{"id":99804,"date":"2019-07-03T23:30:16","date_gmt":"2019-07-04T06:30:16","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=99804"},"modified":"2019-07-03T23:31:03","modified_gmt":"2019-07-04T06:31:03","slug":"cloud-big-cloud-5-holistic-cloud-security-strategy","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2019\/07\/cloud-big-cloud-5-holistic-cloud-security-strategy\/?lang=de","title":{"rendered":"Die \u201e5 Big Cloud\u201c: Eine holistische Sicherheitsstrategie f\u00fcr die Cloud"},"content":{"rendered":"

Wir haben unsere Erfahrungen mit Hunderten von Kunden ausgewertet und die Sicherheitsstrategie \u201e5 Big Cloud\u201c entwickelt. Sie deckt zwar nicht jedes m\u00f6gliche Szenario ab, kann bei der Entwicklung einer holistischen Sicherheitsstrategie f\u00fcr die Cloud aber sehr n\u00fctzlich sein\u00a0\u2013 vorausgesetzt, dass dem verantwortlichen Team die erforderlichen Ressourcen zur Verf\u00fcgung stehen.<\/p>\n

 <\/p>\n

\"\"<\/span><\/div><\/p>\n

Abbildung\u00a01: Die \u201e5 Big Cloud\u201c<\/p>\n

Eine der wichtigsten Ursachen f\u00fcr Unf\u00e4lle, die auf menschliches Versagen zur\u00fcckzuf\u00fchren sind, ist das Nichterkennen bzw. die falsche Einsch\u00e4tzung einer Gefahrensituation.<\/em> \u2013<\/em> Nullmeyer, Stella, Montijo & Harden, 2005<\/p>\n

    \n
  1. Verschaffen Sie sich ein umfassendes, detailliertes Bild der Cloud-Nutzung.<\/strong><\/li>\n<\/ol>\n

    Als ersten Schritt zu einfacherer Cloud-Sicherheit und Compliance sollten Sie sich ein umfassendes Bild der aktuellen Cloud-Nutzung Ihrer Entwickler und der Teams in den Gesch\u00e4ftsbereichen machen. Dabei ist es unter anderem wichtig zu wissen, ob \u00fcber Schatten-IT auf die Cloud zugegriffen wird. Falls ja, m\u00fcssen Sie sich genauere Informationen \u00fcber diese Zugriffe verschaffen. Empfehlen Sie Ihrem Team, das auch als \u201e80:20-Regel\u201c bekannte Pareto-Prinzip zu nutzen, um zu entscheiden, welche Cloud-Plattform(en) zuerst untersucht werden sollte(n). Auch hier reicht es nicht aus, herauszufinden, welche Cloud-Plattformen<\/em> genutzt werden. Ihre Sicherheitsteams sollten auch ermitteln, was auf<\/em> diesen Plattformen ausgef\u00fchrt wird. Dabei k\u00f6nnen die von den Cloud-Anbietern bereitgestellten APIs sehr n\u00fctzlich sein.<\/p>\n

    APIs sind eine der Schl\u00fcsseltechnologien, bei denen sich Clouds von den meisten On-Premises-Umgebungen unterscheiden. Nutzen Sie sie, um sich ein genaues Bild der Cloud-Nutzung in Ihrem Unternehmen zu machen. Geben Sie sich nicht mit einer Liste der in Ihrem Unternehmen genutzten Cloud-Apps zufrieden. Nutzen Sie die APIs der Cloud-Anbieter, um s\u00e4mtliche \u00c4nderungen bis auf die Metadaten-Ebene zu verfolgen.<\/p>\n

      \n
    1. Implementieren Sie Kontrollen, um die gef\u00e4hrlichsten Fehlkonfigurationen von Cloud-Umgebungen automatisch zu verhindern.<\/strong><\/li>\n<\/ol>\n

      Fragen Sie sich, welche Konfigurationen (Fehlkonfigurationen oder fehlerhafte Muster) in Ihrer Umgebung nie vorkommen sollten. Ein Beispiel hierf\u00fcr ist eine Datenbank, in die direkt aus dem Internet Befehle eingegeben werden k\u00f6nnen. Das ist eine der gef\u00e4hrlichsten Sicherheitsl\u00fccken \u00fcberhaupt, aber diese Konfiguration wurde von Unit\u00a042 in 28\u00a0% der untersuchten Cloud-Umgebungen gefunden. Erstellen Sie gleich zu Anfang eine Liste unerw\u00fcnschter Konfigurationen und erweitern Sie diese im Verlauf der Zeit, wenn Sie Ihr Sicherheitsprogramm st\u00e4rken. Zwei wichtige Hinweise: Wenn Sie diese Kontrollen automatisieren, w\u00fcrde ich Ihnen dringend raten, das zuerst in einer kleinen Testumgebung zu tun. So k\u00f6nnen Sie vermeiden, dass unbeabsichtigte Nebenwirkungen zu einem schwerwiegenden, selbst verursachten Denial-of-Service-Vorfall f\u00fchren. Und zweitens: Arbeiten Sie eng mit Ihren Entwicklerteams zusammen. Versuchen Sie nicht, automatische Kontrollen ohne vorherige Absprache mit den Entwicklern zu implementieren. Arbeiten Sie von Anfang an mit ihnen zusammen, fangen Sie klein an und nehmen Sie dann schnell Fahrt auf.<\/p>\n

        \n
      1. Standards sind die Vorl\u00e4ufer der Automatisierung.<\/strong><\/li>\n<\/ol>\n

        In vielen Teams wird \u00fcber die Automatisierung diskutiert, obwohl es noch gar keine Sicherheitsstandards gibt. Ein gutes Ziel ist, langfristig 80\u00a0% der standardisierten Prozesse zu automatisieren. Je mehr Sie die Prozesse in Ihrem Sicherheitsprogramm standardisieren, desto einfacher lassen sie sich automatisieren. Lassen Sie sich nicht weismachen, dass der \u00dcbergang von einem vollst\u00e4ndig manuellen zu einem v\u00f6llig automatisierten Sicherheitsbetrieb in 90\u00a0Tagen abgeschlossen sein kann. Wenn Ihr Unternehmen kein Startup ist, ist das \u00e4u\u00dferst unwahrscheinlich. In etablierten Gro\u00dfkonzernen nimmt die Automatisierung in der Regel mindestens neun Monate in Anspruch.<\/p>\n

          \n
        1. Ihre Sicherheitstechniker sollten programmieren k\u00f6nnen.<\/strong><\/li>\n<\/ol>\n

          Anders als in den meisten herk\u00f6mmlichen Rechenzentren spielen APIs in Public-Cloud-Umgebungen eine wichtige Rolle. F\u00fcr ein erfolgreiches Risikomanagement muss Ihr Sicherheitsteam beispielsweise unbedingt die APIs des Cloud-Anbieters nutzen.<\/p>\n

          Je nachdem, wie gro\u00df Ihr Unternehmen ist, kann es sich lohnen, mit einer Bewertung der bereits vorhandenen Skills zu beginnen. Haben Sie Mitarbeiter, die in Python, Ruby oder einer \u00e4hnlichen Sprache programmieren k\u00f6nnen? Wenn ja, sollten Sie intensiv in sie investieren und ihnen individuelle Ziele setzen, die auf den Zeitplan f\u00fcr die Automatisierung abgestimmt sind. Wenn nicht, gibt es verschiedene M\u00f6glichkeiten. Gibt es in Ihrem Sicherheitsteam Mitarbeiter, die das Programmieren erlernen m\u00f6chten? Haben einzelne Entwickler ein Interesse an der Cybersicherheit gezeigt? Diese Leute k\u00f6nnen Sie weiterbilden, die Entwickler in Sicherheit und die Sicherheitstechniker in Programmiersprachen. Damit das erfolgreich ist, m\u00fcssen Sie jedoch die entsprechenden Ressourcen in die Weiterbildung investieren und die Schulungsziele an Ihren Automatisierungszielen ausrichten.<\/p>\n

          Wenn es in Ihrem ganzen Unternehmen kaum Programmierer gibt, lohnt es sich vielleicht, f\u00fcr eine kurze Zeit einen Berater einzustellen, der bereits in vielen anderen Unternehmen \u00e4hnliche Projekte durchgef\u00fchrt hat. Achten Sie jedoch darauf, dass dieser Berater die Sicherheitsteams entsprechend einweist. Die besten Skripts n\u00fctzen Ihnen nichts, wenn niemand in Ihrem Unternehmen sie nutzen oder aktualisieren kann. Wenn dieser Prozess im Gange ist, k\u00f6nnen Sie die Sicherheit vollst\u00e4ndig in den Entwicklungsprozess integrieren.<\/p>\n

            \n
          1. Integrieren Sie die Sicherheit in den Entwicklungsprozess.<\/strong><\/li>\n<\/ol>\n

            In diesem Schritt zeichnen Sie genau auf, wer wann welchen Code in welche Cloud-Umgebung(en) hochl\u00e4dt. Wenn Sie das wissen, k\u00f6nnen Sie ermitteln, wo Sicherheitsprozesse und \u2011tools implementiert werden sollten, um den Code effektiv zu sch\u00fctzen und die Entwickler m\u00f6glichst wenig zu behindern. Beziehen Sie die Entwickler selbst unbedingt von Anfang an in diesen Prozess ein.<\/p>\n

            Fazit<\/strong><\/p>\n

            Mit einer Sicherheitsstrategie f\u00fcr die Cloud, die sich auf die \u201e5 Big Cloud\u201c konzentriert, k\u00f6nnen Sicherheitsteams aller Gr\u00f6\u00dfenordnungen von den Vorteilen \u00f6ffentlicher Clouds profitieren. F\u00fcr zu lange Zeit haben das nur Entwicklerteams getan. Fangen Sie klein an und nehmen Sie dann schnell Fahrt auf.<\/p>\n","protected":false},"excerpt":{"rendered":"

            Wir haben unsere Erfahrungen mit Hunderten von Kunden ausgewertet und die Sicherheitsstrategie \u201e5 Big Cloud\u201c entwickelt. Sie deckt zwar nicht jedes m\u00f6gliche Szenario ab, kann bei der Entwicklung einer holistischen Sicherheitsstrategie f\u00fcr …<\/p>\n","protected":false},"author":623,"featured_media":96983,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3549],"tags":[],"coauthors":[6679],"class_list":["post-99804","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-unkategorisiert"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/02\/corp-blog-cloud-600x300.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99804","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/623"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=99804"}],"version-history":[{"count":2,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99804\/revisions"}],"predecessor-version":[{"id":99819,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99804\/revisions\/99819"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/96983"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=99804"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=99804"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=99804"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=99804"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}