Sicherheitsvorfälle in der hybriden Cloud wirksam bekämpfen

Die zunehmende Digitalisierung von Wirtschaft und öffentlicher Hand macht Cyberkriminalität immer lukrativer. Daneben setzt sich die Migration in die Cloud weiter fort. Über den Spielraum für wirksamen Incident Response in der hybriden Cloud.

Die Bearbeitung von Sicherheitsvorfällen ist in der Hybrid Cloud stark davon abhängig, in welcher Infrastruktur sich das Unternehmen bewegt. Im Mittelpunkt steht die Frage: Besteht die Möglichkeit, die Ereignisse in der Infrastruktur aktiv selbst zu überwachen oder muss das Cloud-nutzende Unternehmen anderen – also dem Provider – vertrauen, dies in seinem Sinne zu übernehmen? Im Folgenden ein Überblick darüber, wie die Bearbeitung von Sicherheitsvorfällen innerhalb der verschiedenen Cloud-Services möglich ist:

• Infrastructure-as-a-Service (IaaS): Für Incident Response die ideale Umgebung, denn der User behält auch im Public-Bereich seiner Cloud die Hoheit über die eigenen Systeme. Auf Systemebene erfolgt die Anbindung entweder an das eigene SIEM (Security-Incident-and-Event-Mana-gement) oder die APT-Sensoren werden in allen virtualisierten Computerhardware-Ressourcen wie Rechnern, Netzen und Speicher angebracht, sodass sich die Überwachung zusammenführen lässt. Der Zugriff auf die Systeminfrastruktur ist die Basis für Gegenmaßnahmen im Sinne des Incident Response, sei es, um Dienste zu deaktivieren oder auch Server für weitere Härtungsmaßnahmen aus dem Betrieb zu nehmen. Weil das auf Netzwerkebene für das Cloud-nutzende Unternehmen nur eingeschränkt möglich ist, da der Provider in der Regel keinen Zugriff auf seine physische Netzwerkinfrastruktur gestattet, ist zu empfehlen, dass Provider und das Cloud-nutzende Unternehmen eine gemeinsame Response-Strategie verfolgen und ihre Erkenntnisse aus dem physikalischen Netzwerkbereich und der Systemüberwachung innerhalb der Cloud aktiv teilen. Um eine zeitnahe und effiziente Bearbeitung von Incidents zu gewährleisten, sind allerdings abgestimmte Notfallpläne und definierte Eskalationsprozeduren erforderlich.  
• Bei Platform-as-a-Service (PaaS) stellt sich die unmittelbare Frage nach der Integration in das unternehmenseigene SIEM. Für PaaS, die in einer hybriden Cloud/Struktur auf eigener Infrastruktur basieren, besteht die volle Bandbreite an Gegenmaßnahmen – anders als im Public Cloud-Anteil, denn hier fehlt der Zugriff auf die Systeminfrastruktur. Informationen über Incidents kommen also in erster Linie aus einer auf dem PaaS betriebenen Applikation. Ein Incident Response basiert hier überwiegend auf der Abstimmung und Abhängigkeit vom Provider. Ohne Informationen des Providers hat der User keinerationale Entscheidungsgrundlage etwa dafür, Services vom Netz zu nehmen.
• Software-as-a-Service (SaaS): Der User hat lediglich Zugriff auf die Applikation beispielsweise über ein Web-Frontend, nicht aber auf die darunterliegenden Netzwerkstrukturen – und damit keine Chance für eine sinnvolle Integration der Überwachung für die Computing-Infrastruktur – eine wesentliche Voraussetzung, um die Incident-Response-Strategie im Einzelfall anzupassen. Für das Cloud-nutzende Unternehmen bedeutet das im Klartext: Keine Implementierung der eigenen Sensoren-Technologie, keine Detektionsmöglichkeiten und damit nur sehr eingeschränkte eigenen Incident Response. Abhilfe schaffen kann ein Cloud Access Security Broker: CASB sind lokal installierte oder cloudbasierte Sicherheitslösungen, die zwischen dem Cloud-nutzenden Unternehmen und dem Cloud Service Provider platziert werden. CASB ermöglichen die transparente Überwachung des Zugriffs auf Cloud Services sowie die Einsteuerung technischer Richtlinien in den Bereichen Malware Prevention, Authentifizierung, Verschlüsselung und Data Leakage Prevention (DLP). Mittels Zugriffs/Überwachung durch den CASB kann der Cloud-Nutzer das Monitoring auf Netzwerkebene auf den SaaS-Service erweitern und in seine eigenen Systeme integrieren. Der CASB ermöglicht Gegenmaßnahmen wie die situative Sperrung von Zugriffen im Incident-Fall, die Einrichtung von DLP-Mechanismen beziehungsweise die Verschärfung von deren Regeln. Darüber hinaus bleibt nur die enge Zusammenarbeit mit dem Provider.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Sicherheitsvorfälle in der hybriden Cloud wirksam bekämpfen
2. Vereinbarungen systematisch dokumentieren
3. Nachgehakt: Drei Fragen an TÜV Rheinland

Lesen Sie mehr zum Thema

Weitere Artikel zu TÜV Rheinland Energie und Umwelt GmbH

Online-Penetrationstests

TÜV Rheinland startet neuen Onlineservice

TÜV Rheinland erläutert

Compliance Management mit neuer ISO-Norm 37301

Betriebliche Weiterbildung

Azubi- und Fachkräftemangel mit Einfacharbeitern auffangen

Industrie 4.0

Ohne den Faktor Mensch geht es nicht

Penetrationstests

Belastungs-EKG der IT-Sicherheit

Weitere Artikel zu TÜV Rheinland LGA Products GmbH

Digitalisierung von Lerninhalten

KI-basierte Lippenbewegungen

Cyberrisiken für Industrieanlagen

Operational Technology im Visier der Hacker

KI und Ethik

Noch eine Imitation?

Smart Home Services

Die finale Teststufe

Smart City Readiness Check

Smarte Cities stehen in Deutschland noch am Anfang

Weitere Artikel zu TÜV Rheinland LGA Products GmbH Köln

Umfrage des TÜV-Verbands

Die Lücke in der Cyberabwehrkette

Energieverbrauch

Wie grün sind die Telekommunikationsnetze wirklich?

TÜV Rheinland gemeinsam mit Ericsson

Device-Hub-Ökosystem bereitet IoT-Angebot vor für 5G

Autonomes Fahren

Der Zweifel fährt mit

Gesunde und agile Führung

Von Mythen und der Macht des "Freusinn"

Weitere Artikel zu Public Cloud

KI-Angebot für internationale Kunden

Alibaba Cloud mit neuen Funktionen

Grundsätze zur digitalen Souveränität

Eine Million Euro für souveräne Cloud-Dienste in Europa

Cloudspeicher

Api und Impossible Cloud kooperieren

Eperi rät zur Datenverschlüsselung

Erste Warnungen in Europa vor US-Clouds

FireCloud Internet Access

WatchGuard bringt hybride SASE-Lösung auf den Markt

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied