Stellen wir uns vor, wir sind in einem kleinen Boot. Wir befinden uns mitten in einem Teich und müssen das Boot genau an der gleichen Stelle, mitten im Wasser, halten. Aus Gründen der Compliance dürfen wir das Boot nicht mehr als fünf Fuß von der vorgesehenen Stelle wegfahren lassen. Wahrscheinlich würden wir den Anker werfen, ihn setzen und vergessen, und schon wäre man wieder startklar!
Nun, stellen wir uns vor, wir wären in einem Kanu. Und statt in einem Teich sind wir in der Mitte eines Flusses. Wir müssen das Kanu genau an der gleichen Stelle in der Mitte des Flusses halten und dürfen das Kanu nicht mehr als einen Meter von der vorgesehenen Stelle wegfahren lassen. Und dies muss ohne Anker geschehen. Mit nichts als einem Paddel müssen wir das Kanu an der gleichen Stelle halten und sich an die Strömung, den Wind und alle anderen Bedingungen anpassen. Es genügt zu sagen, dass wir dafür ständig daran arbeiten müssen, unsere Position zu justieren und zu halten. Wir wären nicht in der Lage, auch nicht für zwei Sekunden anzuhalten, ohne von unserem Standort wegbewegt zu werden, und würden riskieren, aus der Konformität zu geraten. Außerdem werden wir aufgefordert, dies ohne jegliche Ausbildung, Erfahrung oder spezifische Kenntnisse im Umgang mit einem Kanu zu tun, geschweige denn, wie man ein Kanu auf einem Fluss handhabt. Es wäre deutlich anders als der Umgang mit einem Boot auf einem See oder Teich.
Dies ist eine Analogie für die Unterschiede zwischen der Einhaltung von Compliance in einem On-Premise-Rechenzentrum und einem Public-Cloud-Rechenzentrum. Willkommen in der Welt der ‚Continuous Compliance‘. Trotz der Ähnlichkeiten (schwimmendes Boot, auf dem Wasser) gibt es signifikante Unterschiede (Form des Bootes, bewegliches vs. stilles Wasser, Anker vs. kein Anker) und die Fertigkeiten, einen Anker in einem stillen Teich richtig zu werfen, sind weitaus anders als die Verwendung eines Paddels, um die eigene Position auf einer sich ständig bewegenden, wechselnden Oberfläche zu halten. Auch wenn viele der Unterschiede nuanciert sind, ist dies einer der Schlüssel zum Verständnis, wenn man Public Clouds nutzt.
Die unmittelbarste Folge einer nicht richtig geschulten Cloud ist, dass Teams die Cloud weiterhin so nutzen und mit ihr arbeiten werden, wie sie es mit ihrem lokalen Rechenzentrum getan haben. Das bedeutet, dass sie Dinge wie das Öffnen von Ports für den bequemen Zugriff oder das Einbetten von Passwörtern in einen Code zur einfachen Erinnerung tun müssen. Diese Aktionen können in der Cloud katastrophal sein. Dies mag der Grund sein, warum Gartner öffentlich erklärt hat: „Bis zum Jahr 2022 werden mindestens 95 Prozent aller Public-Cloud-Ausfälle auf die Schuld der Kunden zurückgehen“.
Im Hinblick auf die Einhaltung von Compliance in der Cloud ist es entscheidend, die Unterschiede zwischen der Cloud und der lokalen Umgebung zu erkennen. Die Cloud erfordert eine „kontinuierliche“ Abfrage und Bewertung der Umgebung, um eine kontinuierliche Compliance zu gewährleisten. Was die Herausforderungen noch verschärft, sind die elastischen und kurzlebigen Aspekte, die es nur beim Cloud Computing gibt.
Unabhängig von der spezifischen Public-Cloud-Umgebung ist ein großartiger Ausgangspunkt für Unternehmen, um mit dem Aufbau der eigenen automatisierten, kontinuierlichen Compliance-Architektur und -Planung zu beginnen, ein eBook unter dem Titel „AUTOMATE YOUR CLOUD COMPLIANCE JOURNEY IN 6 STEPS“ (https://pages.checkpoint.com/check-point-aws-automate-cloud-compliance-6-steps.html).
Es ist wichtig, dass „Shared Responsibility“-Modell der Cloud vollständig zu verstehen. Sehr einfach gegabelt, es ist „AN und Aus“ …Sie sind für die Sicherheit ‚IN‘ verantwortlich und die Cloud-Anbieter sind für die Sicherheit ‚AUS‘ der Cloud verantwortlich. Das eBook schlägt weiter vor, dass „Organisationen gefordert sind, diese Umgebungen zu sichern und ihre Sicherheitskontrollen zu skalieren.“ Cloud Security Operations-Teams sind nicht in der Lage, mit der Bereitstellung, Wartung und Aktualisierung von Sicherheitsrichtlinien in jeder Umgebung Schritt zu halten. Zusätzlich fährt das eBook fort: „…es kann aufgrund der dynamischen Natur der Cloud-Umgebungen schwierig sein, Fehlkonfigurationen zu beheben, bevor ein Bruch auftritt“.
Die sechs im eBook beschriebenen Schritte sind:
- Sichtbarkeit gewinnen
Man kann nicht sichern, was man nicht sehen kann, also ist die Sichtbarkeit entscheidend, um zu bestimmen, wie Umgebungen geschützt werden sollten.
- Wählen Sie das Compliance-Framework und den Umfang
Nachdem Sie die Landschaft Ihrer Umgebung und die aktuelle Sicherheitslage bewertet haben, können Sie mit dem Aufbau eines neuen Compliance-Programms beginnen.
- Evaluieren Sie die ersten Ergebnisse und planen Sie
Bewerten, Ausschließen, Anpassen
- Überwachen Sie Ihr kontinuierliches Compliance-Programm
Um von Ad-hoc-Bewertungen zu einem kontinuierlichen Compliance-Prozess überzugehen, müssen Sie diese fortlaufend durchführen und Echtzeit-Benachrichtigungen für nicht konforme Ressourcen einrichten.
- Automatisieren Sie die Behebung
Die automatische Behebung sollte mit der Behandlung der wichtigsten Befunde beginnen. Dies kann das Schließen von öffentlich zugänglichen Sicherheitskonfigurationen oder die Aktivierung der Verschlüsselung auf dem Speicher umfassen.
- Berichterstattung und Auditierung
An diesem Punkt Ihrer Compliance-Reise sollten Sie sich auf die Pflege aktueller Berichte konzentrieren.
Bevor Unternehmen mit dem Aufbau des automatisierten Compliance-Frameworks beginnen, empfiehlt es sich dringend, sicherzustellen, dass es über das erforderliche Fachwissen verfügt, um sich fließend in der Cloud zurechtzufinden. Er räumt ein, dass die Geschwindigkeit des Geschäfts und der Druck und die Anforderungen, in die Cloud zu wechseln und neue Technologien wie Container und Kubernetes einzuführen, immens sind. Und die Implementierung von fortgeschrittenen Funktionen wie Cloud-Formationen und -Funktionen bedeutet, dass Unternehmen häufig Cloud-Expertise außerhalb ihres Unternehmens suchen müssen. Alternativ dazu gibt es eine Fülle von kostenlosen und kostenpflichtigen Cloud-Zertifizierungsschulungen, die von verschiedenen Organisationen (SANS, ISSA, ISACA) und von den Cloud-Anbietern selbst angeboten werden.
