Erfahren Sie, wie Sie trotz komplexer gesetzlicher Vorschriften einen schnellen Cloud-Betrieb aufrechterhalten können.
Rapid7 Cloud Risk CompleteCloud-Compliance – oder Cloud-Security-Compliance – bezeichnet den Prozess, mit dem sichergestellt wird, dass Cloud-Umgebungen und die darin stattfindenden Vorgänge bestimmte gesetzliche Standards für die Branche, in der ein Unternehmen tätig ist, einhalten. Ein Unternehmen muss sich in der Regel an eine Reihe von Compliance-Standards für die Cloud halten. Dabei obliegt es dem für die Einhaltung der Sicherheitsvorschriften zuständigen Personal, Cloud-Services so zu konfigurieren und zu nutzen, dass sie in Einklang mit den geltenden Richtlinien der Cloud Security Alliance Cloud Controls Matrix (CSA CCM) stehen.
Laut der Cloud Security Alliance „kann die CCM als Tool für die systematische Analyse einer Cloud-Implementierung eingesetzt werden und Hinweise darauf geben, welche Sicherheitskontrollen von welchem Akteur innerhalb der Cloud-Lieferkette implementiert werden sollten“. Daher existieren je nach Branche, in der ein Unternehmen tätig ist, wirkungsvolle Frameworks, an denen sich Teams orientieren können, um die Compliance zu gewährleisten, während ein Großteil ihrer Aktivitäten in die Cloud verlagert wird.
Eine größtmögliche Automatisierung der Cloud-Compliance ist in den Umgebungen von heute unerlässlich, insbesondere in stark regulierten Sektoren wie dem Gesundheitswesen, dem Finanzsektor und der Energiebranche. Leistungsfähige Tools für die Cloud-Compliance sollten in der Lage sein, Abweichungen von den vorgegebenen Unternehmensstandards zu erkennen und Umgebungen schnell wieder in einen ordnungsgemäßen Zustand zu versetzen. So sparen Sie nicht nur Zeit und Geld, sondern verringern auch das Risiko, mit den Aufsichtsbehörden in Konflikt zu geraten.
Es gibt viele gesetzlich vorgeschriebene - und einige sehr empfehlenswerte - Frameworks, die von territorialen bis hin zu international anerkannten Konformitätsstandards reichen und mehrere Branchen betreffen.Werfen wir einen Blick auf einige der bekannteren Standards, an die sich weite Teile des gesamten globalen Handels halten müssen:
Diese Benchmarks wurden vom Center for Internet Security (CIS) erarbeitet, einer gemeinnützigen Organisation, die Unternehmen bei der Verbesserung ihrer Sicherheits- und Compliance-Programme unterstützt. Das CIS möchte von der Gemeinschaft entwickelte Baselines für die Sicherheitskonfiguration (CIS-Benchmarks) für IT- und Sicherheitsprodukte schaffen. Die Benchmarks sind für Anwendungen, Cloud-Computing-Plattformen, Betriebssysteme und viele weitere Bereiche verfügbar.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union schreibt den Schutz personenbezogener Daten von EU-Bürgern vor, unabhängig vom geografischen Standort des Unternehmens oder der Daten. Sie umfasst technische und organisatorische Maßnahmen, die regelmäßig aktualisiert werden, damit das Sicherheitsniveau dem aktuellen Risikograd entspricht.
Das Federal Risk and Authorization Management Program (FedRAMP) ist eine Initiative der US-Bundesregierung zur Bereitstellung eines standardisierten Ansatzes für die Sicherheitsanalyse, Autorisierung und das kontinuierliche Monitoring von Cloud-Services. FedRAMP möchte, dass Unternehmen moderne Cloud-Lösungen und -Technologien sicher nutzen können – vor allem, wenn staatliche Informationen betroffen sind.
Dieser Standard des American Institute of CPAs (AICPA) definiert Richtlinien für die Berichterstattung über die Verwaltung von Kundendaten durch Unternehmen. Mit diesen Berichten können Unternehmen ihre Anbieter-Lieferketten verwalten, Risikomanagementprozesse implementieren und vieles mehr. Sie sind an eine breite Palette von Stakeholdern gerichtet und sollen in verständlicher, standardisierter Sprache gehalten sein.
Der Health Insurance Portability and Accountability Act (HIPAA) verlangt von Unternehmen, die mit Patientendaten und anderen geschützten Gesundheitsinformationen (Protected Health Information, PHI) arbeiten, diese Daten durch effektive Maßnahmen vor Sicherheitsverstößen zu schützen. Die HIPAA Security Rule beschreibt die administrativen, technischen und physischen Kontrollen zum Schutz elektronischer PHI (ePHI). Da es sich bei den von diesem Standard abgedeckten Daten um sensible Daten handelt, schreibt die US-Regierung seit 2005 die Einhaltung dieser Sicherheitsvorschrift vor. Teil 2 des HIPAA wurde 2022 veröffentlicht und schützt im Wesentlichen „Datensätze zur Identität, Diagnose, Prognose oder Behandlung eines Patienten, die im Zusammenhang mit der Durchführung eines Programms oder einer Aktivität zur Prävention, Schulung, Behandlung, Rehabilitation oder Forschung im Bereich des Drogenmissbrauchs aufbewahrt werden, die von einem Ministerium oder einer Behörde der Vereinigten Staaten durchgeführt, reguliert oder direkt oder indirekt gefördert werden“.
ISO/IEC 27001 ist ein Compliance-Management-Standard für Cloud-Sicherheit, der gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) herausgebracht wurde. ISO/IEC 27001 spezifiziert Best Practices für das Sicherheitsmanagement sowie umfassende Sicherheitskontrollen für Managementsysteme im Bereich der Informationssicherheit. Es handelt sich um einen freiwilligen Standard, den einige Unternehmen anwenden, um von den darin enthaltenen Best Practices zu profitieren und ihren Kunden die Gewissheit zu geben, dass eine umfangreiche Risikomanagementlösung eingesetzt wird.
Ergänzend zum letzten Punkt empfiehlt es sich oft, dass Unternehmen ihr Compliance-Programm über das vorgeschriebene Maß hinaus ausbauen und zusätzliche Maßnahmen einrichten, die speziell auf ihre geschäftlichen Anforderungen und ihr spezifisches Umfeld zugeschnitten sind. Die Ausarbeitung dieser individuellen Richtlinien als Ergänzung zu den bestehenden Compliance-Programmen ist eine proaktive Maßnahme, die über die bloße Einhaltung der Vorschriften hinaus Vorteile bringt.
Die Zeiten, in denen der Cloud-Betrieb ein Novum war und niemand verstand, wie komplex die Abstimmung auf das eigene Unternehmen und die Einhaltung der aktuellen Compliance-Standards ist, sind vorbei. Doch trotz der zahlreichen Vorteile eines Wechsels in die Cloud gibt es auch weiterhin einige komplexe Aspekte, denen Sie sich bewusst sein müssen.
Wenn ein Unternehmen die „große Transformation“ in Richtung Cloud-Betrieb vollzieht, stellt die fehlende einheitliche Sichtbarkeit der Umgebungen eine zentrale Herausforderung dar. Dieses Problem kann sich auch auf menschliche Benutzer erstrecken und betrifft die Verfolgung, wer Zugang zu den Daten hat, wo darauf zugegriffen werden kann und wie häufig der Zugriff erfolgt.
Cloud-Verstöße werden am häufigsten durch Fehlkonfigurationen verursacht. Nach Angaben von Gartner sind sogar 95 % der Cybersicherheitsverstöße auf Konfigurationsfehler in der Cloud zurückzuführen. Dabei werden einige von Menschen verursacht, andere, weil angenommen wird, dass die Plattform die Probleme schon auffangen wird, und wiederum andere, weil der Zugriff auf Ressourcen erleichtert werden soll. Unternehmen müssen Kontrollen implementieren, um diese Fehler zu verhindern oder aufzudecken und zu beheben, um einen Datenverstoß zu vermeiden.
Für die Erfüllung bestimmter regulatorischer Standards müssen externe Prüfer häufig die von einem Unternehmen eingerichteten Kontrollen bescheinigen. Unternehmen müssen auf Anfrage Bescheinigungen von diesen externen Prüfern vorlegen, mit denen der sichere Cloud-Betrieb bestätigt wird, sowie Zertifizierungen, dass bestimmte branchenspezifische regulatorische Standards eingehalten werden. Zertifizierungen sind in der Regel für mehrere Jahre gültig, während Bescheinigungen fortlaufend und kontinuierlich erneuert werden müssen.
Ein unüberlegter Wechsel in die Cloud bringt oft komplexe Aspekte mit sich, die mehr schaden als nutzen. Cloud-Umgebungen sind ausgesprochen unbeständig, während dies bei Legacy- oder On-Premise-Systemen weit weniger der Fall ist. Beim schnellen Wechsel in die Cloud weiß ein Unternehmen oft nicht genau, was mit den veralteten Systemen geschehen soll, die dennoch weiter verwaltet werden müssen. Dies kann ein DevOps-Team vor Probleme stellen. Ausnahmen sorgen für noch mehr Komplexität – z. B. eine Ressource oder eine Workload, die von einem bestimmten Standard ausgenommen ist. Wenn es keinen Mechanismus zur Freistellung einer Ressource gibt, kann dies zu Fehlmeldungen führen, die unerwünschte und kostspielige Unterbrechungen zur Folge haben können.
Sehen wir uns nun einige Best Practices und allgemein anerkannte Sicherheitsmaßnahmen an, die einigen der größeren Herausforderungen bei der Einhaltung gesetzlicher Standards und der Compliance in der Cloud entgegenwirken können.
Die Datenverschlüsselung wandelt das ursprüngliche Format der Daten in etwas um, das unlesbar ist. Dienste wie die Google Cloud Platform (GCP) verschlüsseln Kundendaten immer automatisch, nachdem sie empfangen wurden, jedoch bevor sie auf die Festplatte geschrieben und tatsächlich gespeichert werden. Ein weiteres Beispiel ist die Verschlüsselung von Zugangsdaten durch Cloud-Sicherheitsanbieter; häufig sind mehrere Entschlüsselungsschritte erforderlich, bevor diese Zugangsdaten verwendet werden können.
Stichwort Zugangsdaten: Das Prinzip des Least-Privilege-Zugriffs (LPA) stellt sicher, dass nur die Personen oder Programme Zugriff erhalten, die wirklich an einer bestimmten Aufgabe in der Cloud arbeiten müssen. Lösungen, die LPA nutzen, setzen in der Regel Automatisierung ein, um die Berechtigungen je nach Benutzerrolle zu verschärfen oder zu lockern.
Mit dem „Zero Trust“-Konzept lässt sich eine Cloud-Umgebung besonders sicher gestalten. Sämtliche menschlichen Benutzer, Endgeräte, Mobilgeräte, Server, Netzwerkkomponenten, Netzwerkverbindungen, Anwendungs-Workloads, Geschäftsprozesse und Datenströme sind naturgemäß nicht vertrauenswürdig. Sie müssen bei jeder durchgeführten Transaktion durchgehend authentifiziert und autorisiert werden, wobei alle diese Maßnahmen sowohl in Echtzeit als auch im Nachhinein überprüfbar sein müssen.
Das Prinzip eines ausgereiften Frameworks für den Cloud-Betrieb besagt im Wesentlichen, dass Stakeholder einen akzeptierten Ansatz für die Implementierung und Bewertung einer Cloud-Architektur verfolgen sollten, der sich bestmöglich an den Bedürfnissen und Prioritäten des Unternehmens orientiert. Das AWS Well-Architected Framework ist vielleicht das bekannteste Beispiel für dieses Prinzip. Es ermöglicht Kunden, hochriskante Probleme zu identifizieren.
2022 Cloud Misconfigurations Report: Neueste Cloud Security-Verstöße und Angriffstrends