Unternehmen so gut wie aller Branchen können de facto immense Vorteile aus der Cloud-Technologie ziehen: Sie ermöglicht es, Speicher sowie Rechenleistung und ganze Anwendungen überaus effizient outzusourcen. Entsprechende Ressourcen sind dabei von überall aus flexibel verfügbar und zeichnen sich durch eine hohe Geschwindigkeit aus. Die Wartung der Technik wird in aller Regel komplett an den Cloud-Provider abgegeben und Betriebe profitieren von bester Kosteneffizienz. Tausende Firmen haben demgemäß bereits große Teile ihrer IT-Infrastruktur in die Cloud umgelagert.
Es gibt aber nicht nur Vorteile: So kann es durchaus kritisch gesehen werden, dass elementare Anwendungen, Daten zu Personen und andere vertrauliche Informationen nun beim Cloud-Dienstleister liegen. Für grundlegende Cloud Security ist bei diesen Providern zwar immer gesorgt, wirklich ausreichend sind deren Maßnahmen allerdings nicht. Der Schutz sollte individuell optimiert werden. Das erweist sich insbesondere aufgrund der Tatsache, dass Cloud Services weitgehend geschlossene Umgebungen sind, allerdings als herausfordernd.
Das ist eine Cloud
Mit dem Begriff „Cloud“ werden Services beschrieben, die eine internetbasierte Bereitstellung von Speicher- und/oder Rechenressourcen bzw. konkreter Online-Anwendungen bieten. In einer Cloud können Dateien gespeichert oder auch Programme ausgeführt werden. Als Zugang dient normalerweise ein herkömmlicher Browser oder eine spezielle App.
So unterscheiden sich Cloud Umgebungen
Für ein umfassendes Verständnis typischer Anforderungen der Cloud-Security sollten die unterschiedlichen Cloud Umgebungen bekannt sein.
- Public-Cloud: Eine Public-Cloud ist eine Cloud Umgebung, welche normalerweise auf IT-Infrastrukturen gründet, welche nicht deren Endnutzern gehören.
- Private-Cloud: Die Private-Cloud ist eine Cloud Umgebung, die nur einem Endkunden oder einer speziellen Nutzergruppe zugeteilt wird.
- Hybrid-Cloud: Die Hybrid-Cloud ist eine einzelne Cloud Umgebung, die allerdings aus diversen Umgebungen zusammengesetzt wird.
- Multi-Cloud: Beim Ansatz der Multi-Cloud kommen diverse Cloud Services von mehreren Public- oder Private-Cloud-Providern zum Einsatz.Datensicherheit Cloud: Funktionsweise von Cloud-Security
Datensicherheit Cloud: Funktionsweise von Cloud-Security
Der Begriff „Cloud-Security“ schließt sämtliche Technologien, Strategien, Best-Practices etc. ein, mit deren Hilfe Cloud-Daten oder auch -Anwendungen geschützt werden können. Die Sicherung des Backends liegt im Allgemeinen weitgehend in der Verantwortung der Cloud-Provider. Interessierte Unternehmen müssen sich hier – abgesehen von der Inanspruchnahme eines sicherheitsbewussten Services – lediglich um die passende Konfiguration ihrer Cloud kümmern. Darüber hinaus sollten Kunden bewusste, sicherheitsorientierte Nutzungsgewohnheiten und ausreichend geschützte Zugriffsgeräte sowie –netzwerke gewährleisten.
Welchen Zweck haben Cloud Services?
Die Verantwortlichkeiten der Komponenten einer Cloud können sehr unterschiedlich sein, was sich natürlich auch darauf auswirkt, wie umfangreich letztlich selbst für Sicherheit zu sorgen ist. Es bestehen je nach Cloud Services und Cloud Umgebung verschiedene Autoritäten. Damit ein optimaler Schutz geschaffen werden kann, ist es wichtig, zu verstehen, welche grundsätzlichen Voraussetzungen Services und Umgebungen mit sich bringen.
Cloud Services werden generell in drei Kategorien aufgeteilt:
- Das sind zum Ersten Infrastructure-as-a-Service-Dienste (IaaS), bei denen Kunden eine Infrastruktur bereitgestellt wird, auf deren Basis Software, wie beispielsweise ein Betriebssystem oder eine App, installiert und genutzt werden kann. Die Kontrolle über solche Cloud-Infrastrukturen liegt beim Provider. Die über diese Ressourcen verwendeten Programme sollten aber individuell geschützt werden.
- Zweitens gibt es Platform-as-a-Service-Dienste (PaaS), bei denen Hardware und Software-Plattform vom Cloud-Provider bereitgestellt und verwaltet werden. Die Organisation der Anwendungen auf der Plattform obliegt den Kunden. Die Apps und entsprechende Daten können/sollten individuell geschützt werden.
- Die dritte Kategorie sind Software-as-a-Service-Dienste (SaaS), bei denen typischerweise ganze Anwendungen als Cloud Services angeboten werden. Kunden können nicht auf die zugrunde liegende Infrastruktur/Plattform zugreifen und haben höchstens eingeschränkt individuelle Sicherungsoptionen.
Cloud-Security bedeutet Risikominimierung
Wie zuvor an mehreren Stellen deutlich wurde, ist Cloud-Security in ihrem Aktionsradius stärker eingeschränkt als Sicherheitsoptionen für entsprechende IT-Infrastrukturen, die einem Unternehmen komplett selbst gehören. Eine mangelnde Verschlüsselung ist bei Cloud-Diensten in aller Regel kein Thema. Es sind eher Anwenderfehler und der Datenschutz, die zu echten Bedrohungen werden können.
Folgende vier Punkte sollten Sie unbedingt beachten bzw. umsetzen, um in Sachen Cloud-Security über eine gute Ausgangslage zu verfügen.
- Gewährleisten Sie grundsätzliche DSGVO-Konformität, indem Sie einen Cloud-Dienstleister wählen, der seine Serverstandorte in der EU hat und Daten gemäß dem geltenden EU-Recht behandelt.
- Optimieren Sie Ihre Cloud-Einstellungen, denn die schnelle Verwendung der Standardkonfiguration bedeutet manchmal mehr Angriffspotenzial für Hacker.
- Schaffen Sie umfassenden Geräteschutz, indem Sie alle Devices, mit denen auf Daten in der Cloud bzw. entsprechende Anwendungen zugegriffen wird, ideal absichern.
- Nutzen Sie starke Passwörter – je zufälliger und kontextfreier die Zeichenfolgen gestaltet sind, desto sicherer ist ihr Cloud-System.
Bechtle Cloud-Security erarbeitet gerne mit Ihnen gemeinsam eine ideale Cloud-Sicherheitsstrategie für Ihre Anforderungen und setzt diese in enger Kooperation mit Ihren Verantwortlichen um.