Applikationen und Daten in die Cloud auszulagern bringt wesentliche Vorteile für Unternehmen, aber gleichzeitig auch neue Herausforderungen für die entsprechenden IT-Abteilungen. Die Technologien und Prozesse einer Cloud-Umgebung unterscheiden sich von denen lokaler Rechenzentren.
Lag die Verantwortung der unternehmenseigenen IT-Abteilungen bisher darin, sich um alle Ebenen (Hardware, virtuelle Maschinen, Betriebssysteme und Applikationen) einer On-Premise-Lösung zu kümmern, so bucht man beim Umzug in die Cloud lediglich sehr abstrahierte Services. Für den sicheren Betrieb dieser Services teilen sich Dienstleister und Unternehmen die Verantwortung. Die sichere Konfiguration der einzelnen Services bleibt zu großen Teilen in der Verantwortung der Unternehmen – und damit auch die Verantwortung für eine regelmäßige Kontrolle und Überprüfung.
Die wachsende Komplexität von Cloud-Umgebungen stellt viele IT-Abteilungen und deren Mitarbeiter vor immer größere Herausforderungen. Erfahrung und Wissen fehlen, um ausreichende Sicherheitsmaßnahmen aufzusetzen und zu pflegen. Geeignete Sicherheits-Best Practices müssen in den meisten Unternehmen erst aufgebaut werden. Fehlkonfigurationen schleichen sich ein, die zu kritischen Sicherheitslücken und Einfallstoren für potentielle Angreifer werden.
Fehlkonfigurationen finden sich beispielsweise in:
- Identitäts- und Access-Management (z.B. AWS IAM, Azure AD, GCP IAM)
- Storage Services (z.B. AWS S3, Azure Storage Accounts, GCP Cloud Storage)
- Database Services (z.B. AWS RDS, Azure SQL, GCP Cloud SQL)
- Logging, Monitoring und Alerting Services (z.B. AWS CloudWatch, Azure Security Center, GCP Cloud Audit Logs)
Das Vertrauen der Unternehmen gegenüber ihren Cloud Service Providern bedarf einer regelmäßigen und unabhängigen Überprüfung durch einen Dritten. Erst mit dieser Validierung ist es Unternehmen möglich und wichtig zugleich, eine aussagekräftige Transparenz des IT-Sicherheitsniveaus Ihrer Cloud-Umgebung zu erhalten. Ein Cloud Security Audit liefert die dafür nötigen wertvollen Ergebnisse und Einblicke:
Manuell und automatisiert prüfen wir gegen ein Framework aus einer Vielzahl von Kontrollzielen, welches auf den CIS Benchmarks für AWS, Azure und GCP, den Best Practices der Cloud Service Provider und unseren langjährigen Erfahrungen basiert. Im Rahmen von Konfigurations-Reviews, Dokumentensichtung und Interviews auditieren wir neben der eigentlichen Konfiguration der Cloud Services auch die Sicherheitsarchitektur und die beteiligten Personen und Prozesse.
Sie möchten die Konfiguration Ihrer Cloud-Umgebung überprüfen lassen? Hier erfahren Sie, wie wir bei einem Cloud Security Audit vorgehen und was beispielsweise dabei geprüft wird.
Im Rahmen eines Cloud Pentest untersuchen unsere Security Analysten zudem alle relevanten Cloud-Komponenten und identifizieren mögliche Einfallstore für Angreifer.
Wir freuen uns, Sie zu unterstützen.