Cloud Security

Incident Response in der hybriden Cloud

| Autor / Redakteur: Hendrik Andreas Reese * / Florian Karlstetter

Monitoring und Detektion von Sicherheitsvorfällen in der Hybrid Cloud.
Monitoring und Detektion von Sicherheitsvorfällen in der Hybrid Cloud. (© jijomathai - Fotolia.com)

Die Abwehr gezielter, komplexer ausgeklügelter Angriffe ist schon on premise eine komplexe anspruchsvolle Aufgabe, selbst für Experten. Mit der fortschreitenden Migration in die Cloud, der zunehmenden Verbreitung von Multi-Cloud-Sourcing-Modellen und angesichts der Zunahme gezielter Cyber-Angriffe stellt sich die Frage: Ist die Bearbeitung von Sicherheitsvorfällen in der hybriden Datenwolke möglich?

Und wenn ja, wie kann sie konkret aussehen? Hendrik A. Reese, Experte für Cloud Security und -Strategie bei TÜV Rheinland über die realen Zugriffs- und Steuerungsmöglichkeiten für Incident Response in der hybriden Cloud.

Wer glaubt, mit der Nutzung von Cloud Services lagert er nicht nur Daten, sondern auch die Verantwortung für die Sicherheit dieser Daten an den Provider aus, der irrt bekanntermaßen. Unternehmen bleiben für die Absicherung ihrer Daten, Prozesse und Systeme verantwortlich, gleich, wo sich diese Daten befinden. Das bedeutet, sie stehen vor der Herausforderung des systematischen Erkennens und Bearbeiten von Sicherheitsvorfällen, also der Entwicklung einer wirksamen Incident Response-Strategie.

Die Gretchenfrage: Besteht die Möglichkeit, die Ereignisse in der Cloud-Infrastruktur aktiv selbst zu überwachen oder muss das Cloud-nutzende Unternehmen anderen wie dem Provider vertrauen, dies in seinem Sinne zu übernehmen?

Das Prinzip der verteilten Verantwortung

Angesichts unterschiedlicher Modelle der Cloud Services bzw. -Architekturen werden sich Unternehmen wie Provider stärker auf das Prinzip der „Shared Responsibility“ einstellen müssen. Cloud-nutzende Unternehmen müssen verstehen, welche Teile der Infrastruktur von ihnen selbst verantwortet werden. Damit verbunden: Welche Möglichkeiten gibt es innerhalb der eigenen Hoheit und welche alternativen Maßnahmen sind zu ergreifen? Das kann auch bedeuten, dass je nach Cloud Service bestimmte Absprachen oder Vereinbarungen zwischen dem Cloud-nutzenden Unternehmen und dem Provider erforderlich sind oder sich beide Seiten auf eine gemeinsame Strategie verständigen müssen.

Nicht zuletzt deshalb sollten sich IT-Verantwortliche der Zugriffs- und Gestaltungsmöglichkeiten der verschiedenen Arten von Cloud-Services bewusst sein und genau überlegen, welche Daten in welcher Cloud am besten aufgehoben sind und wo Incident-Response-Aktivitäten in komplett eigener Verantwortung erfolgen sollten – oder ob das Cloud-nutzende Unternehmen darin auf den Provider vertrauen will. Die Erkenntnis des faktischen Multi-Cloud-Sourcings in Unternehmen führt sogar dazu, dass Unternehmen eine ganze Bandbreite an Lösungsmöglichkeiten für die Incident Response in der Cloud beherrschen und implementieren müssen.

Idealtypischer Ablauf von Incident Response: erkennen, analysieren, qualifizieren, bekämpfen

Ein Unternehmen mit wirksamen Incident-Response-Strukturen sollte selbst neue Erkenntnisse sammeln und analysieren können und in Bezug auf immer schneller wechselnde Bedrohungsmuster zu einer lernenden Organisation werden. Dafür ist der Zugriff auf Know-how und Ressourcen erforderlich.

Sind die Incidents priorisiert, mit den verfügbaren Datenquellen korreliert und in Bezug auf ihre Kritikalität bewertet, ist zu prüfen, ob angrenzende Systeme betroffen sein können.

Schließlich sind alle betroffenen Sicherheitssysteme entsprechend anzupassen und Workarounds zu erarbeiten, damit die Organisation wieder den herkömmlichen Betriebszustand erreicht. Im Anschluss an Bekämpfung und Analyse der Infektion sind Schwachstellenanalyse der betroffenen Systeme sowie präventive Maßnahmen empfehlenswert, um vergleichbare Angriffsvektoren abzusichern. Incident Response ist entsprechend komplex.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43869510 / Allgemein)