Sicherheit in der Cloud: CSP oder Drittanbieter?

Wir werden oft von Kunden und Interessenten gefragt, ob sie die von Cloud-Plattformanbietern entwickelten und bereitgestellten Tools verwenden sollen oder ob sich eine Investition in Drittanbieterlösungen lohnt. Darauf gibt es natürlich keine pauschale Antwort, zumal Unternehmen mit „Drittanbieterlösungen“ oft vorhandene On-Premises-Sicherheitskontrollen meinen, mit denen sie bereits vertraut sind. In jedem Fall empfehlen wir, vor einer Entscheidung die unternehmensspezifischen Anforderungen zu analysieren und zu prüfen, welche Funktionen vorhandene Tools abdecken können.

Bestandsaufnahme der Sicherheitstools

Zuallererst sollten Sie sich folgende Fragen stellen: Wie viele Sicherheitstools sind in der Unternehmensumgebung vorhanden und welche Risiken lassen sich damit minimieren? Die Antworten auf diese Fragen sind extrem hilfreich, doch nur wenige Unternehmen können sie mit Bestimmtheit geben. Nehmen Sie den Umstieg auf die Cloud zum Anlass, vorhandene Tools zu rationalisieren und der Vielfalt von Punktlösungen verschiedener Anbieter Herr zu werden. Wenn Sie eine Liste Ihrer Tools aufstellen, sollten Sie gleichzeitig erfassen, welche Risiken mit den einzelnen Tools reduziert werden. Denn letztendlich geht es beim Thema Sicherheit um wirksames Risikomanagement. Sehen Sie sich dann im Detail an, welche Sicherheitsfunktionen nativ in Ihre Cloud-Lösung integriert sind, und erstellen Sie eine Lückenanalyse, um zu identifizieren, welche Sicherheitsaspekte noch nicht abgedeckt sind. Anstelle von reinen Annahmen stehen Ihrem Team nun Fakten zur Verfügung, um zu entscheiden, ob sie das Unternehmen mit den Tools des Cloud-Anbieters oder einer Drittanbieterlösung schützen sollten.

Anforderungen sind Trumpf

Bei unseren Beratungsgesprächen haben wir die Erfahrung gemacht, dass sich die meisten Kunden als Erstes nach Firewalls oder DLP-Lösungen (Data Loss Prevention (Schutz vor Datenverlust)) erkundigen und Fragen stellen wie:

Sollen wir unsere vorhandene On-Premises-DLP-Lösung für die Cloud verwenden oder auf ein Tool eines Cloud-Anbieters umstellen?

Das ist natürlich eine berechtigte Frage. Allerdings weist sie in der Regel darauf hin, dass sich Sicherheitsteams eher auf die Technologie als auf die unternehmensspezifischen Anforderungen konzentrieren. Wenn wir die Frage umformulieren, wird die Antwort viel offensichtlicher:

Gibt es Complianceanforderungen in Bezug auf Ihre Daten, die die Nutzung einer cloudbasierten DLP-Lösung ausschließen?

Diese Fokussierung auf Anforderungen ist nicht nur für DLP-Lösungen wichtig. Nehmen wir das Beispiel der Firewalls: Früher, als es keine Alternative zu On-Premises-Lösungen gab, hatten Unternehmen keine Wahl. Sie mussten ihre Firewall als Stand-alone-Lösung kaufen und lokal bereitstellen. Heute sind Firewallfunktionen direkt im Rahmen von Cloud-Plattformen wie Microsoft Azure, Amazon Web Services und Google Cloud Platform erhältlich. Diese ähneln zwar den Funktionen von Stateful Firewalls, lassen aber in der Regel die Einbindung von Threat-Intelligence-Feeds, Antimalwaretechnologie und Intrusion-Prevention-Systemen vermissen. Dennoch muss gesagt werden, dass diese Firewalls auf jeden Fall Schutz bieten. Es ist nur wichtig, dass Unternehmen wissen, auf welche Merkmale sie verzichten, wenn sie die Firewall eines Cloud-Anbieters anstelle ihrer On-Premises-Lösung nutzen.

Fragen mit Fokus auf den Anforderungen sind für sämtliche Sicherheitsfunktionen hilfreich, darunter Identitäts- und Zugriffsmanagement (IAM), DLP, HSMs (Hardwaresicherheitsmodule) und Endpunktschutz.

Zusammenfassung: Sicherheitsfunktionen vom CSP oder lieber von einem Drittanbieter?

Nutzen Sie den Umstieg auf die Cloud als Gelegenheit, um ein Inventar aller vorhandenen Sicherheitstools zu erstellen und die Sicherheitsanforderungen Ihres Unternehmens zu identifizieren. Verwenden Sie cloudbasierte Sicherheitsmechanismen, wo Ihre Anforderungen dies zulassen, und stellen Sie bei der Nutzung von Drittanbieterlösungen sicher, dass diese wahrhaft cloudnative Funktionen bieten – sprich, dass sie die funktionsreichen APIs von Cloud-Plattformanbietern einbinden und umsetzen können. Ein sinnvoller Sicherheitsansatz muss native APIs in Kombination mit bestimmten Sicherheitsmechanismen von Cloud- und Drittanbietern umfassen, um Entwicklern Innovationsfreiheit zu ermöglichen und geschäftliche Flexibilität sicherzustellen.

Genau hier setzen cloudunabhängige Tools an. Weitere Informationen zu den Vorteilen cloudunabhängiger Sicherheitslösungen finden Sie auf unserer Überblicksseite für Prisma™ Cloud.