Cloud Security in der Praxis -  Chris Dotson

Cloud Security in der Praxis (eBook)

Fachbuch-Bestseller
Leitfaden für sicheres Softwaredesign und Deployment

(Autor)

eBook Download: EPUB
2024 | 1. Auflage
233 Seiten
O'Reilly Verlag
978-3-96010-851-1 (ISBN)
Systemvoraussetzungen
39,90 inkl. MwSt
  • Download sofort lieferbar
  • Zahlungsarten anzeigen
Cloud-typische Sicherheitsthemen verständlich und praxisnah erklärt - Strategien und Lösungsansätze für alle gängigen Cloud-Plattformen, u.a. AWS, Azure und IBM Cloud - Deckt das breite Spektrum der Security-Themen ab - Gezieltes Einarbeiten durch den modularen Aufbau; mithilfe von Übungen können Sie Ihren Wissensstand überprüfen - Experten-Autor: IBM Distinguished Engineer mit zahlreichen Zertifizierungen und 25 Jahren BranchenerfahrungIn diesem Praxisbuch erfahren Sie alles Wichtige über bewährte Sicherheitsmethoden für die gängigen Multivendor-Cloud-Umgebungen - unabhängig davon, ob Ihr Unternehmen alte On-Premises-Projekte in die Cloud verlagern oder eine Infrastruktur von Grund auf neu aufbauen möchte. Entwicklerinnen, IT-Architekten und Sicherheitsexpertinnen lernen Cloud-spezifische Techniken zur sicheren Nutzung beliebter Plattformen wie Amazon Web Services, Microsoft Azure und IBM Cloud kennen. Sie erfahren, wie Sie Data Asset Management, Identity and Access Management (IAM), Vulnerability Management, Netzwerksicherheit und Incident Response effektiv in Ihrer Cloud-Umgebung umsetzen. - Informieren Sie sich über neueste Herausforderungen und Bedrohungen im Bereich der Cloud-Sicherheit - Managen Sie Cloud-Anbieter, die Daten speichern und verarbeiten oder administrative Kontrolle bereitstellen - Lernen Sie, wie Sie grundlegende Prinzipien und Konzepte wie Least Privilege und Defense in Depth in der Cloud anwenden - Verstehen Sie die entscheidende Rolle von IAM in der Cloud - Machen Sie sich mit bewährten Praktiken vertraut, um häufig auftretende Sicherheitszwischenfälle zu erkennen, zu bewältigen und den gewünschten Zustand wiederherzustellen - Erfahren Sie, wie Sie mit verschiedensten Sicherheitslücken, insbesondere solchen, die in Multi-Cloud- und Hybrid-Cloudarchitekturen auftreten, umgehen - Überwachen Sie PAM (Privileged Access Management) in Cloud-Umgebungen

Chris Dotson ist IBM Distinguished Engineer und leitender Sicherheitsarchitekt in der IBM CIO Organisation. Er verfügt über 11 professionelle Zertifizierungen, darunter die Open Group Distinguished IT Architect-Zertifizierung, und über 25 Jahre Erfahrung in der IT-Branche. Chris wurde bereits mehrfach auf der IBM-Homepage als Cloud-Innovator vorgestellt. Zu seinen Schwerpunkten gehören Cloud-Infrastruktur und -Sicherheit, Identitäts- und Zugriffsmanagement, Netzwerkinfrastruktur und -sicherheit und nicht zuletzt schlechte Wortspiele.

Chris Dotson ist IBM Distinguished Engineer und leitender Sicherheitsarchitekt in der IBM CIO Organisation. Er verfügt über 11 professionelle Zertifizierungen, darunter die Open Group Distinguished IT Architect-Zertifizierung, und über 25 Jahre Erfahrung in der IT-Branche. Chris wurde bereits mehrfach auf der IBM-Homepage als Cloud-Innovator vorgestellt. Zu seinen Schwerpunkten gehören Cloud-Infrastruktur und -Sicherheit, Identitäts- und Zugriffsmanagement, Netzwerkinfrastruktur und -sicherheit und nicht zuletzt schlechte Wortspiele.

KAPITEL 2


Schutz und Management von Data Assets


Nachdem Sie nun in Kapitel 1 Informationen dazu erhalten haben, wo die Verantwortung Ihres Cloud-Providers endet und wo Ihre beginnt, besteht Ihr erster Schritt beim Absichern Ihrer Cloud-Umgebung darin, herauszufinden, wo sich Ihre Daten befinden (werden) und wie Sie sie schützen können. Es herrscht oft Verwirrung bezüglich des Begriffs »Asset Management«. Was sind genau unsere Assets, und was müssen wir tun, um sie zu managen? Die offensichtliche (und nicht hilfreiche) Antwort ist, dass Assets das sind, was Sie an Wert haben. Beginnen wir also, uns die Details anzuschauen.

In diesem Buch habe ich das Asset Management in zwei Teile aufgeteilt: Data Asset Management und Cloud Asset Management. Data Assets sind die wichtigen Informationen, die Sie haben, wie zum Beispiel Namen und Adressen von Kunden, Kreditkarteninformationen, Bankkonteninformationen oder Credentials für den Zugriff auf solche Daten. Cloud Assets sind die Dinge, die Sie haben, um Ihre Daten abzuspeichern und zu verarbeiten – Rechenressourcen wie Server oder Container, Storage wie Object Stores oder Block Storage und Plattforminstanzen wie Datenbanken oder Queues. Das Managen dieser Assets wird im nächsten Kapitel behandelt. Es ist zwar prinzipiell egal, ob Sie mit Data Assets oder Cloud Assets beginnen, da Sie sowieso immer wieder hin- und herspringen müssen, um das ganze Bild sehen zu können, aber ich finde es einfacher, mit Data Assets zu beginnen.

Die Theorie des Managens von Data Assets in der Cloud unterscheidet sich nicht von der On-Premises-Welt, aber in der Praxis gibt es einige Cloud-Technologien, die helfen können.

Identifizieren und Klassifizieren von Daten


Haben Sie wie im vorherigen Kapitel ein Diagramm und ein Threat Model zumindest auf einem Schmierzettel erstellt, haben Sie eine grobe Vorstellung davon, was Ihre wichtigen Daten sind, um welche Threat Actors Sie sich sorgen müssen und worauf diese aus sein könnten. Schauen wir uns unterschiedliche Wege an, wie Threat Actors Ihre Daten angreifen könnten.

Eines der beliebteren Modelle zur Informationssicherheit ist die CIA Triade: Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Ein Threat Actor, der versucht, die Vertraulichkeit Ihrer Daten zu verletzen, will sie stehlen – meist, um sie zu verkaufen oder Sie zu blamieren. Ein Threat Actor, der versucht, Ihre Datenintegrität zu stören, will Ihre Daten beeinflussen, zum Beispiel einen Kontostand verändern. (Das kann sogar effektiv sein, wenn beim Angriff keine Daten gelesen werden können – ich würde mich beispielsweise freuen, den gleichen Kontostand von Bill Gates zu haben, auch wenn ich den Betrag gar nicht kenne.) Ein Threat Actor, der versucht, Ihre Datenverfügbarkeit zu beeinflussen, will die Daten aus Spaß an der Freude oder für den Profit offline nehmen oder sie mit Ransomware verschlüsseln.1

Die meisten von uns haben nur begrenzte Ressourcen und müssen bei ihrem Vorgehen Prioritäten setzen.2 Ein System zur Klassifikation von Daten kann dabei helfen, aber widerstehen Sie dem Drang, es komplizierter als absolut notwendig zu machen.

Beispiele für Stufen der Datenklassifikation

Jede Organisation ist anders, aber die folgenden Regeln bilden einen guten und einfachen Ausgangspunkt für das Einschätzen des Werts Ihrer Daten und damit des Risikos, dass unbefugt auf sie zugegriffen wird:

Niedrig oder öffentlich

Egal ob die Informationen in dieser Kategorie für eine Veröffentlichung gedacht sind – wenn sie öffentlich gemacht würden, wären die Auswirkungen auf die Organisation sehr gering oder vernachlässigbar. Hier ein paar Beispiele:

  • Die öffentlichen IP-Adressen Ihrer Server.
  • Anwendungs-Log-Daten ohne persönliche Daten, Secrets oder Daten von Wert für angreifende Personen.
  • Softwareinstallationsmaterialien ohne Secrets oder andere für Angreifer wertvollen Elemente.

Mittel oder privat

Diese Informationen sollten außerhalb der Organisation nicht ohne ein passendes Nondisclosure Agreement verfügbar sein. In viele Fällen (insbesondere in größeren Organisationen) sollte diese Art von Daten auch innerhalb der Organisation nur auf Need-to-know-Basis nutzbar sein. In vielen Unternehmen fällt der Großteil der Daten in diese Kategorie. Hier ein paar Beispiele:

  • Detaillierte Informationen dazu, wie Ihre Informationssysteme entworfen sind – nützliche Informationen für einen Angriff.
  • Informationen zu Ihren Mitarbeiterinnen und Mitarbeitern, die sich für Phishing- oder Pretexting-Angriffe nutzen lassen.
  • Normale Finanzinformationen, wie zum Beispiel Bestellungen oder Reisekostenerstattungen, die genutzt werden könnten, um eventuell zu schlussfolgern, dass eine Übernahme ansteht.

Hoch oder vertraulich

Diese Informationen sind für die Organisation von großer Wichtigkeit, und eine Veröffentlichung kann signifikanten Schaden anrichten. Der Zugriff auf diese Daten sollte sehr strikt gesteuert werden, und es sollte mehrere Schutzebenen geben. In manchen Organisationen wird diese Art von Daten als »Crown Juwels« bezeichnet. Hier ein paar Beispiele:

  • Informationen über zukünftige Strategien oder Finanzinformationen, die Wettbewerbern einen deutlichen Vorteil verschaffen würden.
  • Geschäftsgeheimnisse, wie zum Beispiel das Rezept für Ihren beliebten Softdrink oder für frittierte Hähnchenteile.
  • Geheimnisse, die als »Schlüssel zum Himmelsreich« dienen, wie zum Beispiel die Credentials für den umfassenden Zugriff auf Ihre Cloud-Infrastruktur.
  • Kritische Informationen, die Sie zum Aufbewahren bekommen haben, wie zum Beispiel finanzielle Daten Ihrer Kunden.
  • Andere Informationen, bei denen eine Datenleck Nachrichtenwert hätte.

Beachten Sie, dass Gesetze und Branchenregeln vorgeben können, wie Sie bestimmte Informationen klassifizieren. So enthält beispielsweise die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) viele verschiedene Anforderungen für den Umgang mit persönlichen Daten, sodass Sie sich möglicherweise dazu entscheiden, alle persönlichen Daten als »moderates Risiko« zu klassifizieren und sie entsprechend zu schützen. Anforderungen des Payment Card Industry Data Security Standard (PCI DSS) würden wahrscheinlich vorgeben, dass Sie Daten zu Kreditkarten als »hohes Risiko« klassifizieren, wenn Sie diese in Ihrer Umgebung nutzen.

Beachten Sie auch, dass es Cloud-Services gibt, die Ihnen beim Klassifizieren und Schützen helfen können. So unterstützt Sie beispielsweise Amazon Macie (https://oreil.ly/znsxp) dabei, vertrauliche Daten in Amazon-S3-Buckets zu finden, Google Cloud Sensitive Data Prevention (https://oreil.ly/MSzAr) kann dabei helfen, bestimmte Arten vertraulicher Daten zu klassifizieren oder zu maskieren, und Microsoft Pureview (https://oreil.ly/av897) kann Daten auf Azure Cloud Services klassifizieren.

Was auch immer Sie für ein System zur Datenklassifikation nutzen – schreiben Sie eine Definition jeder Klassifikationsstufe und ein paar Beispiele auf und stellen Sie sicher, dass jeder, der Daten erzeugt, sammelt oder schützt, das Klassifikationssystem versteht.

Relevante Anforderungen aus Gesetzen oder aus Branchenvorgaben

Wie schon in der Einleitung erwähnt, ist dies ein Buch zu Sicherheit, nicht zu Compliance. Sehr vereinfacht gesagt, geht es bei Compliance darum, Ihre Sicherheit gegenüber einem Dritten zu beweisen – und das lässt sich viel einfacher erreichen, wenn Sie Ihre Systeme und Daten auch tatsächlich abgesichert haben. Die Informationen in diesem Buch werden Ihnen dabei helfen, sicher zu sein, es müssen jedoch zusätzliche Compliance-Aufgaben und Dokumentationen durchgeführt werden, nachdem Sie Ihre Systeme sicher gestaltet haben.

Manche Compliance-Anforderungen können aber Einfluss auf Ihr Sicherheitsdesign haben. Daher ist es schon in diesem frühen Stadium wichtig, ein paar Anforderungen aus Gesetzen und Branchenvorgaben zu kennen:

DSGVO (EU)

Diese Verordnung kann auf die persönlichen Daten jedes Mitbürgers der Europäischen Union oder des Europäischen Wirtschaftsraums angewandt werden – egal wo sich diese Daten auf der Welt befinden. Die Datenschutz-Grundverordnung (DSGVO) fordert von Ihnen, Zugriff auf »alle Informationen über eine bestimmte oder bestimmbare natürliche Person … die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer« zu katalogisieren, zu schützen und zu auditieren. Die Techniken in diesem Kapitel können Ihnen dabei helfen, einige der...

Erscheint lt. Verlag 30.7.2024
Übersetzer Thomas Demmig
Verlagsort Heidelberg
Sprache deutsch
Themenwelt Mathematik / Informatik Informatik
Schlagworte Amazon Web Services • AWS • Azure • Data Asset Management • Google Cloud Platform • IAM • ibm cloud • Identity Access Management • Incident Response • Netzwerksicherheit
ISBN-10 3-96010-851-6 / 3960108516
ISBN-13 978-3-96010-851-1 / 9783960108511
Informationen gemäß Produktsicherheitsverordnung (GPSR)
Haben Sie eine Frage zum Produkt?
EPUBEPUB (Wasserzeichen)
Größe: 2,2 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belle­tristik und Sach­büchern. Der Fließ­text wird dynamisch an die Display- und Schrift­größe ange­passt. Auch für mobile Lese­geräte ist EPUB daher gut geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

Mehr entdecken
aus dem Bereich
Konzepte, Methoden, Lösungen und Arbeitshilfen für die Praxis

von Ernst Tiemeyer

eBook Download (2023)
Carl Hanser Verlag GmbH & Co. KG
69,99
Konzepte, Methoden, Lösungen und Arbeitshilfen für die Praxis

von Ernst Tiemeyer

eBook Download (2023)
Carl Hanser Verlag GmbH & Co. KG
69,99