Da die Cloud um mehr Anwendungen, Daten und Geschäftsprozesse erweitert wird, können Endbenutzer ihre Sicherheit auch an Anbieter auslagern.
Laut einer Branchenumfrage haben viele Unternehmen das Bedürfnis, die Sicherheit zu kontrollieren und nicht die letzte Verantwortung an Cloud-Anbieter zu übergeben. Die Cloud Security Alliance, die eine Umfrage unter 241 Branchenexperten veröffentlichte, identifizierte 11 Cloud-Sicherheitsprobleme.
Die Autoren der Umfrage stellen fest, dass viele der dringendsten Probleme in diesem Jahr darin bestehen, die Sicherheitslast auf die Endbenutzer der Unternehmen und nicht auf die Dienstanbieter zu verlagern. “Wir haben einen Rückgang im Ranking traditioneller Cloud-Sicherheitsprobleme beobachtet, die in die Verantwortung von Cloud-Service-Providern fallen. Probleme wie Denial-of-Service, Sicherheitslücken in gemeinsam genutzter Technologie, Datenverlust und Systemschwachstellen von Cloud-Anbietern, die alle in der vorherigen behandelt wurden Bericht ‘Treacher 12’, wurden kategorisiert als Diese Auslassungen weisen darauf hin, dass traditionelle Sicherheitsprobleme, die beim Cloud-Service-Anbieter liegen, weniger Anlass zur Sorge zu geben scheinen.Stattdessen stellen wir fest, dass es einen größeren Bedarf gibt, Sicherheitsprobleme anzugehen, die in den höheren Rang eingeordnet sind Technologiekonzern, der das Ergebnis von Entscheidungen des Managements ist.
Diese Ergebnisse decken sich mit einer anderen kürzlich von Forbes Insights und VMware durchgeführten Umfrage, die ergab, dass proaktive Unternehmen der Versuchung widerstehen, Sicherheit an Cloud-Service-Provider auszulagern – nur 31 % der Führungskräfte gaben an, dass sie viele Sicherheitsmaßnahmen an Cloud-Provider auslagern. Allerdings nutzen 94 % von ihnen Cloud-Dienste für bestimmte Sicherheitsaspekte.
Hauptinteressen im Jahr 2022
Der neueste Bericht der Cloud Security Alliance hebt die wichtigsten Bedenken dieses Jahres hervor:
- Datenschutzverletzungen. Die Autoren des Berichts stellen fest, dass „Daten zum Hauptziel von Cyberangriffen geworden sind“. “Die Bestimmung des kommerziellen Werts von Daten und der Auswirkungen ihres Verlusts ist von entscheidender Bedeutung für Organisationen, die die Daten besitzen oder verarbeiten. Darüber hinaus “entwickelt sich der Datenschutz hin zu der Frage, wer darauf zugreifen kann”, fügen sie hinzu helfen beim Schutz von Daten, wirken sich jedoch negativ auf die Systemleistung aus und machen Anwendungen weniger benutzerfreundlich. »
- Schlechte Konfiguration und unzureichende Änderungskontrolle. “Cloud-basierte Ressourcen sind sehr komplex und dynamisch, was ihre Konfiguration erschwert. Herkömmliche Kontrollen und Change-Management-Methoden sind in der Cloud nicht effektiv. Den Autoren zufolge “müssen Unternehmen die Automatisierung annehmen und Technologien einsetzen, die ständig falsch konfigurierte Ressourcen analysieren und Probleme in Echtzeit angehen.“ “.
- Fehlende Cloud-Sicherheitsarchitektur und -strategie. Stellen Sie sicher, dass die Sicherheitsarchitektur mit den Geschäftszielen und -vorgaben übereinstimmt. Entwickeln und implementieren Sie ein Sicherheitsarchitektur-Framework. »
- Unzureichende Verwaltung von Identitäten, Anmeldeinformationen, Zugriff und Schlüsseln. “Sichere Konten, einschließlich Zwei-Faktor-Authentifizierung und eingeschränkter Nutzung von Root-Konten. Führen Sie strengere Identitäts- und Zugriffskontrollen für Benutzer und Cloud-Identitäten durch.”
- Kontodiebstahl. Dies ist eine ernst zu nehmende Bedrohung. Tiefenverteidigung und IAM-Kontrollen [Identity and Access Management, NDLR] Unverzichtbar, um Kontoübernahmen zu verhindern. »
- innere Bedrohung. Maßnahmen zur Verringerung der Nachlässigkeit von innen können dazu beitragen, die Folgen von Insider-Bedrohungen zu mindern.Schulen Sie Ihre Sicherheitsteams, damit sie Computersysteme, Netzwerke, Mobilgeräte und Backup-Geräte ordnungsgemäß installieren, konfigurieren und überwachen können.Die Autoren empfehlen außerdem „regelmäßige Schulungen Mitarbeiter über Ausbildung“ . Bieten Sie Ihren Mitarbeitern Schulungen an, um sie im Umgang mit Sicherheitsrisiken wie Phishing zu schulen und Unternehmensdaten zu schützen, die sie auf ihren Laptops und Mobilgeräten außerhalb des Unternehmens mit sich führen.“
- Ungesicherte APIs und Schnittstellen. Praktizieren Sie eine gute API-Hygiene. Zu den bewährten Methoden gehören die ernsthafte Überwachung von Dingen wie Inventarisierung, Tests, Audits und Schutzmaßnahmen gegen anormale Aktivitäten. Darüber hinaus „erwägen Sie die Verwendung von standardmäßigen und offenen API-Frameworks (z. B. Open Cloud Computing Interface (OCCI) und Cloud Infrastructure Management Interface (CIMI)”.
- Schwache Kontrollebene. „Der Cloud-Kunde muss seine Due Diligence durchführen und feststellen, ob der Cloud-Service, den er zu nutzen beabsichtigt, ein angemessenes Maß an Kontrolle hat.“
- Infrastruktur- und Anwendungsfehler. Anbieter von Cloud-Diensten müssen Sichtbarkeit und Offenlegung bieten, um dem inhärenten Mangel an Transparenz in der Cloud für Mieter entgegenzuwirken. Alle Verkäufer müssen Penetrationstests durchführen und den Kunden Ergebnisse zur Verfügung stellen. »
- Eingeschränkte Sichtbarkeit der Cloud-Nutzung. Die Minderung von Risiken beginnt mit der Entwicklung einer End-to-End-Cloud-Vision. Setzen Sie unternehmensweite Schulungen zu akzeptablen Cloud-Nutzungsrichtlinien durch und setzen Sie sie durch. Alle nicht zertifizierten Cloud-Dienste müssen von einem Cloud-Sicherheitstechniker oder Risikomanager eines Drittanbieters überprüft und genehmigt werden. »
- Missbrauch und Missbrauch von Cloud-Diensten. „Unternehmen müssen ihre Mitarbeiter in der Cloud überwachen, da herkömmliche Mechanismen die Risiken, die durch die Nutzung von Cloud-Diensten entstehen, nicht mindern können.“
Quelle: ZDNet.com