Null Vertrauen: Wenn Du sicher sein willst, dann geh gefälligst in die Cloud??

Wenn Du (einigermaßen) sicher sein willst, dann geh (gefälligst) in die Cloud. So kann den Beitrag von James Lotspeich Director of the Department of Computer and Cyber Sciences bei der United States Air Force Academy, auf MITSloan übersetzen und interpretieren. Gut, das einigermaßen und gefälligst kommt von mir, aber die Kernaussage geht in diese Richtung.

Moving to a zero-trust network, where all the services an organization needs — including file sharing and email — are hosted in the cloud, is the best way to contain the damage of any single hack.

via Why Businesses and Governments Need to Stop Trying to Secure Their Networks

Die Zeit des Vertrauens sei vobei. Jedes neue Gerät, jeder Zugriff über öffentliches WiFi, jeder Klick auf eine Webseite oder E-Mail, jedes neue Login stelle eine Risiko dar. Er verweist dabei auf die Erfahrungen des U.S. Department of Defense (DoD) von 2008, verursacht durch ein Flash Drive, der in einen Laptop des Militärs geschoben wurde. Man habe 14 Monate gebraucht, um den entsprechenden Wurm zu beseitigen und das Ereignis habe zur Gründung des U.S. Cyber Command geführt.

Die IT müsse sich von der Vorstellung verabschieden, alles im eigenen Netzwerk zu “besitzen” und stattdessen konsequent das Service- und Sicherheitsmodell der Cloud adaptieren. Lokale Geräte der seien immer ein willkommenes Einfallstor, das man attackieren könne. Durch die Separierung der Datenbestände in der Cloud – beispielsweise sind E-Mail- und Dateispeicher getrennt – könnten Hacker zudem nur auf die Daten des jeweiligen Service und nicht des ganzen Netzwerkes mit diversen Servern, Datenbanken und Anwendungen zugreifen.

Der Autor plädiert dafür, proprietäre Domainen abzuschaffen und stattdessen wo möglich in eine Public oder Private Cloud zu ziehen, der Sicherheit weiter durch das eigene Unternehmen verwaltet werden solle. Der Service Provider stelle die sichere Infrastruktur, die Unternehmen müssten jedoch weiter ihre Nutzer identifizieren und ihnen Zugriffsrechte auf die Anwendungen geben. Das firmeninterne Netzwerk wird in dem Modell von zu einer reiner Transport- und Kommunikationsebene. Zugriff wird personen- oder rollenbezogen über Tokens biometrische Verfahren, Benutzernamen und Passwörter gegeben.

Auch Gartner stößt in einem aktuellen Artikel in das Horn Sicherheit in der Cloud und zitiert die bekannte Weisheit, dass die meisten Sicherheitsproblem durch Anwender verursacht werden. Man solle Entscheidungen für die Cloud nicht durch übertrieben Sicherheitsbedenken blockieren lassen, so Jay Heiser, Research Vice President bei Gartner. Er plädiert auch aus Kostengründen für die Public Cloud. Der CIO habe das klare Mandat, ide Geschäftseinheiten in der Nutzung der Public Cloud zu beeinflussen und Leitlinien zu geben, welche Daten unter welchen Umständen in welcher Cloud gespeichert werden wollten. Heiser spricht in seinem Beitrag die Unterschiede zwischen den verschiedenen Modellen, von Infrastructure as a service (IaaS) und Software as a service (SaaS) an, mit denen sich die IT Abteilung fachlich auseinandersetzen müsse:

CIOs who want to use IaaS for sensitive use cases need to ensure their teams have a sophisticated understanding of cloud-specific security technologies and know how to leverage the programmatic infrastructure of IaaS providers for security automation.

In contrast, the entire SaaS technology stack is under the direct control of the service provider. This means that to govern SaaS usage, CIOs must focus on Identity and Access Management (IAM) permissions management and the protection of sensitive data. This is accomplished by relying on whatever mechanisms each SaaS provider makes available or by use of a third-party product, such as a cloud access security broker (CASB).

via Is the Cloud Secure? – Smarter With Gartner

Meine 2 Cents: Der Weg von immer mehr Unternehmensanwendungen in die Cloud ist unaufhaltsam, doch stellt sich natürlich die Frage, in welche Cloud? In welche hybriden Form? Wo setzen Unternehmen besser eine Private Cloud ein? Angesichts vieler offener Fragen kann man das Thema Cloud nicht einfach nur darauf reduzieren, dass Hacker- und Sicherheitsangriffe in der Cloud immer besser – so die Vorhersage auch der Gartner-Experten – abgewehrt werden können. Welche Rolle spielen künftig Edge Computing und das Internet of Things mit immer mehr Geräten?  Und natürlich bleibt das Risiko Endanwender. Doch auch das Thema Dateneigentum und Datenhoheit kann hier nicht komplett weggedrückt werden. Das Thema US Clarifying Lawful Overseas Use of Data (CLOUD) Act, die anstehenden weiteren Entscheidungen mit dem dem potentielle Zugriff von Behörden auf Unternehmensdaten und ähnliche Aspekte müssen im Gesamtbild mit bedacht werden. Gerade amerikanische Autoren lassen dies nur zu gerne unter den Tisch fallen. Der CIO hat eine anspruchsvolle Aufgabe vor der Brust, bei denen er eng mit dem CISO zusammenarbeiten und Sicherheitsexpertise im Team aufbauen muss;

Given the meteoric rise in the number of security breaches in recent years, CIOs and CISOs need to be highly aligned and collaborative around every corporate initiative. …, control-based security approaches focus primarily on well-defined network perimeters and static applications and assets. Yet, the onset of cloud computing, containers, and software-defined everything forced us to rethink this approach. Security needs to be both continuous and context-based, meaning different application and infrastructure deployments have different security requirements that are based upon their public/private location and how they store and access sensitive data.

In other words, the security controls are much more granular and tightly coupled with the context of the application and/or data….

Taking a further forward-looking view into what the CIO role of 2020 will look like, it will likely continue to grow in strategic importance to the core business, and the CIO will ultimately become the trusted technology and security advisor to all lines of business.

via CIO 2020: Greater collaboration, and an end to control-based security | CIO

(Stefan Pfeiffer)

One comment

Kommentare sind sehr willkommen

This site uses Akismet to reduce spam. Learn how your comment data is processed.