Start Cloud Warum Cloud-Sicherheit ein Teil der Softwareentwicklung sein sollte

Warum Cloud-Sicherheit ein Teil der Softwareentwicklung sein sollte

75
0


Cloud-Sicherheit

Der Slogan „es gibt keine Wolke, es ist nur der Computer eines anderen“, begleitet von einem Bild einer besorgt aussehenden Wolke, macht seit einiger Zeit die Runde. Es ist zu einfach, aber es fasst das Misstrauen einiger Computerbenutzer gegenüber der Cloud-Technologie gut zusammen.

Die Schlussfolgerung ist, dass Leute, die der Cloud vertrauen und dem Hype glauben, irgendwie naiv sind. Die Erweiterung lautet: Wenn Sie Ihre Daten an jemand anderen weitergeben, wie können Sie dann sicher sein, dass sie sicher sind? Aus diesem Grund muss Cloud-Sicherheit Teil des Softwareentwicklungslebenszyklus sein.

Sicherheit: Das größte Problem bei der Cloud-Einführung

Sicherheitsbedenken sind zweifellos die größte Hürde für eine weit verbreitete Cloud-Einführung; Tatsächlich gaben enorme 90 Prozent der von Information Security im Jahr 2015 befragten Unternehmen an, dass Sicherheit der größte Faktor ist, der Unternehmen davon abhält, in die Cloud zu wechseln. Niemand wird 2016 einen Zauberstab schwenken und das verschwinden lassen. Je mehr Menschen Cloud-Dienste einsetzen, desto mehr hochkarätige Sicherheitsverletzungen werden wir sehen. Es geht um zwei Schritte vorwärts, einen Schritt zurück.

Cloud-Anbieter sind sich dieser Hürde bewusst. Die großen Cloud-Anbieter bieten dem Benutzer derzeit standardmäßig ein hohes Maß an Sicherheitskontrolle. Es stellt sich also die Frage, wer für die Gerätesteuerung zuständig ist? Jeder kann ein Konto bei Amazon kaufen und eine Cloud-Umgebung starten. Aber die große Frage ist: Verfügen Sie über genügend Fähigkeiten, um dies zu tun?

Warum ist Cloud-Sicherheit ein Problem?

Cloud-Sicherheit ist ein Problem, da Clients manchmal wichtige Patch-Verwaltung vergessen (aus den Augen, aus dem Sinn). Wir beobachten oft Situationen, in denen ein alter Server, der noch in der Cloud mit einer Tomcat- oder PHP-Version verfügbar ist, oder ein anderes Software-Framework oder Anwendungsserver, die Client-Daten gefährden könnten.

Im Jahr 2015 sahen wir eine Situation, in der sich ein Client in einer kompromittierten Cloud-Umgebung befand und der Hacker seine Cloud-Maschinen benutzte, um Bitcoins abzubauen. In einem anderen Fall hackte ein Typ ein Unternehmen, das über eine Infrastruktur in der Cloud verfügte, und erpresste das Unternehmen dann. Also schickte der Black Hat-Typ eine E-Mail an den Chief Security Officer dieser Firma. Der Sicherheitsbeamte war so verängstigt, dass er sich entschloss, mit dem Erpresser zusammenzuarbeiten, und sie zahlten Geld. Aber natürlich ist dies ein Risiko, denn es besteht immer die Möglichkeit, dass der Cyber-Terrorist eine Hintertür hinterlässt, um sich in Zukunft jederzeit mit dem Server zu verbinden und wieder zu erpressen.

Zwei Sicherheitsansätze: Reaktiv und Proaktiv

Der proaktive Ansatz bedeutet, Sicherheitskontrollen einzurichten, um das Auftreten von Situationen zu vermeiden. Wenn solche Situationen eintreten, müssen wir alles wieder zum Laufen bringen, was der reaktive Ansatz von Incident Forensics and Response ist.

Angesichts der bestehenden Sicherheitsbedrohungen (insbesondere unbefugter Zugriffe, Hijacking und böswillige Insider) und zahlreicher Sicherheitsverletzungen wird es immer wichtiger, das Bewusstsein der Mitarbeiter für die Cloud-Sicherheit zu schärfen, um den menschlichen Faktor bei Sicherheitsvorfällen zu verringern.

Kümmere dich um deine Cloud

Einer der besten Abhilfemaßnahmen ist die Einrichtung eines Security Information and Event Management oder eines Security Operation Centers. Hier haben Sie Personen, die sich der Überwachung Ihrer Cloud-Umgebung widmen und Angriffe auf Ihre Cloud-Infrastruktur registrieren und angemessen reagieren können, um einen Angreifer zu blockieren oder einen Angriff zu stoppen. Oder wenn ein Angreifer erfolgreich eindringt, um ihn zu verfolgen und den Angriff innerhalb des Perimeters zu stoppen. Größere Unternehmen werden On-Premise-Lösungen einrichten, kleineren Unternehmen wird jedoch empfohlen, Security-as-a-Service zu verwenden.

Wie vermeiden Sie diese Probleme von vornherein? Meine Empfehlung ist, der Sicherheit gebührenden Respekt zu zollen und sie eng in alle Phasen des Software Development Lifecycle (SDLC) zu integrieren, anstatt sie nachträglich durchzuführen, unabhängig davon, ob Sie Ihre Anwendungen intern entwickeln oder auslagern.

Nazar Tymoshyk, Leiter Sicherheitsberater, Forschung und Entwicklung bei SoftServe.

Veröffentlicht unter Lizenz von ITProPortal.com, einer Veröffentlichung von Net Communities Ltd. Alle Rechte vorbehalten.

Bildnachweis: Jirsak/Shutterstock



Vorheriger ArtikelLinux Mint 17.2 ‚Rafaela‘ KDE- und Xfce-Release-Kandidaten sind da
Nächster ArtikelApple stellt Sicherheitsexperten von PGP, Blackphone und Silent Circle wieder ein

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein