Mit der Cloud haben sie gesagt, wird alles schöner. Besser. Einfacher. Aber auch sicherer?
Unter diesem Motto stand der Fachvortrag von Dr. Kai Schubert, Managing Security Consultant der usd AG, und Phillip Ansorge, Senior Security Consultant der usd AG auf dem diesjährigen „CloudLand“ Festival der Deutschsprachigen Cloud Native Community (DCNC). Im Mittelpunkt des Community-Festivals standen die Themen Container- & Cloud-Technologien, Microservices & Domain-driven Design, DevOps & Methodik und CI/CD & Automatisierung.
„Nach vielen Jahren Arbeit und Erfahrung im Bereich Cloud Computing und insbesondere der Durchführung von Cloud Security Audits müssen wir immer wieder feststellen: So einfach und so einfach sicher, wie wir es uns alle wünschen, ist die Cloud leider nicht immer", so Kai Schubert. „Umso mehr haben wir uns gefreut, vor einem großen Fachpublikum auf ein nach wie vor zu wenig beachtetes Thema hinzuweisen und mehr Bewusstsein für das Thema Sicherheit auch in der Cloud zu schaffen."
Aber wie kommt es überhaupt dazu, dass das Thema Sicherheit in der Cloud in vielen Unternehmen noch immer vernachlässigt wird? In ihrem Fachvortrag teilten die beiden Experten ihre Erfahrungen aus Cloud Security Audits, Beispiele aus der Praxis und Best Practices zu Konfigurationen von Cloud Services mit dem Publikum. Anhand eines fiktiven Beispiels erklärt uns Kai Schubert in diesem Beitrag, wie schnell sich Cloud und Organisation auseinanderentwickeln und wie sie wieder zusammenkommen können.
Cloud Security: Alles ist verbunden
Eines hat sich bei der Sicherheitsfrage in der Cloud im Vergleich zu traditionellen IT-Infrastrukturen nicht geändert: Nur die Umsetzung einzelner Schutzmaßnahmen genügt nicht. Es ist das Zusammenspiel aller Maßnahmen nötig, um ein ausreichendes Maß an Sicherheit zu erreichen – ähnlich wie bei einer mittelalterlichen Burg:
Unsere Kunden fragen uns oft, warum sie die eine Sicherheitsmaßnahme denn einrichten sollen, es existiere ja bereits eine andere. Beispiel: „Wir haben ein gutes IAM, warum sollten wir unsere EC2-Volumes verschlüsseln?" Die Antwort lautet: Mehrere Verteidigungslinien! Bei einer Burg würde niemand auf die Idee kommen, die Mauern wegzulassen, nur weil man bereits einen Burggraben hat.
Eine Cloud-Umgebung sollte also über mehrere Verteidigungsmaßnahmen abgesichert sein, ähnlich wie eine Burg eben. In der Realität ist dies aber häufig nicht der Fall. Um nachvollziehen zu können, warum das so ist, betrachten wir mal, wie die ersten Schritte in Richtung Cloud häufig bei Unternehmen ablaufen.
Wie alles begann ...
Unsere Abteilung in unserem fiktiven Unternehmen hat beschlossen, in die Cloud umzuziehen. Wir erstellen uns mit ein paar Klicks einen AWS-Account, konfigurieren ein paar Basics und voilà – der Workload läuft. Das war einfacher als gedacht. Viel einfacher, als die IT um neue VMs zu bitten. Und auf den ersten Blick auch noch günstiger.
Ein Kollege aus dem Management bekommt mit, was wir da so tun und ist begeistert: "Cloud ist die Zukunft!" Und so kommt er gleich mit einem Dutzend an neuen Ideen und Migrationsprojekten. Alles muss in die Cloud, so schnell wie möglich!
... und wie es plötzlich sicher gemacht werden muss.
Irgendwann steht dann plötzlich ein Compliance-Audit vor der Tür. Unsere Informationssicherheitsbeauftrage hat Fragen. Und noch keine richtige Ahnung von Cloud. „Wir brauchen eine Liste der Assets! Schutzbedarfsfeststellungen! Und natürlich einen Penetrationstest!" Irgendjemand wirft noch Begriffe wie VPN oder Vollverschlüsselung in den Raum, denn das steht so in den Compliance-Richtlinien. Spätestens jetzt ist der Zeitpunkt, ab dem es irgendwie nicht mehr so viel Spaß macht. Das neue Spielzeug Cloud soll reguliert, reglementiert und kontrolliert werden. Von Leuten, die kein Fachwissen dazu haben. Die aber ihre Anforderungslisten durchbringen müssen, um die gesetzlichen Vorgaben zu erfüllen.
Wir haben also ein Problem. Wir haben die Burg ohne Plan gebaut, ohne die königlichen Berater einzuweihen und sie mitzunehmen auf unsere Reise in die Cloud. Und so sieht es in der Realität oft aus: Viel Tatendrang von Anfang an, aber leider wenig Planung. Vom Ende – auch Exit-Strategie genannt – ganz zu schweigen. Unternehmen und ihre Governance „hinken" der technischen Entwicklung oft hinterher. Alte Prozesse wie auch unrealistische und unpassende Anforderungen sollen jetzt auch für die Cloud gelten. „On-Premise-Denken" wird der Cloud „übergestülpt".
Und als ob das alles noch nicht genug wäre, wird noch übersehen oder vernachlässigt, dass wir aufgrund des Shared Responsibility Model auch für die sichere Konfiguration der Cloud Services verantwortlich sind. Das Shared Responsibility Model wird so von vielen Organisationen nicht verstanden oder gelebt und es kommt zu einer teilweisen „Blindheit“ im IT-Betrieb.
Wie kommen Cloud und Organisation zusammen?
Wie also können wir eine bessere Governance erreichen? Wie einerseits die Anforderungen an einen sicheren Betrieb erfüllen, aber gleichzeitig weiterhin die Vorteile der Cloud nutzen? Antworten auf diese Fragen sind sicherlich komplex, aber mit den folgenden wichtigsten Punkten ist eine solide Grundlage geschaffen:
- Habt einen Plan. Noch besser: eine Cloud-Strategie. Ausprobieren und testen ist okay, aber eine klare und dokumentierte Definition der eigenen Anforderungen und Ziele helfen.
- Habt auch eine Exit-Option. Die Wahl für einen Cloud Service Provider darf keine Einwegstraße sein. Klärt zu Beginn, welche Optionen ihr habt, wenn der Anbieter Eurer Wahl die Bedingungen ändert, nicht mehr verfügbar ist oder aber auch Eure eigenen Anforderungen und Ziele sich ändern.
- Nehmt das Unternehmen mit auf die Reise. Redet mit dem ISO, Datenschutzbeauftragten, Controlling und weiteren Stakeholdern.
- Vermittelt Cloud-Grundlagen, um mit anderen im Unternehmen auf Augenhöhe über die Cloud und ihre Sicherheit kommunizieren zu können. Und nicht zuletzt, um Missverständnissen, Fehleinschätzungen und Vorurteilen vorzubeugen.
- Kümmert Euch um Euren Anteil des Shared Responsibility Model. Zur Erinnerung: Ihr könnt es konfigurieren? Dann ist es in Eurer Verantwortung! Und im Zweifel auch sicherheitsrelevant!
Mehr zum Thema Cloud Security
usd Webinar: Secure Configuration of Cloud Services
26.10.2023, 16:00 - 17:00
Was sind die häufigsten Stolperfallen bei der Konfiguration von Cloud-Diensten? Wie können diese vermieden werden? Unsere Cloud-Sicherheitsexperten Kai Schubert und Phillip Ansorge geben Antworten auf diese Fragen und teilen ihre Erkenntnisse aus einer Vielzahl von Cloud-Sicherheitsaudits im kostenfreien usd Webinar Secure Configuration of Cloud Services.
