Im Januar 2022 übernahm der französische Präsident Emmanuel Macron die Präsidentschaft der Europäischen Union. Daher wird Frankreich während der Amtszeit damit beginnen, verschiedene Themen zur Sprache zu bringen und aufzugreifen; Dazu gehören IT-Sicherheit und digitale Souveränität im Allgemeinen.
Unter den Auswirkungen der Pandemie mussten Unternehmen ihre Anpassung an die digitale Technologie beschleunigen, sich dem Fernzugriff zuwenden und sich zunehmend der Cloud zuwenden. Letzteres ermöglicht es, unsere Anwendungen und Daten auf Remote-Servern zu speichern, was die Remote-Arbeit erleichtert, aber den Umfang der Schwachstellen erhöht. Ein Bericht von Orange Cyberdefense weist darauf hin, dass dieses Phänomen Cyberkriminellen nicht entgangen ist: Laut diesem Bericht stieg die Zahl der Cyberangriffe im Jahr 2021 um 13 %. Sie ist noch nicht vorbei. Daher ist klar, dass die Cloud-Sicherheit zu einem wichtigen Thema in einem Kontext wird, in dem die digitale Souveränität zunehmend durch die Schwachstellen unserer Informationssysteme, aber auch durch die Wahl der Lösungen und ihrer Anbieter in Frage gestellt wird.
Wie bringt man Cloud- und Cybersicherheit in Einklang?
Zunächst einmal ist es wichtig, ein dediziertes Sicherheitsaudit durchzuführen. Wir können die Verwendung von Standards wie den CIS-Standards (Center for Internet Security) empfehlen. Es umfasst insbesondere die CIS Critical Security Controls, die aus 18 Kernkontrollen bestehen, die implementiert werden müssen oder je nach Kontext; Das Grundlagen der CIS-Standards Deckt mehr als 25 Produktfamilien ab, darunter Cloud-Service-Anbieter. Diese Standards enthalten eine Liste von Kontrollen und Best Practices für deren Umsetzung.
Gurke Cloud-Anbieter
Am Anfang der Cloud-Projektreflexion steht die Auswahl der Ressource. Aber es mit voller Kenntnis der Gesetzgebung, der es unterliegt, gut auszuwählen, ist heute nicht einfach. Es ist wichtig, den Ort der Datenspeicherung zu berücksichtigen, um ihre Vertraulichkeit zu gewährleisten, die eine der Säulen der Cybersicherheit ist.
Zunächst einmal kann die Gesetzgebung von einem Land oder Kontinent zum anderen unterschiedlich sein. In Frankreich und Europa unterliegen Lieferanten Vorschriften wie der Datenschutz-Grundverordnung (DSGVO). Für die USA gibt es ein unwichtiges Bundesgesetz namens Cloud Act, das der US-Regierung den Zugriff auf alle auf US-Boden gehosteten Daten ermöglicht.
Darüber hinaus sind einige Anbieter in Frankreich wie OVH als SecNumCloud (Anssi-Zertifizierung) eingestuft, was die Einhaltung der Anforderungen sowie ein gewisses Maß an Sicherheit und Souveränität garantiert. Auf europäischer Ebene plant die EU zudem eine Neuzertifizierung nach der NIS-Richtlinie (Network and Information System Security) mit dem Ziel, Regelungen zur Cloud, ihrer Souveränität und Sicherheit zu schaffen.
Das Unternehmen kann auch mehrere Cloud-Dienstleister auswählen; Dies wird als Multicloud bezeichnet. Dieser Ansatz ist aus verschiedenen Gründen interessant, insbesondere im Hinblick auf die Sicherheit: Vermeidung einer übermäßigen Abhängigkeit von Ihrem Cloud-Anbieter, Erhöhung der Sicherheit Ihrer Daten durch Speicherung bei verschiedenen Anbietern (insbesondere im Rahmen des Krisenmanagements mit Wiederherstellung und Geschäftskontinuität), Reduzieren Sie das Risiko von Serviceausfällen und profitieren Sie am Ende von den besten Services aller Anbieter.
Wählen Sie den Wolkentyp aus
Bei der Auswahl einer Strategie Gehen Sie in die WolkeSie müssen sich auch fragen, welche Art von Veröffentlichung Sie machen möchten. Heutzutage gibt es verschiedene Modelle für die Cloud-Bereitstellung, die öffentlich, privat, hybrid sein oder sich wiederum für einen Multi-Cloud-Ansatz entscheiden können.
Beispielsweise könnte die Entscheidung für eine Hybrid Cloud, die eine Private und Public Cloud kombiniert, es ermöglichen, einen Teil seiner Anwendungen und Daten in einer gemeinsamen Cloud mit anderen Unternehmen (Public Cloud) zu speichern und auch deren sensible Anwendungen und Daten auf einer zu speichern dedizierte Cloud des Unternehmens (Private Cloud).
Der Vorteil einer Hybrid Cloud besteht darin, die reduzierten Kosten der Public Cloud zu nutzen und gleichzeitig ein hohes Maß an Sicherheit für die sensibelsten Daten in der Private Cloud aufrechtzuerhalten.
Werkzeuge zum Sichern
In der Cloud sollen die Sicherheit und ihre Verantwortung zwischen dem Anbieter und dem Kundenunternehmen geteilt werden. Ersterer ist für die Verwaltung der Infrastruktur (Speicher, Computer oder Netzwerkdienste) verantwortlich, während das Kundenunternehmen für die Verwaltung der Sicherheit von allem vor dem Administrator (Gast-Exploit-Systeme, Benutzer, Anwendungen und Daten) verantwortlich ist.
Daher ist die Verwaltung der Zugriffsrechte auf Apps und Daten unerlässlich, um deren Sicherheit zu gewährleisten. Dafür gibt es Tools und Verfahren zur Verwaltung von Identitäten und Zugriffen in der Cloud (CIEM, Verwaltung von Cloud-Infrastrukturberechtigungen).
Identitäts- und Zugriffsverwaltungstools für traditionelle Architekturen (IAM, Identitäts- und Zugriffsverwaltung) sind im Allgemeinen nicht gut geeignet, um eine hochdynamische Cloud-Infrastruktur zu schützen.
im CSPM-Ansatz (Cloud-Sicherheitsmodus verwalten) können wir auch Tools zur Überwachung von Ressourcen und Schwachstellen auswählen, die es CISOs und ihren Teams ermöglichen, auf fehlerhafte Konfigurationen und ausnutzbare Schwachstellen aufmerksam gemacht zu werden.
Für Entwickler gibt es immer mehr Tools: SAST-Tools, die eine Analyse des Quellcodes ermöglichen, um Schwachstellen vor der Bereitstellung zu erkennen. Andere Lösungen verwalten Kennwörter, Token oder Verschlüsselungsschlüssel für Geheimnisse in der Cloud.
Darüber hinaus sollte auch die Auswahl der Entwicklungsbibliotheken genau untersucht werden. Dort werden sich einige Unternehmen dafür entscheiden, Lösungen zu verwenden, um die Kontrolle darüber zu behalten, welche Bibliotheken für Entwickler verfügbar oder nicht verfügbar sind.
Schließlich muss bei der Einrichtung ihrer Überwachungs- und Verwaltungsinstrumente auch darauf geachtet werden, diese zu sichern. Hacker lieben seine Tools, weil sie direkten Zugriff auf Infrastrukturkonfigurationen bieten.
Die Bedeutung von DevSecOps
Cloud fördert innerhalb von Entwicklungs- und technischen Betriebsteams den Übergang zu einem DevOps-Ansatz. Wie jede Innovation bringt auch DevOps neue Risiken mit sich; Der Fall SolarWinds ist ein gutes Beispiel dafür und zeigt, wie wichtig es ist, Sicherheitskonzepte in diesen Ansatz einzubeziehen. Dann sprechen wir über DevSecOps.
Das DevSecOps Es ist also ein Ansatz, der wichtig ist, um zu demokratisieren; Zielt darauf ab, Sicherheit durch Tools und Prozessverbesserungen in die CI/CD-Pipeline (Continuous Integration and Deployment) zu integrieren, Integration der Konzepte von Sicherheit und MenschlichUnd Durch Kontaktaufnahme mit Entwicklerteams oder Einbeziehung von „Sicherheitschampion“-Rollen.
Zusammenfassend lässt sich sagen, dass Cybersicherheit in einem hoch angespannten internationalen Kontext, insbesondere mit dem russisch-ukrainischen Konflikt, mehr denn je im Mittelpunkt steht. Fragen der digitalen Souveränität und Datensicherheit in der Cloud müssen unbedingt berücksichtigt werden.
Um die Datensicherheit und -verfügbarkeit in der Cloud zu gewährleisten, gilt es, bei der „Go To Cloud“-Strategie viele Parameter wie den Standort von Rechenzentren, geltende Gesetze, Anbieterauswahl und Cloud-Typ zu berücksichtigen. Der Einsatz von Cloud-Sicherheitstools und -Frameworks sowie die Umsetzung eines DevSecOps-Ansatzes je nach Kontext sind wichtige Faktoren, die integriert werden müssen Umfassende Cloud-Sicherheitsstrategie.