IaaS – Umgang mit Ihren Verantwortlichkeiten (4)

IaaS – Umgang mit Ihren Verantwortlichkeiten (4)

09/2019

 

Anleitung zur sicheren Konfiguration, Bereitstellung und Nutzung von Cloud Services (Cloud-Sicherheit)

 

IaaS – Die Benutzer sind verantwortlich

Wie der Name schon sagt, bietet Infrastructure as a Service (IaaS) nur eine Sache: Infrastruktur. Die Plattform und die Anwendungen, die auf der Service-Architektur aufbauen, liegen in der Regel in der Verantwortung von Ihnen, dem Servicebenutzer.

 

Neben der Verantwortung für die Planung und den Bau dieser Systeme ist es notwendig, sicherzustellen, dass sie angemessen geschützt sind. Und wieder einmal obliegt diese Pflicht Ihnen, dem Servicenutzer.
In der Praxis bedeutet dies, die von Ihnen bereitgestellte Infrastruktur und alles, was Sie darauf aufbauen, sicher zu konfigurieren.

 

Fragen und Antworten
Diese Situation wirft einige Fragen auf: Was muss ich sichern? Wie sicher müssen die Dinge sein? Wie kann ich sicher sein, dass die von mir eingeführten Massnahmen funktionieren? Die folgenden Hinweise helfen Ihnen, Antworten auf diese und viele andere Fragen im Zusammenhang mit der Sicherheit Ihrer IaaS-Systeme zu finden.

 

Eine vertraute Methodik
Die Anleitung folgt einem vertrauten Muster und greift jedes der Cloud-Sicherheitsprinzipien nacheinander auf. Ziel ist es, Sie mit den notwendigen Informationen auszustatten, um fundierte Entscheidungen über die Sicherheit Ihrer Anwendungen und Daten in einem IaaS-Szenario zu treffen.

 

Die 13 IaaS-Grundsätze:

  1. Daten im Transportschutz
  2. Werteschutz und Widerstandsfähigkeit
  3. Trennung zwischen den Verbrauchern
  4. Governance-Rahmenwerk
  5. Betriebssicherheit
  6. Personalsicherheit
  7. Sichere Entwicklung
  8. Lieferkettensicherheit
  9. Sichere Benutzerverwaltung
  10. Identität und Authentifizierung
  11. Externer Schnittstellenschutz
  12. Sichere Dienstverwaltung
  13. Bereitstellung von Audit-Informationen für Benutzer

 

1. Daten im Transportschutz

Datenübertragungsnetze sollten durch eine Kombination aus Netzwerkschutz und Verschlüsselung angemessen vor Manipulationen und Lauschangriffen geschützt werden.

 Empfehlungen Schutz von Datenübertragungsnetze vor Manipulationen und Lauschangriffen

 

2. Werteschutz und Widerstandsfähigkeit

Ihre Daten und die Werte, die sie speichern oder verarbeiten, sollten vor physischer Manipulation, Verlust, Beschädigung oder Beschlagnahme geschützt werden.

 

Empfehlungen zu Werteschutz und Widerstandsfähigkeit bei Cloud Services 

 

3. Trennung der Verbraucher

Es sollte eine Trennung zwischen den Dienstnutzern bestehen, um zu verhindern, dass ein bösartiger oder kompromittierter Benutzer den Dienst oder die Daten eines anderen beeinträchtigt.

 Empfehlungen über Trennung der Verbraucher bei Cloud Services

 

4. Governance-Rahmenwerk

Der Dienstleister sollte über ein Security Governance-Rahmenwerk für die Sicherheitspolitik verfügen, das sein Management des Dienstes und der darin enthaltenen Informationen koordiniert und steuert.

 

Empfehlungen über Security Governance Rahmenwerk und Sicherheitspolitik  

 

5. Betriebssicherheit

Der Dienstanbieter sollte über Prozesse und Verfahren verfügen, um die Betriebssicherheit des zugrunde liegenden IaaS-Dienstes zu gewährleisten. Sie sind jedoch für einen Grossteil der Betriebssicherheit Ihrer Anwendungen verantwortlich.

 

Die Art und Weise, wie Sie damit umgehen, kann sich von der traditionell bereitgestellten IT unterscheiden, aber die Risiken und Aktivitäten bleiben sehr ähnlich.

 

Empfehlungen und Tipps zu Betriebssicherheit bei Cloud Services 

 

6. Personalsicherheit

Das Personal des Diensteanbieters sollte einer Sicherheitsüberprüfung und einer seiner Rolle entsprechenden Schulung unterzogen werden.

Empfehlungen und Risikomanagement zu Sicherheitsüberprüfung und Schulung des Anbieters eines Cloud Services 

 

7. Sichere Entwicklung

Dienste sollten so konzipiert und entwickelt werden, dass sie Bedrohungen für ihre Sicherheit erkennen und mindern.

Empfehlungen über Sichere Entwicklung des Cloud Services 

 

8. Lieferkettensicherheit

Der Dienstleister sollte sicherstellen, dass seine Lieferkette alle Sicherheitsprinzipien unterstützt, die der Dienst zu erfüllen vorgibt.

 Empfehlungen zu Lieferkettensicherheit beim Cloud Services (Cloud Security)

 

9. Sichere Benutzerverwaltung

Die Benutzer sollten mit den erforderlichen Tools ausgestattet werden, die ihnen helfen, ihren Dienst sicher zu verwalten.

Empfehlungen zu Sichere Benutzerverwaltung in Cloud Services 

 

10. Identität und Authentifizierung

Der Zugang zu allen Serviceschnittstellen (für Benutzer und Anbieter) sollte auf authentifizierte und autorisierte Personen beschränkt werden.

Hinweise und Empfehlungen zu Identität und Authentifizierung bei Cloud Services 

 

11. Externer Schnittstellenschutz

Alle externen oder weniger vertrauenswürdigen Schnittstellen des Dienstes sollten identifiziert und geschützt werden.

Empfehlungen und Hinweise zu Externer Schnittstellenschutz bei Cloud Security Services 

 

Sichere Verbindung mit dem Cloud-Service
Möglicherweise müssen Sie Änderungen an Netzwerken oder Endgeräten vornehmen, um den Dienst sicher nutzen zu können. Es ist wichtig, die mit Änderungen verbundenen Risiken zu verstehen und zu managen. Die folgende Tabelle beschreibt die Risiken, die mit verschiedenen implementierbaren Ansätzen verbunden sind.

Empfehlungen zu Sichere Verbindung mit dem Cloud-Service 

 

12. Sichere Dienstverwaltung

Die Methoden, die von den Administratoren des IaaS- Anbieters zur Verwaltung des Betriebsdienstes verwendet werden, sollten so konzipiert sein, dass sie jedes Risiko der Ausnutzung minimieren.

Empfehlungen und Hinweise zu Sichere Dienstverwaltung bei Cloud Services (Cloud Security) 

 

13. Bereitstellung von Audit-Informationen für Benutzer

Sie sollten die Auditprotokolle erhalten, die für die Überwachung des Zugangs zu Ihrem Dienst und der darin gespeicherten Daten erforderlich sind.

 Hinweise und Empfehlungen zu Bereitstellung von Audit-Informationen von Cloud Services für Benutzer

 

www.ncsc.gov.uk

http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

17.11.2018

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
 
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung