Nur auf Englisch verfügbar
Entmystifizierung der Cloud-Sicherheit: Die Grundlagen
Am 23. April 2020 haben wir unser Webinar "Entmystifizierung der Cloud-Sicherheit: Die Grundlagen" veranstaltet, in dem unser CTO Ralph Moonen und Senior Security Specialist Tom Tervoort die Grundlagen der Cloud-Sicherheit erörterten. Die Teilnehmer haben einige gute Fragen gestellt, die wir im Folgenden in einem QandA zusammengefasst haben. Sollten Sie noch weitere Fragen haben, wenden Sie sich bitte an cybersecurity@bureauveritas.com.
Sind Sie neugierig auf unsere anderen Webinare? Besuchen Sie: https://cybersecurity.bureauveritas.com/webinars
FRAGEN UND ANTWORTEN
Vielen Dank für all Ihre Fragen während des Webinars, wir haben eine ganze Reihe erhalten! Diejenigen, die nicht bereits im Webinar beantwortet wurden, werden im Folgenden beantwortet.
Sollten Sie noch weitere Fragen haben, wenden Sie sich bitte an cybersecurity@bureauveritas.com.
Stimmt es nicht, dass Cloud-Lösungen für viele Unternehmen sicherer sind, als wenn sie es selbst tun? (insbesondere in Bezug auf die Infrastruktur)
In vielen Fällen trifft dies auf die Teile der Infrastruktur zu, für die der Cloud-Service-Anbieter die volle Verantwortung trägt, da vor allem die großen Anbieter über viel Sicherheitsexpertise und große Teams zum Schutz dieser Infrastruktur verfügen, wahrscheinlich mehr als die meisten Unternehmen selbst. Natürlich gibt es Ausnahmen, wenn Unternehmen sehr spezifische Anforderungen an die Sicherheit (oder an rechtliche Aspekte/Privatheit/Verfügbarkeit) haben, die selbst von Anbietern wie Google oder Microsoft nicht erfüllt werden können. Darüber hinaus ist die Cloud in den Fällen, in denen die sichere Konfiguration in der Verantwortung des Unternehmens selbst liegt, eher ein zweischneidiges Schwert: Einerseits können Cloud-Dienste es einfacher oder billiger machen, die richtigen Sicherheitsmaßnahmen zu ergreifen, aber andererseits kann eine Fehlkonfiguration aufgrund der größeren Internetpräsenz größere Auswirkungen haben.
Sind Azure, Google oder AWS mehr oder weniger sicher? Und Ähnliches gilt für SaaS/Paas/IaaS?
Auf diese Frage gibt es keine gute Antwort. Wenn es um allgemeine Sicherheitspraktiken geht, haben alle drei ein sehr gutes Profil, und es gibt keinen klaren Gewinner. Aber es ist vielleicht interessanter zu wissen, welcher Anbieter anfälliger für Fehlkonfigurationen ist, eine bessere Sicherheitsdokumentation hat oder über bessere Standardeinstellungen verfügt. Das ist allerdings sehr subjektiv, und ich wage nicht zu behaupten, dass der eine besser ist als der andere.
Bei SaaS/PaaS/IaaS kann man im Allgemeinen sagen, dass die Art von Dienst, die am wenigsten Konfiguration oder Wartung erfordert, die geringste Chance hat, angreifbar zu sein. Daher ist es oft einfacher, SaaS als PaaS und Paas als IaaS zu sichern.
Geteilte Verantwortung: Wer ist für privilegierte Benutzer / Administratoren verantwortlich?
Die großen Cloud-Service-Anbieter übernehmen keine Verantwortung für den Schutz von Benutzeranmeldeinformationen und die Konfiguration von Benutzerrollen und Privilegien. Die Organisation dieser Aufgaben liegt also vollständig in der Verantwortung des Unternehmens, das den Cloud-Service in Anspruch nimmt. Die Anbieter stellen jedoch eine Dokumentation über einige bewährte Verfahren zur Identitäts- und Zugriffsverwaltung zur Verfügung, überlassen Ihnen aber die Umsetzung.
Gibt es besondere rechtliche Aspekte, die zu beachten sind?
Bei der Durchführung eines Sicherheitstests in einer Cloud-Umgebung ist der Cloud-Service-Anbieter immer eine beteiligte Partei, die berücksichtigt werden muss. Glücklicherweise bieten große Anbieter wie AWS und Azure klare Bedingungen für das Pentesting an, und es ist nicht erforderlich, dass ein Vertreter von AWS/Microsoft für jeden Test eine ausdrückliche Genehmigung erteilt. Sie sollten sich jedoch darüber im Klaren sein, was von diesen Bedingungen abgedeckt wird und was nicht, und dass diese bei anderen Cloud-Anbietern unterschiedlich sein können.
Diese Frage bezieht sich auf Sicherheitstests. Wenn eine Umgebung (einschließlich der Infrastrukturkomponenten) an einen Cloud Service Provider ausgelagert wird und der CSP über eine ISO27001-Zertifizierung und ein ISAE3402 TPM verfügt, empfehlen Sie dann trotzdem, Sicherheitstests für die einzelnen Komponenten innerhalb der Umgebung durchzuführen?
Im Allgemeinen würde ich nicht empfehlen, die zertifizierten Infrastrukturkomponenten zu testen, solange diese Komponenten keine spezifischen Konfigurationen oder Anpassungen durch den Benutzer der Umgebung erfordern. In der Praxis gibt es in der Regel Raum für Konfigurationen, und aufgrund des Modells der geteilten Verantwortung der meisten Anbieter sind diese Konfigurationen nicht durch die Zertifizierung abgedeckt und daher wahrscheinlich wertvoll, getestet zu werden.
Würden Regulierungsbehörden wie die DNB im Finanzbereich die Durchführung von Cloud-Tests als Teil einer Cloud-Risikobewertung für obligatorisch halten?
Ich bin kein Experte für Finanzregulierung, daher kann ich leider nicht beantworten, welche Testverfahren obligatorisch sind. Ich denke jedoch, dass Pentesting im Allgemeinen eine wertvolle Ergänzung zur Risikobewertung ist, unabhängig davon, ob es sich um eine Cloud-Umgebung handelt oder nicht.
Wenn Sie noch Fragen haben, kontaktieren Sie uns bitte unter cybersecurity@bureauveritas.com