Beseitigen Sie kritische Risiken in der Cloud

Decken Sie die kritischen Probleme mit dem Schweregrad in Ihren Cloud-Umgebungen auf und beheben Sie sie, ohne Ihr Team in Warnungen zu überschwemmen.

Was ist Cloud-Compliance?

Cloud-Compliance umfasst eine Reihe von Verfahren, Kontrollen und organisatorischen Maßnahmen, die Sie ergreifen müssen, um sicherzustellen, dass Ihre cloudbasierten Ressourcen die Anforderungen der Datenschutzbestimmungen, -standards und -frameworks erfüllen, die für Ihr Unternehmen relevant sind.

12 Minuten Lesezeit

Was ist Cloud-Compliance?   

Cloud-Compliance umfasst eine Reihe von Verfahren, Kontrollen und organisatorischen Maßnahmen, die Sie ergreifen müssen, um sicherzustellen, dass Ihre Cloud-basierten Ressourcen die Anforderungen der Datenschutzbestimmungen erfüllen. Normenund Frameworks, die für Ihre Organisation relevant sind.

Die gesetzlichen Anforderungen selbst sind in der Regel dieselben, unabhängig davon, ob Sie Ihre Daten lokal oder in der Cloud hosten. Diese beiden Umgebungen unterscheiden sich jedoch völlig voneinander, und daher sind auch die Schritte, die Sie unternehmen sollten, um solche Anforderungen zu erfüllen, völlig unterschiedlich. Dies liegt an der dynamischen und komplexeren Natur der Cloud, die einen neuen und anderen Ansatz für die Data Governance erfordert.

Hinzu kommt, dass es'Es ist wichtig zu bedenken, dass Cloud-Compliance eine deutlich andere Disziplin als Cybersicherheit ist. Compliance ist eine Übung, bei der man Kästchen ankreuzen muss, während Cybersicherheit die Umsetzung von organisatorischen und Technische Kontrollen die spezifisch für Ihr eigenes Unternehmen, die von ihm gespeicherten und verarbeiteten Daten und die von ihm verwendeten Technologien sind.

Darüber hinaus ist die Einhaltung von Vorschriften oft viel umfangreicher. So ist beispielsweise die Cybersicherheit nur eine Komponente der Datenschutz-Grundverordnung (DSGVO), die eine Reihe anderer Bestimmungen enthält, wie z. B. die Rechte der betroffenen Personen und Einschränkungen dessen, was Sie mit ihren Daten tun und wie lange Sie sie speichern dürfen.

Example of cloud compliance heatmap that allows you to you can assess your compliance posture at a glance

Angesichts der Vielzahl unterschiedlicher Datenschutzgesetze und -normen, die heute gelten'Angesichts der datengetriebenen Unternehmen und der neuen Herausforderungen im Bereich des Datenschutzes, die ein Wechsel in die Cloud mit sich bringt, ist die Bedeutung der Cloud-Compliance größer denn je geworden.

Wer ist für die Cloud-Compliance verantwortlich?

Wenn Sie Ihre Workloads in Ihrem lokalen Rechenzentrum hosten, sind Sie für praktisch alle Aspekte der Sicherheit und Compliance verantwortlich. Aber in der Cloud ist es'Das ist eine ganz andere Geschichte, da Sie einen Teil dieser Verantwortung an den Cloud-Anbieter abgeben.

Mit anderen Worten: Cloud-Compliance ist eine gemeinsame Verantwortung. Doch wer genau ist wofür verantwortlich?

Um Kunden dabei zu helfen, die Abgrenzung zwischen den Verantwortlichkeiten zu verstehen, stellt jeder der führenden Cloud-Service-Provider (CSPs) eine Reihe von Richtlinien bereit, die als Modell der geteilten Verantwortung. Diese sind sich im Großen und Ganzen sehr ähnlich, wobei die:

  • CSP'Zu seinen Aufgaben gehören die Sicherheit der Rechenzentren, der IT-Infrastruktur, der Hypervisoren und der Host-Betriebssysteme sowie die Aufgabe, die Verfügbarkeit und Zuverlässigkeit der für die Kunden bereitgestellten Dienste zu gewährleisten.

  • Kunde'Zu seinen Aufgaben gehörendie Konfiguration der verwendeten Cloud-Dienste sowie die Sicherheit und Compliance von Gastbetriebssystemen und Anwendungen, die sie auf dem Anbieter hosten's-Plattform.

The AWS shared responsibility model.

Cloud-Governance

Cloud-Governance Und Cloud-Compliance sind integrale Aspekte der effektiven Verwaltung von Cloud-Ressourcen. Cloudgovernance umfasst die Einrichtung von Richtlinien, Verfahren und Kontrollen, um die Nutzung von Clouddiensten mit einer Organisation in Einklang zu bringen'die Einhaltung gesetzlicher Vorschriften sicherzustellen und Best Practices einzuhalten. Es umfasst die Entwicklung und Implementierung von Richtlinien für die Nutzung von Cloud-Ressourcen, wobei der Schwerpunkt auf Überwachung und Auditierung liegt, um die kontinuierliche Einhaltung etablierter Standards zu gewährleisten.

Auf der anderen Seite konzentriert sich die Cloud-Compliance speziell auf die Erfüllung gesetzlicher, regulatorischer und branchenspezifischer Anforderungen innerhalb der Cloud-Umgebung. Dabei geht es um Bereiche wie Datensicherheit, Datenschutz, regulatorische Verpflichtungen und die Einhaltung von Service Level Agreements (SLAs) mit Cloud-Dienstanbietern.

Die Beziehung zwischen Cloudgovernance und Compliance liegt in ihrer Ausrichtung, da Governanceframeworks häufig Richtlinien enthalten, die direkt auf Complianceanforderungen eingehen, und Governancemechanismen diese Richtlinien erzwingen, um die Einhaltung externer Standards und Vorschriften sicherzustellen. Sowohl Governance- als auch Compliancebemühungen tragen zu einem effektiven Risikomanagement in der Cloud-Umgebung bei, wobei der Schwerpunkt auf der Identifizierung und Minderung potenzieller Probleme liegt.

Vorschriften

Im Folgenden behandeln wir die wichtigsten Cloud-Compliance-Vorschriften und -Frameworks, darunter:

Datenschutz-Grundverordnung (DSGVO)

Ein Datenschutzgesetz zum Schutz der personenbezogenen Daten von Bürgern des Europäischen Wirtschaftsraums (EWR). Die DSGVO gilt für alle Personen, die zum Zeitpunkt der Datenerhebung ihren Wohnsitz innerhalb der territorialen Grenzen der EU sowie in Norwegen, Island und Liechtenstein haben.

Obwohl es sich bei der DSGVO um eine europäische Gesetzgebung handelt, hat sie immer noch einen globalen territorialen Geltungsbereich. Dies liegt daran, dass es für jegliche Organisation, die Einwohner des EWR bedient oder deren Daten routinemäßig im Rahmen ihrer Geschäftstätigkeit verarbeitet.

Die Anforderungen an die Cybersicherheit der DSGVO sind sehr locker definiert und besagen lediglich, dass Sie personenbezogenen Daten ein angemessenes Schutzniveau bieten sollten, das dem Risiko für diese Daten und den Kosten der Implementierung entspricht. Dies unterstreicht die Bedeutung von Verantwortung und Rechenschaftspflicht für die Sicherheit Ihrer Cloud-basierten Bereitstellungen – durch klare Data-Governance-Richtlinien, -Maßnahmen und -Verfahren, die den Nachweis der Compliance unterstützen.

Und don'Vergessen Sie nicht, dass die DSGVO weit mehr als nur Cybersicherheit abdeckt. Sie können z. B.'müssen Folgendes berücksichtigen:

  • Datenminimierung: Sie sollten nur personenbezogene Daten erheben, die's tatsächlich notwendig, um Ihren Zweck zu erfüllen.

  • Begrenzung der Speicherung: Sie sollten es nicht länger als nötig aufbewahren.

  • Datenresidenz: Sie sollten sie nur innerhalb des EWR verarbeiten und speichern – es sei denn, die betroffene Person hat eingewilligt oder die Datenübermittlung in ein Drittland entspricht ganz bestimmten DSGVO-Anforderungen.

  • Auskunftsrecht: Sie müssen Anfragen von betroffenen Personen nach einer Kopie der personenbezogenen Daten, die Sie über sie gespeichert haben, nachkommen.

  • Recht auf Löschung: Unter bestimmten Umständen müssen Sie auch die personenbezogenen Daten jeder Person löschen, die Sie dazu auffordert.

Seit dem Austritt aus der EU hat das Vereinigte Königreich seine eigene Umsetzung der DSGVO übernommen, die praktisch mit ihrem EU-Pendant übereinstimmt.

Gesetz über die digitale Betriebsstabilität (DORA)

Der Digital Operational Resilience Act (DORA) zielt darauf ab, Europa zu schützen'Finanzsektor vor Cyberstörungen und -angriffen zu schützen, indem ein einheitlicher Rahmen für das IKT-Risikomanagement geschaffen wird. Es wird geschätzt, dass der Rechtsakt betreffen über 22.000 Finanzunternehmen und IKT-Anbieter, einschließlich Banken, Versicherungen und Cloud-Dienste.

Die Hauptziele von DORA sind: 

  • Schaffung eines umfassenden Rahmenwerks für das IKT-Risikomanagement

  • Führen Sie regelmäßige Risikobewertungen durch

  • Sicherstellung, dass alle größeren IKT-Vorfälle unverzüglich den Behörden gemeldet werden 

Bundesgesetz über das Management der Informationssicherheit (FISMA)

FISMA ist U.S. Rechtliche Rahmenbedingungen, die Bundesbehörden zusammen mit privaten Unternehmen, die dem öffentlichen Sektor dienen, verabschieden müssen, um die ihnen anvertrauten Regierungsinformationen zu schützen. Es basiert auf dem Fundament von FIPS 199, FIPS 200und NIST SP 800-53, wobei Sie Folgendes verwenden würden:

  • FIPS 199 zur Kategorisierung Ihrer Informationen und Informationssysteme basierend auf den potenziellen Auswirkungen (gering, mittel oder hoch) im Falle eines Verlusts der Vertraulichkeit, Integrität oder Verfügbarkeit.

  • FIPS 200, um die Sicherheitsziele Ihrer Organisation basierend auf Ihrer FIPS 199-Bewertung zu bestimmen.

  • Die Ergebnisse Ihrer FIPS 199- und FIPS 200-Bewertungen, um die geeigneten NIST SP 800-53-Basissicherheitskontrollen auszuwählen, die für Ihre Organisation gelten.

Obwohl die FISMA-Konformität nur für Bundesbehörden und ihre Auftragnehmer gilt, ist sie für jede andere Organisation von Vorteil, da sie neue Türen für Geschäfte mit Regierungsbehörden öffnen kann.

Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (Health Insurance Portability and Accountability Act, HIPAA)

Bekannt als die HIPAA-Sicherheitsregel, sollen diese nationalen Compliance-Standards sensible Patientendaten im Gesundheitswesen in den Vereinigten Staaten schützen. Die Regel ist Teil der umfassenderen Ziele des HIPAA, wie z. B. die Rationalisierung der Gesundheitsverwaltung und die Gewährleistung eines ununterbrochenen Krankenversicherungsschutzes für Mitarbeiter, die ihren Arbeitsplatz verlieren oder wechseln.

Der HIPAA deckt alle Organisationen ab, die direkt mit personenbezogenen Gesundheitsdaten umgehen, wie z. B. Gesundheitsdienstleister, Krankenversicherungen und damit verbundene Abrechnungsdienste.

Sarbanes-Oxley-Gesetz (SOX)

SOX ist ein Bundesgesetz, das darauf abzielt, Aktionäre, Mitarbeiter und Mitglieder der Öffentlichkeit vor fahrlässigen oder betrügerischen Buchhaltungs- und Finanzpraktiken zu schützen.

Das Gesetz konzentriert sich in erster Linie auf die Regulierung der Finanzberichterstattung, der internen Revisionsverfahren und anderer Geschäftspraktiken in börsennotierten Unternehmen. Es beinhaltet aber auch Compliance-Anforderungen in Bezug auf die Informationstechnologie. Beispielsweise müssen Sie Protokolle überwachen und einen vollständigen Prüfpfad für Benutzeraktivitäten mit sensiblen Daten führen. Darüber hinaus umfasst es eine begrenzte Anzahl von Datensicherheits-, Verfügbarkeits- und anderen Zugriffskontrollen.

Standards und Rahmenwerke

Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)

Ein vertraglicher Standard, der für jede Organisation gilt, die Kartenzahlungen akzeptiert oder verarbeitet. PCI DSS wurde entwickelt, um die Sicherheit sensibler Karteninhaberdaten zu gewährleisten. Es wird vom PCI Standards Council verwaltet – einem Gremium führender Interessenvertreter der Zahlungsbranche.

Der Rechtsrahmen umfasst eine Reihe technischer und betrieblicher Anforderungen, darunter Firewalls (Firewalls), Verschlüsselungund Zugriffskontrolle.

Um Händlern und Dienstleistern zu helfen, diese Anforderungen im Kontext der Cloud zu verstehen, hat der PCI Standards Council eine Online-Studie veröffentlicht Anleitung über die Auswirkungen von Cloud Computing auf die PCI-DSS-Konformität. Dazu gehört ein Beispiel für eine Matrix der geteilten Verantwortung, die als Ausgangspunkt dient, um zu verstehen, wie Compliance-Verpflichtungen zwischen dem Kunden und dem Anbieter von Cloud-Diensten geteilt werden können.

Sample responsibility matrix for meeting PCI DSS requirements.

Nationales Institut für Standards und Technologie (NIST SP 800-53)

Diese Bibliothek technischer und betrieblicher Kontrollen zielt darauf ab, die Integrität, Vertraulichkeit und Sicherheit von Informationssystemen zu schützen. Es ist obligatorisch für U.S. Regierungsstellen und Auftragnehmer mit Zugang zu föderalen Systemen, die als Kernkomponente des FISMA dienen. Darüber hinaus untermauert es die gesamte Kaskade verschiedener Frameworks, die die FISMA-Konformität unterstützen.

Vereinfacht ausgedrückt ist NIST SP 800-53 in verschiedene Kategorien von Baseline-Kontrollen unterteilt, die Sie auf der Grundlage des Risikos für Daten auswählen. 

The role of NIST SP 800-53 in a multi-tiered approach to FISMA compliance

Bundesprogramm für Risiko- und Autorisierungsmanagement (FedRAMP)

Diese optimierte Version des FISMA ist speziell an die behördliche Nutzung von Cloud-Service-Providern (CSPs) angepasst. 

Es orientiert sich am Modell der gemeinsamen Verantwortung der Cloud, bei dem die Anforderungen in zwei Gruppen von Kontrollen unterteilt werden – eine für den CSP und die andere für die Bundesbehörde oder den Auftragnehmer, die ihre Dienste nutzen. Dies vereinfacht die FISMA-Konformität und trägt dazu bei, unnötige Doppelarbeit bei Sicherheitszielen zu vermeiden.

Um die vollständige Einhaltung der Vorschriften zu gewährleisten, muss die Bundesbehörde oder der Auftragnehmer sowohl einen CSP mit FedRAMP-Autorisierung verwenden als auch ihre eigenen FedRAMP-Verpflichtungen erfüllen.

System- und Organisationssteuerung 2 (SOC 2)

SOC 2 ist ein freiwilliges Compliance-Framework und hilft Serviceorganisationen, ihren Kunden die Gewissheit zu geben, dass sie über geeignete Maßnahmen zum Schutz sensibler Daten unter ihrer Kontrolle verfügen. Die SOC 2-Bescheinigung ist eine Notwendigkeit für viele ausgelagerte Dienstleistungen in den Vereinigten Staaten, wo Kunden sie oft im Rahmen vertraglicher Vereinbarungen verlangen.

Sie müssen ein jährliches unabhängiges Audit Ihres Sicherheitsstatus bestehen, um die SOC 2-Konformität zu gewährleisten. Die Bewertung basiert auf fünf großen Kategorien von Kontrollen:Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeitund Privatsphäre.

Center for Internet Security Critical Security Controls (CIS-Kontrollen)

Example compliance assessment against CIS Docker 1.6.0

Ein freiwilliger Satz grundlegender Sicherheitskontrollen, die Unternehmen vorrangig implementieren sollten. CIS-Kontrollen sind als Ausgangspunkt für Härtesysteme konzipiert. Dies liegt daran, dass sie sich auf Maßnahmen konzentrieren, die die effektivste und unmittelbarste Wirkung erzielen. Sie sind besonders nützlich für IT-Abteilungen mit begrenzten Sicherheitsressourcen und -kenntnissen.

Zusammenfassung der wichtigsten Datenschutzbestimmungen und -standards

Regulation or FrameworkApplies toScopeTerritorial ScopeCompliance Responsibility
GDPRAny organization that processes data about EEA citizensData security and availability, handling of personal data, and rights of data subjectsAnywhere in the worldMandatory
FISMAFederal agencies and their contractors, along with any CSPs they useSecurity and privacy of data on federal systemsUnited StatesMandatory
HIPAA Privacy RuleHealthcare providers, health insurance companies, and associated billing servicesSecurity and privacy of healthcare informationUnited StatesMandatory except where state law takes precedence
SOXPublicly traded companiesLargely financial and business practices, but also covers IT controlsUnited StatesMandatory for public companies although some requirements also apply to private companies and non-profit organizations
PCI DSSAny organization that accepts or processes card paymentsData securityAnywhere in the worldContractual
NIST SP 800-53Federal agencies and their contractors, along with any CSPs they useSecurity and privacy of federal dataUnited StatesMandatory
FedRAMPFederal agencies and their contractors, along with any CSPs they useSecurity and privacy of federal data processed or stored in the cloudUnited StatesMandatory
SOC 2Mainly SaaS vendors, companies that provide analytics and business intelligence services, financial institutions, and other organizations that store sensitive customer informationData security, availability, processing integrity, confidentiality, and privacyGlobally recognized but mainly adopted in United StatesVoluntary
CIS ControlsOrganizations of any size and in any industry sectorData securityGlobally recognizedVoluntary

Cloud-Compliance durch CSP

Compliance-Programme

Zu Beginn Ihrer Cloud-Compliance-Initiative'Sie müssen sicherstellen, dass Ihr CSP in der Lage ist, seinen Teil der Vereinbarung über die gemeinsame Verantwortung zu erfüllen. Angesichts der schieren Anzahl von Vorschriften und Standards, die Ihr Unternehmen betreffen können, mag dieser Überprüfungsprozess wie ein gewaltiges Unterfangen erscheinen.

Jeder der drei großen Anbieter – AWS (Niederlande), Microsoft Azureund Google Cloud-Plattform – Bietet ein Online-Compliance-Portal, mit dem Kunden überprüfen können, ob ihre Plattformen über die erforderliche Zertifizierung, Bescheinigung oder Ausrichtung verfügen.

Darüber hinaus erleichtern sie es Ihnen, ihre Compliance-Angebote zu überprüfen, indem sie sie in verschiedene Kategorien gruppieren, z. B. nach Branchen und Gebietsregionen.

Compliance-Tools

Jeder Anbieter bietet auch eine Reihe anderer interner Dienstleistungen an, um die Einhaltung der Vorschriften zu unterstützen und nachzuweisen. Dazu gehören:

  • AWS-Artefakt: Ein Self-Service-Portal, das dem Anbieter On-Demand-Zugriff bietet'Compliance-Dokumentation und -Vereinbarungen. Dies bietet Kunden eine schnelle und effiziente Möglichkeit, die Konformität der von ihnen verwendeten AWS-Services zu bewerten und Nachweise über angemessene Anbieterkontrollen zu erhalten, die sie möglicherweise Prüfern oder Aufsichtsbehörden zur Verfügung stellen müssen.

  • AWS-Audit-Manager: Eine Lösung, die die Kontrollen, die Sie'Sie haben in Ihren AWS-Gastumgebungen implementiert, um eine Vielzahl unterschiedlicher Vorschriften und Standards einzuhalten.

  • Azure-Blaupausen: Ein Ressourcenvorlagendienst zum Erstellen und Verwalten von Umgebungen, die vordefinierten Standards und Anforderungen entsprechen. Bei den Blaupausen handelt es sich im Wesentlichen um gepackte Sätze von Artefakten zum Bereitstellen vollständig gesteuerter Umgebungen auf der Azure-Plattform.

  • Azure Policy: Ein zentralisierter Richtlinienverwaltungsdienst, über den Sie Regelsätze erstellen und verwalten können, die sicherstellen, dass Dienste mit standardmäßigen Ressourceneigenschaften zum Zulassen und Verweigern konfiguriert werden. Es kann Sie auch warnen, wenn Ressourcen von den Richtlinienregeln abweichen, und Compliance-Verstöße automatisch beheben.

  • Von Google zugesicherte Workloads: Ein Tool, das die Compliance unterstützt, indem es automatisch Kontrollen auf Workloads anwendet, damit sie die Anforderungen bestimmter regulatorischer Rahmenbedingungen erfüllen. Beispielsweise können Sie nur Daten in Cloud-Regionen innerhalb der Gebietsgrenzen hosten, die von dem Compliance-Programm zugelassen sind, das Sie'Und das ist auch gut so. Es konfiguriert auch die entsprechenden Verschlüsselungsdienste gemäß den gesetzlichen Anforderungen und erzwingt Zugriffskontrollen im Einklang mit den Anforderungen an die Datenhoheit.

Cloud-Regionen

Neben der DSGVO enthalten viele andere Datenschutzbestimmungen auf der ganzen Welt Anforderungen an die Datenresidenz, die regeln, wo Sie personenbezogene Daten über betroffene Personen speichern und verarbeiten dürfen.

Damit Sie'müssen Sie sicherstellen, dass Ihr CSP eine Rechenzentrumspräsenz in den gesetzlich zulässigen Ländern bietet. Wenn Sie sich dafür entscheiden, Ihre Workloads auf einer der drei großen Cloud-Anbieterplattformen zu hosten, sollte dies relativ einfach sein, da diese jetzt insgesamt mehr als 130 Rechenzentrumsregionen auf der ganzen Welt haben.

Google’s global network of cloud regions

Grundlegende Best Practices für die Cloud-Compliance

Lassen'Hier finden Sie einige wichtige Best Practices, um die Sicherheit, Compliance und effiziente Verwaltung Ihrer Cloud-Umgebung zu gewährleisten. Die Praktiken werden in drei Hauptbereiche eingeteilt:

1. Datensicherheit

Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten, die in der Cloud gespeichert sind.

  • Datenklassifizierung und Governance:

    • Implementieren Sie Datenklassifizierungsschemata, um Daten basierend auf Vertraulichkeit und gesetzlichen Anforderungen zu kategorisieren.

    • Entwickeln und durchsetzen Sie Data-Governance-Richtlinien, die vorschreiben, wie Daten verarbeitet, gespeichert und abgerufen werden.

  • Verschlüsselung und Schlüsselverwaltung:

    • Verschlüsseln Sie Daten im Ruhezustand und während der Übertragung mit starken Verschlüsselungsstandards (z. B. AES-256), um vertrauliche Informationen zu schützen.

    • Verwalten Sie Verschlüsselungsschlüssel sicher, stellen Sie sicher, dass nur autorisiertes Personal Zugriff hat, und verwenden Sie robuste Schlüsselverwaltungsmethoden.

  • Zugriffskontrolle und Identitätsmanagement:

    • Setzen Sie Zugriffsrichtlinien mit den geringsten Rechten durch, um sicherzustellen, dass Benutzer nur den minimalen Zugriff haben, der zum Ausführen ihrer Rollen erforderlich ist.

    • Nutzen Sie die Multi-Faktor-Authentifizierung (MFA), um eine zusätzliche Sicherheitsebene für den Zugriff auf Cloud-Dienste hinzuzufügen.

2. Konfigurationsverwaltung

Der Prozess der Aufrechterhaltung von Systemen, Servern und Software in einem gewünschten, konsistenten Zustand.

  • Sichere API-Verwendung:

    • Stellen Sie sicher, dass APIs, die mit Cloud-Diensten verbunden sind, sicher gestaltet sind und eine starke Authentifizierung und Verschlüsselung für Daten während der Übertragung ermöglichen.

    • Überprüfen und aktualisieren Sie regelmäßig API-Zugriffsrichtlinien, um Änderungen an Benutzerrollen oder Diensten widerzuspiegeln.

  • Patch-Management:

    • Implementieren Sie einen effektiven Patch-Management-Prozess, um sicherzustellen, dass alle Software- und Infrastrukturkomponenten mit den neuesten Sicherheitspatches auf dem neuesten Stand sind.

  • Netzwerkkonfiguration und -segmentierung:

    • Konfigurieren Sie Cloud-Netzwerkeinstellungen, um Sicherheitsrichtlinien durchzusetzen, einschließlich Firewalls, Intrusion Detection-Systeme und andere Perimeterschutzmaßnahmen.

    • Nutzen Sie die Netzwerksegmentierung, um sensible Daten und Systeme zu isolieren und so die potenziellen Auswirkungen einer Sicherheitsverletzung zu reduzieren.

3. Strategie & Überwachung

Übergreifende Praktiken und Verfahren für die Verwaltung und Überwachung von Cloud-Sicherheit und Compliance.

  • Compliance und regulatorisches Bewusstsein:

    • Bleiben Sie auf dem Laufenden über relevante Vorschriften und Compliance-Anforderungen, die für Ihre Branche und Ihre Betriebsregionen spezifisch sind, wie z. B. DSGVO, HIPAA oder PCI-DSS.

    • Verstehen Sie das Modell der geteilten Verantwortung im Cloud Computing, das die Sicherheitsverantwortlichkeiten zwischen Ihrem Unternehmen und dem Cloud-Dienstanbieter (CSP) klar abgrenzt.

  • Sicherheitsbewertungen und -audits:

    • Führen Sie regelmäßige Sicherheitsbewertungen durch, einschließlich Schwachstellenscans und Penetrationstests, um potenzielle Sicherheitslücken zu identifizieren und zu mindern.

    • Führen Sie Compliance-Audits durch, um die kontinuierliche Einhaltung interner Richtlinien und externer Vorschriften sicherzustellen. Pflegen Sie Prüfpfade und Protokolle für die Verantwortlichkeit und forensische Analyse.

  • Schulung und Sensibilisierung der Mitarbeiter:

    • Bieten Sie allen Mitarbeitern regelmäßige Schulungen zu Best Practices für die Sicherheit, Compliance-Anforderungen und neuen Bedrohungen an.

    • Fördern Sie eine Kultur des Sicherheitsbewusstseins und betonen Sie die Bedeutung der Rolle jedes Einzelnen bei der Aufrechterhaltung von Compliance und Datenschutz.

  • Reaktion auf Vorfälle:

    • Entwickeln und pflegen Sie einen dokumentierten Incident-Response-Plan, der Verfahren zur Erkennung, Eindämmung, Beseitigung und Wiederherstellung von Sicherheitsvorfällen beschreibt.

    • Testen Sie den Incident-Response-Plan regelmäßig, um seine Wirksamkeit sicherzustellen.

  • Besonderheiten des Cloud-Anbieters:

    • Während viele Best Practices bei allen Cloud-Anbietern (AWS, Azure, GCP) üblich sind, können einige geringfügige Unterschiede in der Implementierung aufweisen oder einzigartige Sicherheitsfunktionen verwenden.

    • Machen Sie sich mit Ihrem spezifischen Cloud-Anbieter vertraut'Sicherheitsdokumentation und Best Practices.

Worauf Sie bei einer Cloud-Compliance-Lösung achten sollten

Cloud-Compliance ist angesichts der Komplexität von Cloud-basierten Umgebungen und der schieren Anzahl unterschiedlicher Vorschriften und Standards, die möglicherweise Ihre eigenen individuellen Kontrollen bestimmen können, keine leichte Herausforderung.

Die gute Nachricht ist, dass viele der Anforderungen im Grunde gleich sind – mit einer starken Überschneidung zwischen verschiedenen Frameworks. Nichtsdestotrotz ist es ein gewaltiges und zeitaufwändiges manuelles Unterfangen, sowohl die sich überschneidenden Verantwortlichkeiten als auch die für bestimmte Frameworks einzigartigen Verantwortlichkeiten im Auge zu behalten.

Wie meistern Sie diese Herausforderung? Wie vermeiden Sie doppelte Compliance-Bemühungen? Wie ordnen Sie die technische Zusammensetzung Ihrer Cloud Ihrem Compliance-Status zu? Und wie optimieren Sie Ihre Compliance-Bemühungen in einer komplexen Multi-Cloud-Implementierung?

Das's, wo Compliance-Tools von Drittanbietern helfen können.

Sie'RE wurde entwickelt, um Ihre Cloud-Bereitstellungen kontinuierlich zu überwachen und mit einer Vielzahl von Compliance-Frameworks zu vergleichen. Sie sollten beispielsweise in der Lage sein, zu überprüfen, ob Sie über geeignete Netzwerksicherheitskontrollen verfügen, um die Daten von Zahlungskarteninhabern zu schützen – in Übereinstimmung mit Anforderung 1 des PCI DSS. Sie sollten auch den Sicherheitsstatus komplexer Cloud-basierter Bereitstellungen, wie z. B. containerisierter Workloads, nach Bedarf bewerten, um die neuesten Anforderungen technischer Frameworks wie der CIS-Kontrollen zu erfüllen. Dies sind jedoch nur zwei von buchstäblich Hunderten von integrierten Prüfungen, die Teil einer hochentwickelten kontinuierlichen Compliance-Plattform sind.

PCI DSS benchmark checks provided by the Wiz Cloud Compliance solution

Benchmarking ist jedoch nicht'Das ist die einzige Funktion, auf die Sie bei einer Cloud-Compliance-Lösung achten sollten.

Darüber hinaus sollte es eine Möglichkeit bieten, benutzerdefinierte Frameworks zu erstellen, damit Sie Ihre eigenen internen Anforderungen oder die anderer Organisationen in der Softwarelieferkette erfüllen können.

Es sollte sich auch in Messaging- und Ticketing-Plattformen integrieren lassen, um Probleme automatisch an die richtigen Teams weiterzuleiten.  Und es sollte automatisierte Korrekturfunktionen bieten, damit Sie häufige und anhaltende Fehlkonfigurationen schnell und effizient beheben können.

Schließlich sollte es eine vollständige Palette von Bewertungsberichten bereitstellen – von detaillierten, granularen Informationen bis hin zu Übersichten auf hoher Ebene. Auf diese Weise erhält jeder in Ihrem Unternehmen die Einblicke, die er benötigt, um den Überblick über Ihren Compliance-Status zu behalten.

100+ Built-In Compliance Frameworks

See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.

Demo anfordern

Weiterlesen

Top 9 OSS CSPM Tools

Wiz Expertenteam

In this article, we’ll explore the top 9 OSS CSPM tools available today, each with its unique capabilities and benefits for helping organizations identify cloud misconfigurations, prevent security breaches, and ensure compliance with industry standards.

Database Security Explained

Database security is the process of identifying, assessing, and mitigating risks that can compromise the confidentiality, integrity, and availability of data.

MTTD and MTTR in Cybersecurity Incident Response

Most incident response teams measure both MTTD and MTTR to not only shorten attackers’ dwell times in their systems but also to gauge the team’s readiness to combat future security incidents and then optimize response times.