Multi-Cloud-Sicherheit und Compliance

19. Februar 2022
| Keine Kommentare
Multi-Cloud-Sicherheit und Compliance
Anzeige

Beitrag teilen

Unternehmen verlagern ihren Betrieb zunehmend nicht nur auf eine, sondern in vielen Fällen auf mehrere Public Clouds. Im kürzlich von HashiCorp durchgeführten State of the Cloud Strategy Survey gaben 76 Prozent der Befragten an, dass sie bereits Multi-Cloud-Strategien verfolgen. Weitere 47 Prozenten dieser Befragten stimmten zu, dass die Sicherheit ein Haupthindernis für die Cloud ist. Orca Security nennt Herausforderungen und Best Practices.

Multi-Cloud-Strategien machen Cloud-Sicherheit und -Compliance noch komplizierter, da Kontrollen und Richtlinien konsistent über mehrere Cloud-Umgebungen hinweg angewendet werden müssen. Durch die Befolgung einer Reihe von Best Practices können Sicherheitsteams nach Meinung von Orca Security jedoch die Komplexität und den Aufwand für die Sicherung einer Multi-Cloud-Umgebung erheblich minimieren, so dass Unternehmen ihre Cloud-Strategie vollständig umsetzen können.

Anzeige

Was ist eine Multi-Cloud-Strategie?

Von einer Multi-Cloud-Strategie spricht man, wenn Unternehmen mehrere Anbieter von öffentlichen IaaS-Cloud-Diensten – wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud – nutzen, um ihre IT-Dienste und -Infrastruktur zu optimieren. Da jeder Cloud-Anbieter unterschiedliche Services und Preismodelle anbietet, können Unternehmen durch die Nutzung mehrerer Cloud-Anbieter den besten Service zum besten Preis erhalten.

Das Konzept lässt sich am besten anhand einer Analogie aus dem Supermarkt erklären. Wenn Kunden zum Beispiel ihre Lieblingsbioprodukte in einem Naturkostladen kaufen, nehmen sie in Kauf, dass die Preise etwas höher sind. Für die meisten Grundnahrungsmittel gehen sie jedoch lieber in ein normales Geschäft, da die Preise dort viel niedriger sind. Kurz gesagt, sie optimieren ihren Lebensmitteleinkauf auf der Grundlage des individuellen Angebots und der Preise der einzelnen Geschäfte, was einer Multi-Cloud-Strategie ähnelt.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Was ist der Unterschied zwischen den Cloud-Plattformen?

Wie Supermärkte haben alle Cloud-Anbieter ähnliche Angebote, aber jeder verfolgt einen etwas anderen Ansatz. Es handelt sich keineswegs um einen vollständigen Vergleich, aber die folgende kurze Zusammenfassung zeigt, wie die Plattformen der führenden Cloud-Anbieter in verschiedenen Bereichen einen Mehrwert bieten:

  • AWS bietet die größte Auswahl an Services, darunter Rechen-, Speicher-, Datenbank-, Analyse-, Netzwerk- und mobile Ressourcen, Entwickler- und Verwaltungstools, IoT, Sicherheit und Unternehmensanwendungen.
  • Azure hat den Vorteil, dass es Produktivitäts- und Unternehmenssoftware (wie Office 365 und Teams) mit flexiblen Cloud-Computing-Ressourcen für Entwickler auf einer Plattform kombiniert.
  • Google Cloud zeichnet sich durch seinen technologischen Fortschritt im Bereich der Open-Source-Technologien aus, insbesondere bei Containern, und spielte eine entscheidende Rolle bei der Entwicklung von Kubernetes, einer Container-Orchestrierungsplattform, die sich mittlerweile zu einem Branchenstandard entwickelt hat.

Was sind die Vorteile einer Multi-Cloud-Strategie?

Es ist nicht verwunderlich, dass die meisten Unternehmen mehrere Cloud-Plattformen nutzen, da diese Strategie den Unternehmen Folgendes ermöglicht

  • Den Zugang zu Diensten zu optimieren: Wie oben beschrieben, sind einige Cloud-Anbieter stärker auf die Bereitstellung bestimmter Dienste spezialisiert als andere Anbieter, so dass es sinnvoll ist, für jeden benötigten Dienst den besten Cloud-Anbieter auszuwählen.
  • Risikostreuung und Ausfallsicherheit: Es ist immer eine gute Idee zu vermeiden, „alles auf eine Karte zu setzen“. Wenn beispielsweise ein Ausfall oder ein anderes Problem bei einem Cloud-Dienstanbieter auftritt, sind die anderen Cloud-Plattformen wahrscheinlich nicht betroffen.
  • Kosten und Abhängigkeiten reduzieren: Durch den Einsatz mehrerer Cloud-Anbieter können Unternehmen flexibel bleiben und den Anbieter wechseln, um ihre Ausgaben zu optimieren, anstatt sich an einen Anbieter zu binden und hohe Betriebskosten für die Verlagerung von Diensten zu tragen.

Sicherheits- und Compliance-Herausforderungen von Multi-Cloud-Umgebungen

Die Nutzung mehrerer Cloud-Anbieter ist zwar geschäftlich sehr sinnvoll, kann aber die Bemühungen um Sicherheit und Compliance enorm erschweren. So sollten die Sicherheitskontrollen und -richtlinien in allen Bereichen einheitlich sein. Da die meisten Sicherheitstools der nativen Cloud-Anbieter nur ihre eigene Plattform abdecken und nicht alle Lösungen von Drittanbietern mehrere Cloud-Anbieter unterstützen, können Sicherheit und Compliance für Multi-Cloud-Umgebungen schnell zu einem operativen Albtraum werden.

Wenn die Sicherheitskontrollen nicht in einer Plattform konsolidiert sind, führt dies zu folgenden Problemen:

  • Mangel an zentraler Sichtbarkeit: Die Verwendung unterschiedlicher Lösungen für jede Cloud-Plattform – und oft sogar mehrerer Lösungen pro Plattform, wie Cloud Security Posture Manager (CSPM) und Cloud Workload Protection Platforms (CWPP) – macht es nahezu unmöglich, einen zentralen Überblick über Risiken zu erhalten. Dies bedeutet, dass Verantwortliche keinen klaren Überblick über ihre gesamte Cloud-Sicherheitslage haben und nicht wissen, welche Risiken am dringendsten behandelt werden müssen.
  • Hohe Betriebskosten: Die Duplizierung von Sicherheitsrichtlinien für verschiedene Cloud-Sicherheits- und Compliance-Tools kann für das ohnehin unterbesetzte Cloud-Sicherheitsteam schnell zu einer Belastung werden. Cloud-Workload-Protection-Plattformen (CWPPs) erfordern außerdem die Installation eines Agenten auf jeder zu überwachenden Cloud-Ressource. Je größer und diversifizierter die Cloud-Ressourcen sind, desto zeitaufwändiger ist es, Agenten für jede Ressource zu installieren und zu pflegen.
  • Mangelnde Konsistenz: Wenn Unternehmen gezwungen sind, mehrere verschiedene Cloud-Sicherheitstools mit jeweils unterschiedlichen Konfigurationsoptionen zu verwenden, ist es eine komplexe Aufgabe, sicherzustellen, dass in allen Cloud-Beständen dieselben Sicherheits- und Compliance-Prüfungen durchgeführt werden.
  • Erhöhte Fehleranfälligkeit: Je mehr manuelle Eingriffe und Duplizierung von Sicherheitsrichtlinien erforderlich sind, desto mehr Raum gibt es für menschliche Fehler und falsch konfigurierte Sicherheitskontrollen.

Best Practices für Multi-Cloud-Sicherheit und Compliance

Orca bietet eine einzelne agentenlose Plattform für jede Ebene der Cloud-Umgebung für AWS, Azure und GCP (Bild: Orca Security).

Um die Komplexität und den Aufwand für die Sicherung einer Multi-Cloud-Umgebung zu minimieren, sollten Sicherheitsverantwortliche die folgenden fünf Best Practices befolgen:

  • Auf Multi-Cloud-Unterstützung bestehen: Vergewissern Sie sich, dass Ihr Cloud-Sicherheitsanbieter mehrere Cloud-Anbieter-Plattformen unterstützt.
  • Cloud-Sicherheitslösungen konsolidieren: Nutzen Sie Full-Stack-Cloud-Sicherheitslösungen (CWPP und CSPM in einem – auch als Cloud-native Application Protection Platform (CNAPP) bezeichnet), damit Sie die Anzahl der Einzellösungen reduzieren und durch ein einziges Tool für alle Ihre Cloud-Umgebungen ersetzen können.
  • Agentenlos werden: Eliminieren Sie ressourcenintensive Agentenimplementierungen, die die Reaktionsfähigkeit einschränken und Ihre Fähigkeit behindern, Anwendungen bei Bedarf auf andere Cloud-Plattformen zu verschieben.
  • Plattformspezifische Abhilfemaßnahmen: Verwenden Sie eine Cloud-Sicherheitslösung mit kontextbezogener Intelligenz, die kritische Risiken priorisiert und plattformspezifische Anweisungen zur Schadensbegrenzung bereitstellt, um den Anwendern die Arbeit auf mehreren Cloud-Plattformen zu erleichtern.
  • Strategien zur Kosteneinsparung identifizieren: Sorgen Sie dafür, dass der CISO zufrieden ist, indem Sie ein Cloud-Sicherheitstool verwenden, mit dem Sie detaillierte Informationen zu jedem Asset auf jeder Cloud-Plattform abrufen können, einschließlich der Häufigkeit der Nutzung. Auf diese Weise können Sie Ratschläge für weitere Kosteneinsparungsstrategien geben, z. B. die Verlagerung bestimmter Anwendungen auf andere Cloud-Plattformen und die Konsolidierung oder Entfernung redundanter Dienste.

Im Multi-Cloud-Zeitalter ist die Sicherheit komplexer und zeitaufwändiger geworden als je zuvor. Durch die Verwendung eines ganzheitlichen Cloud-Sicherheitsansatzes, der konsistente Sicherheitskontrollen über mehrere Cloud-Umgebungen hinweg etablieren kann, lassen sich Komplexität und doppelter Aufwand nach Meinung von Orca Security jedoch erheblich reduzieren. So verschwenden Sicherheitsteams weniger Zeit mit operativen Aufgaben und können sich stattdessen auf die Sicherung der Cloud-Umgebungen konzentrieren.

Mehr bei Orca.security

 

Über Orca Security

Orca Security, der Innovationsführer im Bereich Cloud-Sicherheit, bietet sofortige Sicherheit und Compliance für Amazon Web Services (AWS), Google Cloud und Microsoft Azure – ohne die Lücken in der Abdeckung, die Überlastung durch Alarme und die Betriebskosten von Agenten oder Sidecars. Vereinfachen Sie die Sicherheits- und Compliance-Abläufe und geben Sie Ihrem Team neue Möglichkeiten mit einer einzigen SaaS-Plattform für Cloud Security Posture Management, Compliance-Management und Schutz von Workloads und Daten.

 

Passende Artikel zum Thema

ChatGPT-Experiment: Wer erkennt Phishing besser?

Sind die Jobs von Sicherheitsexperten erst einmal sicher oder lösen KIs, wie etwa ChatGPT die Experten ab? Kaspersky hat dazu ➡ Weiterlesen

Microsoft Teams: Offenes Einfallstor für Cyberkriminelle

Viele Behörden und Unternehmen setzen Produkte von Microsoft ein, insbesondere die Microsoft-Office-Produktreihe mit Teams ist sehr beliebt, auch in der ➡ Weiterlesen

iPhones: Geheime Malware entdeckt – Such-Tool steht bereit

Kaspersky hat vor wenigen Tagen auf firmeninternen iPhones eine hochentwickelte Malware entdeckt. Die als Operation-Triangulation getaufte Kampagne ist anscheinend noch ➡ Weiterlesen

Fünf Jahre DSGVO

Die Datenschutzgrundverordnung der Europäischen Union ist anstrengend, aber eine Erfolgsgeschichte. Die Europäische Kommission sollte das fünfjährige Jubiläum der DSGVO dazu ➡ Weiterlesen

Cloud-Firewall mit Schutz für Virtual WAN

Ein weltweit führender Anbieter von Cyber-Sicherheitslösungen gibt die allgemeine Verfügbarkeit seiner branchenführenden Next-Generation Cloud Firewall bekannt, die ab Werk in ➡ Weiterlesen

Arbeitswelt: Rückkehr ins Büro

Der „Everywhere Work Report“ zeichnet ein eher düsteres Bild der hybriden Arbeitswelt anno 2023. Denn zwischen den Erwartungen der Mitarbeiter ➡ Weiterlesen

Unsichere Videokonferenzen

Online-Meetings bieten Cyberkriminellen eine gute Gelegenheit, Unternehmen enormen Schaden zuzufügen. Die Fälle von Industriespionage per Videokonferenz, Hacking oder Datendiebstahl häufen ➡ Weiterlesen

Die DSGVO und der AI Act

Fünf Jahre ist die DSGVO nun in Kraft und die Europäische Kommission will die Regelung noch im ersten Halbjahr verbessern. ➡ Weiterlesen

Storys
, , , , ,