Was ist Cloud-Infrastruktursicherheit?

Cloud-Infrastruktursicherheit bezieht sich auf die Technologien, Kontrollen und Richtlinien, die zur Verbesserung der Sicherheitslage der zugrunde liegenden Cloud-Infrastruktur entwickelt wurden. Eine starke Cloud-Infrastruktursicherheit schützt vor Bedrohungen wie DDoS-Ereignissen, Datenverlusten und Fehlkonfigurationen, die zu unerwarteten Sicherheitsereignissen führen können. Die Cloud-Infrastruktursicherheit ist eine Kernkomponente der Cloud-Sicherheit.

Das Modell der geteilten Verantwortung ist ein System, das festlegt, wer zwischen einem Cloud-Anbieter und Ihnen für bestimmte Cybersicherheitsmaßnahmen verantwortlich ist. Die Verantwortlichkeiten können entweder bei Ihnen, dem Cloud-Anbieter, liegen oder eine gemeinsame Verantwortung beider Parteien sein.

Hier sind die wichtigsten Verantwortlichkeiten jeder Partei im Modell der geteilten Verantwortung aufgeführt.

Verantwortlichkeiten des Cloud-Anbieters

Ein Cloud-Anbieter ist für den Schutz der physischen Infrastruktur verantwortlich, auf der seine Cloud-Dienste ausgeführt werden. Hardware, Software, Netzwerke und alle mit den Services verbundenen Einrichtungen liegen in der Verantwortung des Cloud-Anbieters.

Ihre Verantwortlichkeiten

Ihre Verantwortlichkeiten im Modell der geteilten Verantwortung werden durch die von Ihnen ausgewählten Cloud-Services bestimmt. Zusammengenommen bestimmen diese Dienste den Umfang der Konfigurationsarbeiten, die Sie im Rahmen Ihrer Sicherheitsverantwortlichkeiten durchführen müssen. Sie sind für Aufgaben wie die Verwaltung Ihrer Daten, einschließlich Verschlüsselungsoptionen, die Klassifizierung Ihrer Assets und die Verwendung von Identitäts- und Zugriffsmanagement-Tools (IAM) zur Vergabe der entsprechenden Berechtigungen verantwortlich.

Geteilte Verantwortlichkeiten

Einige Kontrollen gelten sowohl für die Infrastruktur-Ebene des Anbieters als auch für die Kunden-Ebenen, jedoch in unterschiedlichen Kontexten oder Perspektiven. Bei geteilten Verantwortlichkeiten wendet der Cloud-Anbieter die Anforderungen für die Infrastruktur an, und der Kunde sorgt für die Implementierung von Kontrollen im Rahmen seiner Nutzung der Cloud-Services. Beispiele hierfür sind Konfigurationsmanagement, Sensibilisierung und Schulung.

Die Cloud-Infrastruktur bildet die Grundlage für alle Cloud-Services, weshalb ihre Sicherheit für alle Workloads in der Cloud von entscheidender Bedeutung ist.

Hier sind einige Gründe, warum die Sicherheit der Cloud-Infrastruktur für Unternehmen wichtig ist.

Verhindern Sie unbefugten Zugriff in Cloud-Umgebungen

Angreifer haben es aufgrund der enormen Volumina, die sie enthalten, auf Cloud-Umgebungen abgesehen. Fehlkonfigurationen, schwache Kontrollen oder zugrunde liegende Schwachstellen in der Cloud-Infrastruktur können Einstiegspunkte für unbefugte Dritte schaffen. Sicherheitsmaßnahmen für die Cloud-Infrastruktur sollten diese Einstiegspunkte identifizieren und kontrollieren, um die Daten Ihres Unternehmens zu schützen und die Vertraulichkeit der Daten zu gewährleisten.

Reduzierung von Störungen der Geschäftskontinuität

Bestimmte Cyber-Bedrohungen, wie z. B. Distributed Denial of Service (DDoS)-Ereignisse, zielen darauf ab, die Funktionsfähigkeit eines Unternehmens zu beeinträchtigen. Sicherheitsmaßnahmen für die Cloud-Infrastruktur, wie z. B. Netzwerksegmentierung, tragen dazu bei, interne und externe Bedrohungen proaktiv abzuwehren und die hohe Betriebszeit Ihrer Geschäftsabläufe aufrechtzuerhalten.

Vertrauen aufrechterhalten

Wenn ein Unternehmen von einem Cybersicherheits-Ereignis betroffen ist, insbesondere wenn dieses mit in der Cloud gespeicherten Kundendaten zusammenhängt, kann dies zu einem Reputationsschaden führen. Die Sicherheit der Cloud-Infrastruktur schützt die in der Cloud ausgeführten virtualisierten Dienste besser und trägt dazu bei, dass sensible Unternehmensdaten vertraulich bleiben.

Sicherheitslösungen für Cloud-Infrastrukturen sind in der Regel selbst cloudnativ.

Hier sind die wichtigsten Komponenten der Cloud-Infrastruktursicherheit.

Identity and Access Management

Unternehmen hosten sensible Daten und Informationen in der Cloud und stellen sicher, dass autorisierte Benutzer auf diese Cloud-Ressourcen zugreifen können. Das Identity and Access Management (IAM) legt fest, welche Benutzerrollen in der Lage sind, auf Daten zuzugreifen oder diese zu finden. Neben Berechtigungssystemen kann IAM die Eigentumsrechte an Cloud-Konten mit Multi-Faktor-Authentifizierung überprüfen und so dazu beitragen, unbefugte Benutzer fernzuhalten.

Protokollierung und Telemetrie

Protokollierung und Telemetriedienste dienen dazu, bestimmte Aktionen und Ereignisse in einem Cloud-System zu dokumentieren. Durch die sorgfältige Protokollierung von Ereignissen, bei denen auf Informationen zugegriffen wird, sowie von Cybersicherheitsmaßnahmen erhalten Unternehmen einen besseren Einblick in ihre Cloud-Infrastruktur. Die von kritischen Systemen ausgegebene operative Telemetrie kann eine Informationsspur erstellen, die häufig bei Audits verwendet wird.

Analytik

Analytiklösungen können operative Telemetrie und vorhandene Protokolldaten verwenden, um Inkonsistenzen, Anomalien oder unerwartete Ereignisse zu ermitteln, die einer weiteren Untersuchung bedürfen. Analytik-Systeme wie Security Information and Event Management (SIEM) aggregieren Datenpunkte, um potenzielle Sicherheitsereignisse zu melden und zu verfolgen, und um sicherzustellen, dass die Sicherheitsüberwachungssysteme der Cloud-Infrastruktur wie erwartet funktionieren.

Netzwerk- und Gerätesicherheit

Mitarbeiter greifen von einer Vielzahl von Standorten und Geräten aus auf Ihre Cloud-Umgebung und die darin gespeicherten Cloud-Ressourcen zu. Um diese weitläufige Oberfläche gegen potenzielle Bedrohungen zu schützen, können Sie eine Reihe von Lösungen bereitstellen. Zu diesen Lösungen gehören Netzwerk- und Gerätesicherheit zur Kontrolle des ein- und ausgehenden Datenverkehrs, das Herausfiltern bösartigen Datenverkehrs und die Isolierung von Workloads, um sicherzustellen, dass Netzwerke unterteilt sind.

Datenverschlüsselung

Datensicherheit ist der allgemeine Prozess, mit dem sichergestellt wird, dass alle Daten, sowohl während der Übertragung als auch im Ruhezustand, vor unbefugtem Zugriff geschützt sind. Die Sicherheit der Cloud-Infrastruktur kann Datenklassifizierungsrichtlinien verwenden, um Daten basierend auf ihrer Sensibilität zu kennzeichnen und verschiedene Sicherheitsmaßnahmen zum Schutz der Daten anzuwenden. Sie können sowohl Daten im Ruhezustand als auch Daten während der Übertragung verschlüsseln, um sicherzustellen, dass nur autorisierte Personen auf sensible Daten zugreifen können. Zur Datensicherheit gehört auch die Entwicklung und Umsetzung von Strategien zum Schutz vor Datenverlust, um die Informationssicherheit zu verbessern.

Im Folgenden finden Sie einige bewährte Verfahren zur Verbesserung Ihrer Cloud-Sicherheitsstrategie und zum Schutz Ihrer zugrunde liegenden Cloud Computing-Infrastruktur.

Netzwerkschichten erstellen

Das Erstellen von Netzwerkschichten umfasst die Organisation Ihrer Workload-Komponenten in logische Gruppen basierend auf ihrer Funktion und Sensibilität, z. B. internetfähige Webserver oder Backend-Datenbanken. Indem Sie diese Komponenten in separate Subnetze einordnen, tragen Sie dazu bei, klare Grenzen zu setzen und Gelegenheiten zu schaffen, um den Datenverkehr zwischen ihnen zu kontrollieren.

Dieser mehrschichtige Ansatz unterstützt eine tiefgreifende Verteidigungsstrategie, bei der jede Schicht als Sicherheitskontrollpunkt fungiert. Beispielsweise sollten nur Ressourcen in der äußersten Schicht dem Internet ausgesetzt sein, während sensiblere Systeme, wie Datenbanken, isoliert bleiben und nur über interne Netzwerke zu erreichen sind.

Virtuelle private Clouds und private Cloud-Infrastrukturen tragen dazu bei, logisch isolierte Netzwerke und Infrastrukturen in der Cloud zu schaffen. Die Erstellung konsistenter Sicherheitsrichtlinien, die Cloud-Netzwerke und deren Nutzung definieren, fördert eine sichere Cloud-Umgebung.

Kontrolle des Datenverkehrs

Die Kontrolle des Datenverkehrs kann die Segmentierung Ihrer Umgebung umfassen, um nur die notwendige Kommunikation zwischen Workloads, Benutzern und externen Systemen zuzulassen. Diese Datenverkehrskontrolle umfasst sowohl die Verwaltung des Datenverkehrs zwischen Ihrem Netzwerk und dem Internet (Nord-Süd-Datenverkehr) als auch zwischen Ihrem Netzwerk und dem Internet (Ost-West-Datenverkehr).

Ein häufiger Fehler besteht darin, sich ausschließlich auf Perimeter-Abwehrmaßnahmen zu verlassen oder innerhalb der Netzwerkschichten von Vertrauen auszugehen. Stattdessen empfehlen Best Practices einen Ansatz mit geringsten Berechtigungen, bei dem Sie darauf achten, auf Punkt-zu-Punkt-Basis zwischen Benutzern und Cloud-Asset, einschließlich Cloud-Servern, zuzugreifen. Die Kontrolle des eingehenden und ausgehenden Datenverkehrs auf diese Weise trägt dazu bei, die Auswirkungen von unbefugtem Zugriff zu begrenzen und die Erkennungs- und Reaktionszeiten bei Sicherheits-Ereignissen zu verbessern.

Implementierung eines inspektionsbasierten Schutzes

Die Implementierung eines inspektionsbasierten Schutzes bedeutet, den Datenverkehr zwischen den Netzwerkschichten auf granularer Ebene zu untersuchen. Beispielsweise werden der tatsächliche Inhalt, die Metadaten und das Verhalten der Daten während der Übertragung analysiert. Mit einem inspektionsbasierten Schutz können Sie Anomalien oder potenzielle unbefugte Zugriffe auf der Grundlage von Echtzeit-Bedrohungsinformationen erkennen. Sie können Regeln basierend auf dem Anwendungskontext, der Benutzeridentität oder bekannten Bedrohungen erstellen und bei sensiblen Workloads strengere Maßnahmen ergreifen.

Netzwerkschutz automatisieren

Die Automatisierung des Netzwerkschutzes mithilfe von DevOps-Praktiken wie Infrastructure as Code (IaC) und CI/CD-Pipelines unterstützt Unternehmen dabei, sicherere, konsistentere und wiederholbare Netzwerkkonfigurationen bereitzustellen. Im Ereignis einer Änderung initiieren automatisierte Pipelines Test- und Bereitstellung-Workflows. Änderungen werden zunächst zur Validierung in einer Staging-Umgebung bereitgestellt, wo Sie vor der Live-Schaltung testen können, ob sie wie vorgesehen funktionieren.

AWS Well-Architected Framework

Das AWS Well-Architected Framework bietet eine Reihe von Best Practices und Cloud-Sicherheitsdesignpraktiken zum Schutz von AWS Workloads. Der Sicherheitspfeiler dieses Frameworks bietet verbindliche Leitlinien dazu, wie Sie Ihre Systeme, Daten und Informationen mit starker, mehrschichtiger Cloud-Sicherheit und proaktiven Schutzmaßnahmen besser schützen können.

Durch regelmäßige Überprüfung der Well-Architected-Richtlinien können Unternehmen ihre Cloud-Sicherheit verbessern und sicherstellen, dass ihre Sicherheitsstrategien für die Cloud-Infrastruktur wirksam bleiben.

Cloud-Sicherheit hat bei AWS höchste Priorität, und das Design unserer globalen Infrastruktur unterstützt den kontinuierlichen Betrieb. Wir pflegen das Vertrauen unserer Kunden und Partner, indem wir die Tools und Services bereitstellen, die zum Schutz von Anwendungen, Daten und Workloads, die skalieren, erforderlich sind. Die AWS-Infrastruktur erstreckt sich über mehrere geografische Regionen und Availability Zones, die jeweils mit mehreren physischen und logischen Kontrollstufen ausgestattet sind. Diese Sicherheitsvorkehrungen basieren auf kontinuierlicher Bedrohungsmodellierung und strengen Tests während ihres gesamten Lebenszyklus.

AWS bietet eine Reihe von Cloud-Infrastruktursicherheitsdiensten, die Ihnen helfen, die Sicherheit Ihrer Unternehmensinfrastruktur in AWS zu gewährleisten.

• Amazon GuardDuty schützt Ihre AWS-Benutzerkonten, Workloads und Daten durch intelligente Bedrohungserkennung.
• AWS Identity and Access Management (IAM) verwaltet und skaliert den Zugriff auf Workloads und Mitarbeiter sicher und unterstützt so Ihre Agilität und Innovation in AWS.
• Amazon Inspector erkennt automatisch Workloads wie Amazon Elastic Compute Cloud (Amazon EC2)-Instanzen, Container-Images und AWS Lambda-Funktionen sowie Code-Repositorys und scannt sie auf Software-Schwachstellen und unbeabsichtigte Netzwerkexposition.
• Amazon Macie erkennt sensible Daten mithilfe von Machine Learning und Musterabgleich, bietet Einblick in Datensicherheitsrisiken und ermöglicht einen automatisierten Schutz vor diesen Risiken.
• AWS Security Hub priorisiert Ihre kritischen Sicherheitsprobleme und hilft Ihnen, auf skalierender Basis zu reagieren, um Ihre Umgebung zu schützen. Es erkennt kritische Probleme, indem es Signale korreliert und zu umsetzbaren Erkenntnissen anreichert, was eine optimierte Reaktion ermöglicht. AWS Security Hub umfasst Cloud Security Posture Management (CSPM), um Ihre aktuelle Sicherheitslage zu verstehen.

Beginnen Sie noch heute mit der Cloud-Infrastruktursicherheit in AWS, indem Sie ein kostenloses Konto erstellen.