Zum Inhalt springen
en
Von Patrick Fischer am 19.01.2022 IT Security

SICHERER DATENAUSTAUSCH MIT DER CLOUD

Daten und Applikationen eines Unternehmens, können in der Cloud erheblich sicherer gespeichert sein, als in dem Rechenzentrum des Unternehmens vor Ort. Gerade die 365*24 Überwachung der Systeme und schnelles Patchen der Betriebssysteme und Applikationen, wie aktuell bei der Log4Shell Schwachstelle, sind für mitteständische und kleine Unternehmen kaum leistbar oder der finanzielle Aufwand sprengt schnell das IT Budget.

Die meisten Unternehmen fragen sich jedoch, wie sichere ich die Verbindung von meinem Unternehmen, der Produktion, der besonders zu schützenden Daten, wie Personal oder Finanzinformationen auf dem Weg zwischen den Firmenstandorten und der Cloud? Wie ist ein remote arbeitender Mitarbeiter anzubinden?

Deshalb betrachten wir in diesem Beitrag genau diesen Weg - zwischen Firmenstandorten und der Cloud:

Ein Teil der Cloud Strategie die vor jeder Cloud Nutzung eines externen Cloud Anbieters stehen muss, sind die Netzwerkverbindungen in die Cloud. Die Unternehmen sind in der Vergangenheit mit MPLS Netzen oder Direktverbindungen gut ausgekommen. Durch die veränderte Struktur mit einer oder mehreren Cloudanbietern und die Möglichkeit das Internet als Übertragungsweg kostengünstig zu nutzen, werden die Möglichkeiten vielfältiger.

  • VPN-Verbindungen sind oft die Standard- Verfahren zur Anbindung an die Cloud Provider, insbesondere von Remote Offices und Homeworker. Hier ist auf eine 2-Faktor Authentifizierung und Verschlüsselung zu achten. Das Internet stellt jedoch keine Service Level zur Verfügung.
  • SD-WAN, als Kombination aller WAN-Technologien: Bei hohen Sicherheits- und Performanceanforderungen, ist die flexible Anpassung der Bandbreiten an Serviceanforderungen und Verfügbarkeitsbedürfnissen ein echter Vorteil. Die Auswahl an Verschlüsselungstechnologien und die zentrale Überwachung aller Parameter ist ein weiterer Vorteil dieser Möglichkeit. Die Schlüsselverwaltung kann im Unternehmen verbleiben, was zusätzlich die Sicherheit erhöht.
  • MPLS und Festverbindungen bieten oft eine hohe Verfügbarkeit und besten Schutz gegen DDoS Angriffe, da sie nicht über das Internet geführt werden. Eine Verschlüsselung kann oft ergänzend bei den Telekommunikationsanbietern erworben oder in den eigenen Lokationen zusätzlich implementiert werden. Insgesamt eine sichere, wenngleich recht teure Lösung, die an Flexibilität bei langen Laufzeiten und Bereitstellungszeiten von 6 Monaten zu wünschen übrig lässt.

KRITERIEN FÜR DIE AUSWAHL DER RICHTIGEN METHODE

Um wirklich sicher zu gehen steht über allem immer die Planung und Konzeption, sowie die Überprüfung der Implementation nach folgenden Kriterien:

  • Dokumentation und Verständnis der Cloud Provider Security Anforderungen: Sind alle Konfigurationen vom Cloud-Service-Kunden verwaltet und in die IT-Prozesse eingebunden?
  • Verständnis wie die Datenpakete über welche Nodes in und über die Cloud laufen?
  • Verständnis und Dokumentation des Traffics, der Bandbreiten sowie der Verschlüsselung: Wer kann sich mit was verbinden? User Devices? VPN? Direct Netzwerk Connections? Wer kann Konfigurationen im VPN ändern? Sind die Security Regeln klar beschrieben?
  • Überprüfung der virtuellen Firewalls des Cloud Service Provider auf VPN Regeln und Segmentierung nach Services.
  • Überprüfung des Genehmigungsprozesses des Internetzugangs für Mitarbeitende oder Systeme. Überprüfung, dass es nur einen Weg zur Erlangung des Internetaccesses gibt.
  • Überprüfung der DDoS Verteidigung-Strategie, an allen in Frage kommenden Ports. Darlegung der Verteidigungsstrategien des Cloud Service Providers gegen DDoS Attacken, sowie Aufzeigen der Redundanzen in den Anbindungen und Access Technologien.

Schnell wird klar, dass die Fragen an die eigene IT-Organisation und an einen Cloud Service Provider stark in die Tiefe gehen. Blindes Vertrauen kann den Totalverlust des Geschäfts über einen längeren Zeitraum bewirken, wie viele Kunden eines Cloud Anbieters in Frankreich nach dem Datacenter Brand festgestellt haben. Die SPIRIT/21 und ich stehen Ihnen gerne zur Verfügung, wenn Unterstützung in der Überprüfung von Cloud Anbindungskonzepten und Telekommunikationsdienstleistungen nach BSI Grundschutz oder ISO 27002 benötigt wird.

Patrick Fischer

Senior Consultant Netzwerk Security

Patrick ist in unserem Hause Ansprechpartner für Assessments im Bereich Grundschutz nach BSI und ISO 27001 sowie verantwortlich für Projekte im Bereich Netzwerk Security.

Patrick Fischer