Die wichtigsten falschen Annahmen zur Cloud-Sicherheit, die unnötige Risiken schaffen

Es ist 15 Jahre her, dass Amazon Web Services die erste Cloud-Infrastrukturplattform auf den Markt brachte. Mit einem Knopfdruck können Sie ein Rechenzentrum in Betrieb nehmen, ohne Hardware kaufen oder Kapital vergraben zu müssen. Doch anfangs beäugten viele Unternehmen die Cloud mit Argwohn. Aus Angst, die Kontrolle zu verlieren, hielten sie daran fest, ihre eigenen Rechenzentren zu betreiben. Sie hielten die Cloud für riskant. Und das war es auch.

In diesem Blogbeitrag – dem ersten von zwei – untersuchen wir falsche Annahmen über die Cloud-Sicherheit , die die Cloud riskanter machen, als sie sein müsste.

Die Cloud: einfach zu verlockend, um sie zu ignorieren

Trotz der Risiken erwies sich der Wert der Cloud im Laufe der Zeit als zu überzeugend, um ihn zu ignorieren. Heutzutage nutzt fast jedes Unternehmen die Cloud auf die eine oder andere Weise. Und viele Unternehmen verlassen sich auf die Cloud, um kritische Vorgänge zu hosten – vor einem Jahrzehnt noch undenkbar.

Die Cloud hat zwar weitreichende Vorteile gebracht, aber ihre Risiken und Herausforderungen bleiben bestehen. Die Durchsetzung umfassender Zero-Trust-Sicherheit in der Cloud ist genauso wichtig wie für jeden anderen Teil Ihrer digitalen Infrastruktur.

Das größte Problem? Unternehmen verstehen oft nicht vollständig, wie ihre Cloud-Infrastruktur sie Cyberangriffen und Ransomware aussetzt.

Annahme #1: Ihr Cloud-Anbieter ist für die Sicherheit Ihrer Anwendungen verantwortlich.

Wenn nicht Ihr Cloud-Anbieter, wer ist dann für die Cloud-Sicherheit verantwortlich?

Die Wahrheit ist, dass Sicherheit eine gemeinsame Verantwortung ist.

Unabhängig davon, ob Sie mit Amazon, Microsoft, Google oder einem anderen Cloud-Anbieter zusammenarbeiten, werden Sie feststellen, dass sich ihre Sicherheitsverantwortung auf den Schutz der Netzwerkstruktur beschränkt – das ist alles, was ihre Hosting-Umgebung ausmacht.

Die Anwendungssicherheit liegt weiterhin in Ihrer Verantwortung. Sobald Sie eine Anwendungsinstanz mit einem Betriebssystem auf dem Cloud-Netzwerk bereitstellen, ist der Schutz diese Aufgabe Ihre Aufgabe, nicht ihre.

Darüber hinaus erfolgt beim Cloud-Sicherheitssupport von Anbietern ein "Best Effort"-Modell und keine Service Level Agreements (SLAs). Das bedeutet, dass sie nur versprechen müssen, ihr Bestes zu tun, um Sie vor netzwerkbasierten Bedrohungen wie DDoS-Angriffen (Distributed Denial of Service) zu schützen. Aber wenn einer durchkommt, nun, dann haben sie ihr Bestes gegeben. Der Schutz Ihrer Workloads liegt immer bei Ihnen.

Cloud-Anbieter patchen zwar Systeme wie Linux-Server, auf denen Anwendungen gehostet werden, aber das behebt nicht Ihre potenziellen Anwendungsschwachstellen. Ohne Transparenz auf Anwendungsebene können Sie nicht wissen, ob eine Anwendung ordnungsgemäß bereitgestellt oder konfiguriert wurde.

Annahme #2: Cloud-Sicherheit ist einfach zu verwalten.

Die Vorteile der Cloud – Geschwindigkeit, Agilität und Elastizität – erschweren die Cloud-Sicherheit . Das liegt daran, dass die Cloud es praktisch jedem in Ihrem Unternehmen ermöglicht, mit nur wenigen Mausklicks eine neue Anwendung oder Ressource zu erstellen.

Erschwerend kommt hinzu, dass nur wenige Unternehmen Cloud-Dienste zentral in ihren IT- und Sicherheitsteams verwalten. Stattdessen können verschiedene Geschäftseinheiten und Gruppen unabhängig voneinander neue Cloud-Konten einrichten.

Mit anderen Worten, jeder Benutzer oder Entwickler mit Zugriffsrechten kann Anwendungen erstellen, die über offene Ports zum Internet verfügen, in denen alles mit allem kommunizieren kann. Und das alles, ohne dass die IT oder die Sicherheit überhaupt wissen, dass diese Anwendungen existieren, geschweige denn sie sichern.

Darüber hinaus haben große Unternehmen oft Hunderte von Cloud-Konten auf AWS, Microsoft Azure, Google Cloud und anderen Cloud-Plattformen. Jedes dieser Konten kann über viele Virtual Private Clouds mit eigenen Sicherheitsgruppen verfügen.

All dies macht es immer schwieriger, diese Gruppen zu verwalten und ihre Sicherheitsrisiken zu verstehen. Es wäre hilfreich, Tools zur Visualisierung des Anwendungsdatenverkehrs zu und von Cloud-Umgebungen zu haben, aber in der Regel bieten Cloud-Anbieter diese nicht an.

Die Cloud ist hier, um zu bleiben, und damit auch ihre Sicherheitsrisiken

Wenn große und kleine Unternehmen erwägen, Workloads in die Cloud zu verlagern, lassen sie die Sicherheit allzu oft aus der Diskussion aus. Warum? Denn einige Teams betrachten Sicherheit als Hemmnis, das das Geschäft verlangsamt, und nicht als Wegbereiter, der das Geschäft beschleunigen kann.

Dies stellt CIOs, Sicherheitsverantwortliche und andere Technologieführer vor ein schwieriges Dilemma. Wenn Sie Initiativen und Anwendungen, die das Geschäft vorantreiben, nicht unterstützen können, helfen Sie dem Unternehmen nicht, zu wachsen. Wenn Sie jedoch die potenziellen Sicherheitsrisiken, die die Cloud darstellt, nicht bewältigen, setzen Sie das Unternehmen ernsthaften Bedrohungen aus.

Bleiben Sie dran für den nächsten Blogbeitrag, in dem ich weitere Annahmen zur Cloud-Sicherheit vorstellen werde, die Ihr Unternehmen gefährden könnten.

In der Zwischenzeit erfahren Sie, wie Illumio Ihnen helfen kann, eine stärkere digitale Sicherheit für Ihre Multi-Cloud- und Hybrid-Cloud-Umgebungen aufzubauen. Oder lassen Sie sich von einem unserer Experten erklären, wie Illumio Ihre digitale Abwehr gegen Ransomware und Cyberangriffe stärken kann.