20.08.2019 | Bruno Blumenthal
Wie Sie sicher in die Cloud migrieren
Security und die Cloud haben ein äusserst ambivalentes Verhältnis. Viele Security Spezialisten sind gegenüber der Clou noch immer skeptisch und betrachten diese in erster Linie als Risiko. Die Cloud kann aber auch eine Chance und de Security sogar dienlich sein. Mit der Migration einer Business Applikation in die Cloud verändern sich die Risiken. O diese Veränderung negativ ausfällt, hängt von verschiedenen Faktoren ab und kann nicht pauschal beantwortet werden.
In diesem Beitrag möchte ich auf drei Themenbereiche eingehen, die einen grossen Einfluss auf eine erfolgreiche un sichere Migration einer Business Applikation in die Cloud haben:
- Information Governance
- Risk Management
- Identity and Access Management
Information Governance
Information Governance befasst sich mit der Verwaltung von Informationen im Unternehmen. Ziel ist es, die effizient Nutzung, den angemessenen Schutz und die korrekte Aufbewahrung von Informationen zu ermöglichen; unter gleichzeitige Einhaltung der internen und externen Vorgaben.
Wenn man eine Business Applikation in die Cloud migrieren will, muss man erst verstehen, welche Informationen mit de Applikation in die Cloud migriert werden. Welche Informationen werden in dieser Applikation verarbeitet und welch Information werden benötigt, damit die Applikation funktioniert? Dies klingt erst einmal logisch. Die Herausforderun zeigt sich meist bei der Ermittlung der genauen Anforderungen, welche für die betroffenen Informationen gelten. In de Praxis nicht mehr so einfach beantworten, lassen sich oft Fragen nach der Kritikalität der Informationen und de rechtlichen Auflagen, denen diese unterstehen.
Spätestens seit den Diskussionen rund um die EU-DSGVO ist zumindest zum Datenschutz bei den meisten Unternehmen un Cloud-Anbietern ein erhöhtes Bewusstsein vorhanden. Dies ist aber nur ein rechtlicher Aspekt, der für ein Cloud-Migration relevant sein kann. Zu klären ist zum Beispiel, ob die Informationen überhaupt dem Unternehmen gehöre oder sie ihm nur von den Kunden anvertraut wurden, wie beispielsweise Konstruktionspläne bei einer Auftragsfertigun oder Software Sourcecode bei einer Individualsoftwareentwicklung. Wenn die Informationen nicht dem Unternehmen gehören ist zu klären, ob es Auflagen des Eigners gibt, welche eine Verlagerung in die Cloud verbieten oder einschränken Vielleicht erfordert die Auslagerung von Informationen die explizite Einwilligung des Eigners oder er schränkt de geographischen Speicherort ein.
Um die Anforderungen an die Informationen zu verstehen und verwalten zu können, sollten diese im Rahmen der Informatio Governance in Klassen eingeteilt werden. Für jede Informationsklasse werden die relevanten Aspekte erfasst. So müsse bei einer Migration einer Applikation nur die betroffenen Informationsklassen identifiziert werden. Di Informationsklasse liefert dann die relevanten Rahmenbedingungen für die Migration in die Cloud.
Risk Management
Um die Risiken, die mit einer Migration in die Cloud verbunden sind, beurteilen zu können, muss erst die für da Unternehmen relevante Bedrohungslage in der Cloud verstanden werden. Die Bedrohungslage ist stark abhängig vo Geschäftsfeld in dem das Unternehmen tätig ist. In welchen Ländern ist es vertreten, in welcher Branche ist es tätig un wer sind Kunden und Konkurrenten? Ein international tätiges Finanzinstitut hat eine andere Bedrohungslage wie ein loka tätiges Sanitärunternehmen oder ein High-Tech Startup in der Medizinaltechnik. Was für die einen problemlos in die Clou migriert werden kann, ist für andere ein nicht tragbares Risiko oder erfordert komplett andere kompensierend Massnahmen.
So muss man sich fragen, ob man einen staatlichen Angreifer fürchten muss, Geschäftsinformationen lukrativ fü finanziell motivierte organisierte Kriminalität sind oder man Ziel von Wirtschaftsspionage sein könnte, bei der ei Konkurrent geistiges Eigentum stehlen will.
Neben der Risikosicht sollte man aber auch die Chancensicht nicht vernachlässigen. Es stellt sich nämlich auch di Frage, ob das Unternehmen die Business Applikation selber wirklich besser und sicherer betreiben kann als ei Cloud-Provider. Diese Sicht der Risikobetrachtung wird bei der Cloud oft vernachlässigt. Man betrachtet lediglich di Risiken, die mit der Nutzung einer Cloud-Lösung einhergehen und beachtet die Risiken, die durch den internen Betrie entstehen nicht. Gerade für KMU ist es heute fast nicht mehr möglich, viele Anwendungen sicher zu betreiben. Die sicher Konfiguration, die Überwachung der Systeme sowie das Patch-Management erfordern oft sehr spezifisches Know-How un robuste Betriebsprozesse, die eine kleine IT-Organisation oft gar nicht leisten kann.
Eine umfassende Risikobetrachtung ist bei einer Migration in die Cloud unerlässlich. Dies muss angepasst auf da Unternehmen und die betroffene Applikation erfolgen und auch die Risiken einer Nicht-Migration miteinschliessen.
Identity and Access Management
Der letzte Themenbereich, der gerne unterschätzt wird, aber für den Erfolg in der Cloud von grösster Bedeutung ist, is das Identity and Access Management (IAM). Jede Form von Cloud-Lösung bringt Benutzer und Berechtigungen mit sich, welch gepflegt werden müssen. Bestehende On-Premise-Lösungen sind nicht immer ohne weiteres in die Cloud erweiterbar Cloud-Lösungen können z.B. nicht einfach in das Active Directory eingebunden werden, ohne das Active Directory gegenübe dem Internet zu exponieren. Hier braucht es eine technische Architektur und die dazugehörigen Prozesse, um Benutzer un Berechtigungen in der Cloud sicher verwalten zu können.
Wenn bereits ein umfassendes IAM im Unternehmen existiert, dann ist dies in der Regel keine grosse Sache. Di Cloud-Lösung ist letztlich einfach ein weiteres Zielsystem, das provisioniert werden muss. Wenn aber eine IA Architektur fehlt oder sehr stark auf interne Systeme, wie zum Beispiel eine Active Directory Integration zugeschnitte ist, dann kann die Einbindung einer Cloud-Lösung eine grosse Herausforderung sein. Hier ist es ratsam sich als Teil de Cloud-Strategie auch den Status des IAM zu betrachten und zu prüfen, ob man in diesem Bereich die notwendigen Prozess und technischen Mittel hat, um in der Cloud-Lösung Benutzer und Berechtigungen verwalten zu können. Von einer manuelle Pflege der Benutzer und Berechtigungen in der Cloud-Lösung ist dringend abzuraten.
Aber auch die Authentisierung in der Cloud bringt neue Herausforderungen. So wird bei einer Migration einer interne Business Applikation in die Cloud, diese in der Regel plötzlich vom Internet her erreichbar. Eine einfach Authentisierung mit Username und Passwort, die vielleicht On-Premise noch angemessen ist, ist dann nicht meh ausreichend. Eine starke Authentisierung wird notwendig. Sinnvollerweise mittels einer zentralen Authentisierungslösun und einer Federation, so dass sie für verschiedene Cloud-Lösungen genutzt werden kann und nicht jedes Mal aufs Neu integriert werden muss.
Fazit
Die drei Themen sind eigentlich keine spezifischen Cloud-Themen, idealerweise hat ein Unternehmen hier bereit etablierte Prozesse und Lösungen. Ist dies der Fall, helfen diese systematisch, die Herausforderungen einer Migration i die Cloud zu meistern. Oft ist die Maturität aber nicht in allen Bereichen ausreichen hoch, dass diese Themen bei eine Cloud-Migration als automatisch gegeben betrachtet werden können. Daher sollte sich jedes Cloud-Projekt intensiv mi diesen drei Themen auseinandersetzen und sich folgende Fragen stellen:
- Kenne ich die Informationen, die in die Cloud sollen wirklich?
- Weiss ich, welche Bedrohungen für mich in der Cloud relevant sind?
- Kann ich meine Benutzer und deren Zugriff in der Cloud sicher verwalten?
Hinweis: Dieser Artikel wurde auch im Digicomp Blog publiziert.
Cloud Security Compliance Risk Management
