Das Cloud Risk Management(CRM) dient der Verwaltung und Priorisierung von Risiken sowie dem Ergreifen von Maßnahmen in umfangreichen, modernen Multi-Cloud-Umgebungen. Entscheidend für die Priorisierung ist dabei der Kontext, also ein Verständnis der potenziellen Auswirkungen eines bestimmten Risikos und der Wahrscheinlichkeit seiner Ausnutzung.
CRM kann wie der Cloud-Betrieb selbst ein schwer zu greifendes und schwer zu verstehendes Konzept sein. Grundsätzlich sollten Sie jedoch mit einer einzigen CRM-Lösung nicht nur Ihre gesamten On-Premise-Anwendungen, sondern auch hochgradig kurzlebige, Cloud-native Anwendungen sichern können. Diese Lösung zu finden ist nicht einfach, aber angesichts der risikoreichen Arbeitsabläufe und Umgebungen von heute ist der Bedarf dafür groß.
Bei einer kürzlich durchgeführten Umfrage glaubte über die Hälfte der Befragten, dass die Risiken beim Cloud-Betrieb höher als beim On-Premise-Betrieb sind. Daher lässt sich der große Bedarf an CRM leicht nachvollziehen. Dabei kristallisierten sich fünf Hauptrisikobereiche heraus: Laufzeit, Identitätsverwaltung, das Potenzial für Fehlkonfigurationen, nicht behobene Schwachstellen und Audits.
In jedem dieser Bereiche finden sich Mitarbeiter und Systeme, die eng miteinander zusammenarbeiten müssen, um produktiv zu bleiben – und das oft in einem hohen Tempo. Eine einzige Fehlkommunikation oder -konfiguration kann zu Risiken führen, die Analysten oder Entwickler möglicherweise nicht einmal bemerken, bevor es zu spät ist. Ja, die Verwaltung von Risiken in der Cloud ist eine sehr komplexe Angelegenheit, aber es gibt Frameworks, mit denen SOC-Teams (Security Operations Center) die Risiken untersuchen, beseitigen und reduzieren können.
Zuerst müssen Sie bestimmen, wer für die Sicherheit und das Risikomanagement in der Cloud verantwortlich ist: Sie oder Ihr Cloud-Service-Provider (CSP)? Das Modell der geteilten Verantwortung (Shared Responsibility Model, SRM) sieht vor, dass CSPs in der Regel für das Risikomanagement der zugrunde liegenden Cloud-Infrastruktur verantwortlich sind, auf der Ihre Geschäftsabläufe ausgeführt werden.
Interne Sicherheitsteams sind in der Regel für die Sicherheit dieser Abläufe in der Cloud verantwortlich, sie müssen also sicherstellen, dass ihre eigenen Daten – und die Daten ihrer Kunden – angemessen geschützt sind. Nachdem ein Team seine Verantwortlichkeiten bestimmt hat und genau weiß, was es unter die Lupe nehmen muss, gilt es zu bedenken, dass die Bewertung in Echtzeit erfolgen muss.
Es ist wichtig, dass Sie sich für einen CSP entscheiden, der nicht nur seinen Teil des SRM einhält, sondern auch über mehrjährige Erfahrung, solide Standards in Bezug auf Regulierung und Compliance, eine konstante Performance über einen längeren Zeitraum verfügt und dessen Services/Architekturen eng auf Ihre Bedürfnisse abgestimmt sind. Außerdem muss ein Sicherheitsteam sicherstellen, dass sich seine Scan-Tools in den Workflow integrieren lassen, den Sie auf der CSP-Plattform definieren.
Die Cloud ist schnelllebig, und Risiken werden in der Regel innerhalb von zwei Minuten nach der ersten Gefährdung ausgenutzt. Deshalb sollten Sie jederzeit in der Lage sein, in Echtzeit Einsicht in Ihre Umgebung zu nehmen, statt auf einen geplanten Scan warten zu müssen.
Sie sollten regelmäßig Risikoanalysen anhand der im vorherigen Abschnitt beschriebenen Schritte durchführen. Die aus den ersten beiden Schritten gewonnenen Daten unterliegen jedoch immer noch der durch den Umfang, die Geschwindigkeit und die Komplexität von Cloud-Umgebungen bedingten Realität, in der die schiere Menge an Risikosignalen und -warnungen bedeutet, dass Sie unmöglich alles auf einmal angehen können.
Deshalb müssen unbedingt diejenigen Risikosignale priorisiert werden, die das größte Risiko für das Unternehmen darstellen und am wahrscheinlichsten ausgenutzt werden können. Dies muss in Echtzeit und unter Einbeziehung des gesamten Kontexts geschehen, da das Risikosignal allein nicht ausreichend Details für Maßnahmen liefern kann.
Erweitern Sie den Erfassungsbereich auf die Laufzeit und überwachen Sie anormale Aktivitäten auf der Grundlage einer festgelegten Basislinie, wie "normal" aussieht.Indem Sie anormales Verhalten – und damit potenzielle Bedrohungen – bereits während der Laufzeit erkennen, können Sie Verhaltensweisen über mehrere protokollierte Aktivitäten hinweg korrelieren. Entscheiden Sie sich daher für eine Lösung, die Bedrohungserkennungen während der Laufzeit konsolidieren und Kontext liefern kann, indem sie die Ergebnisse der betroffenen Cloud-Ressource zuordnet.
Befunde und Zusammenhänge bedeuten jedoch nichts, wenn keiner auf Anomalien aufmerksam gemacht wird. Deshalb sollten Benachrichtigungen und Alarme so kalibriert werden, dass sie an bestimmte Personen gerichtet werden, die das Problem am schnellsten beheben können.
Daten sind in jedem Zustand sensibel, daher ist es wichtig, Risikomanagement-Tools so früh wie möglich im Entwicklungsprozess zu implementieren. Dies kann dazu beitragen, Reibungsverluste zwischen Teams zu vermeiden, aber auch Daten während wichtiger Build- und Laufzeitprozesse kontinuierlich zu schützen. Daten sollten im Ruhezustand standardmäßig immer verschlüsselt werden.
Damit die Daten jederzeit geschützt sind, empfiehlt es sich, auch ein Protokoll für den Zugriff nach dem Least-Privilege-Prinzip (LPA) einzurichten. So lässt sich festlegen, wie viel Zugriff eine Person oder eine Maschine für ihre Arbeit mindestens benötigt, während die Daten gleichzeitig während ihres gesamten Lebenszyklus geschützt werden.
Ein schwerwiegender Sicherheitsvorfall in der Cloud bedeutet, dass das Unternehmen nicht wie gewohnt weiterarbeiten kann. Der Geschäftsbetrieb kann und sollte aber auf jeden Fall im Rahmen des Möglichen fortgesetzt werden. Deshalb ist es wichtig, für einen derartigen Vorfall einen Plan für die Geschäftskontinuität zur Hand zu haben. Dieser Plan kann unter anderem folgende Schlüsselkomponenten beinhalten:
2022 Cloud Misconfigurations Report: Neueste Cloud Security-Verstöße und Angriffstrends
Erfahren Sie mehr über die Cloud-Risikomanagementlösung von Rapid7