CSA identifiziert die 11 größten Hindernisse bei der Cloud-Sicherheit

Druckfreundlich, PDF & E-Mail

Die Cloud Security Alliance hat basierend auf einer Umfrage unter 700 Branchenexperten eine Liste der 11 häufigsten Bedrohungen für die Cloud-Security veröffentlicht.

Der Bericht Die häufigsten Bedrohungen für Cloud-Computing: The Pandemic 11 identifiziert die häufigsten Bedrohungen als die Folgenden:

1. Mängel bei Identifizierung, Zugangsdaten, Zugriff und Passwort-Management
2. Unsichere Schnittstellen und Anwendungsprogrammierschnittstellen (APIs)
3. Fehlkonfiguration und unzureichende Änderungskontrolle
4. Fehlende Cloud-Security-Architektur und -strategie
5. Unsichere Softwareentwicklung
6. Ungesicherte Ressourcen von Drittanbietern
7. Systemschwachstellen
8. Versehentliche Offenlegung von Cloud-Daten
9. Fehlkonfiguration und Ausnutzung von serverlosen und Container-Workloads
10. Organisierte Kriminalität/Hacker/Advanced Persistent Threats (APTs)
11. Datendiebstahl aus dem Cloud-Speicher

Wenn man sie in ihrer Gesamtheit betrachtet, wird klar, dass die Cloud-Sicherheit ein großes Problem darstellt. Und dennoch nimmt die Zahl der in die Cloud verlagerten Workloads immer weiter zu. Es scheint nur eine Frage der Zeit zu sein, bis Größe und Umfang von Verletzungen der Cloud-Security exponentiell zunehmen.

Bei näherer Betrachtung der 11 Bedrohungen für die Cloud-Security wird jedoch auch deutlich, dass es nicht so sehr die Plattformen sind, die unsicher sind, sondern vielmehr die Art und Weise, wie sie eingesetzt werden. Unternehmen erlauben es Entwicklern mit wenig bis gar keinen Cybersecurity-Kenntnissen nach wie vor routinemäßig, Cloud-Infrastrukturen direkt und ohne Leitplanken bereitzustellen. Die Wahrscheinlichkeit, dass ein Entwickler einen Fehler macht, ist sehr hoch.

Die Wahrheit ist, dass der vermeintliche Produktivitätsgewinn für Entwickler, der dadurch erzielt werden könnte, dass sie Tools wie Terraform zur Konfiguration von Cloud-Diensten ohne jegliche Sicherheitsüberprüfung verwenden können, das damit verbundene Risiko einfach nicht wert ist. Unternehmen, die es Entwicklern gestatten, Anwendungen und Cloud-Infrastrukturen ohne Sicherheitsüberprüfung bereitzustellen, handeln in einer Weise, die von einem Gericht leicht als rücksichtslose Missachtung der Interessen ihrer Kunden gewertet werden kann. Wie jeder Anwalt weiß, gehen die Strafen erst dann in die Millionen, wenn der Begriff „rücksichtslos" zur Anwendung kommt.

Natürlich gibt es bei jeder Kontroverse zwei Seiten. Für jede Aktion gibt es eine gleichwertige und entgegengesetzte Reaktion. Als die Entwickler begannen, sich für die Cloud einzusetzen, hielten viele Cybersecurity-Experten das Risiko für zu hoch. Anstatt mit den Entwicklern zusammenzuarbeiten, um die für die Sicherung dieser Plattformen erforderlichen Prozesse zu definieren, hielten es viele Cybersecurity-Experten in ihrem Übermut für einfacher, schlichtweg nein zu sagen. Zu ihrem Leidwesen mussten viele von ihnen bald feststellen, dass ihnen der (firmen-)politische Rückhalt fehlte, um diese Position durchzusetzen. Die Tore wurden sprichwörtlich aufgestoßen, und es überrascht nicht, dass Chaos im Bereich der Cybersecurity die Folge war.

Cloud-Security steht nun auf dem Prüfstand. Unternehmen aller Größenordnungen überprüfen ihre Software-Lieferketten im Zuge einer von der Biden-Administration erlassenen Anordnung des Präsidenten, die allen klar macht, dass es grundlegende Probleme gibt, die nicht länger ignoriert werden können. Cybersecurity-Experten und Entwickler müssen nun eine gemeinsame Basis für eine Reihe von DevSecOps-Praktiken finden, die es ermöglichen, sichere Anwendungen zu entwickeln, ohne die Geschwindigkeit der Entwicklung zu verlangsamen. Im Nachhinein betrachtet hätte das immer das Ziel sein müssen. Es ist unvermeidbar, das Cloud-Security-Problem anzugehen und die Gelegenheit, diese zweite Chance zu nutzen, muss jetzt wahrgenommen werden, um gemeinsam einen Neuanfang zu starten und um eine sinnvolle Cloud-Security zu erreichen, bevor etwas wirklich Katastrophales eintritt.

Nach oben scrollen
Twittern
Teilen
Teilen