Die Antwort auf diese Problematik ist: Wählen sie äußerst sorgfältig aus, welche Dienste sie in ihrem Unternehmen einsetzen wollen und werfen sie auch einen Blick auf die Infrastruktur, auf denen diese Dienste laufen.
Weitere Erkenntnisse und Ratschläge von anderen IT-Sicherheitsexperten finden Sie im aktuellen GFI Software eBook „The Security Expert Guide to the Cloud“, dass sie hier nach einer kurzen Registrierung herunterladen können.
Quelle: GFI Software TalkTechToMe Weblog – Autor: Doug Barney
Über GFI Software:
GFI Software (www.gfisoftware.de) entwickelt hochwertige IT-Lösungen für kleine und mittlere Unternehmen mit bis zu 1000 Anwendern. GFI bietet zwei wichtige Lösungsplattformen: GFI MAX ermöglicht Managed Service Providers (MSPs) die Bereitstellung von Dienstleistungen an ihre Kunden, und GFI Cloud hilft Unternehmen mit eigenen internen IT-Teams beim Management und bei der Betreuung ihres Netzwerks über die Cloud. Mit mittlerweile über 200.000 Unternehmenskunden umfasst die GFI Produktpalette zudem Collaboration- und Anti-Spam-Lösungen, Netzwerksicherheit, Patch-Management, Faxkommunikation, E-Mail-Archivierung und Web Monitoring. GFI vertreibt seine Produkte indirekt über ein großes weltweites Partner-Netzwerk. Das Unternehmen hat mehrere Preise für seine Technologie gewonnen und ist langjähriger Microsoft Gold ISV Partner.