Cloud Security: Drei Beispiele aus unserem Berater-Alltag
Ein Beitrag aus dem Infoletter 24
Die operative Umsetzung von Cloud Security kann – je nach Anforderungsprofil des jeweiligen Kunden – stark variieren. Wir stellen Ihnen drei Projekte exemplarisch vor.
Einrichtung einer sicheren Oracle-Cloud
Ausgangslage:
Unser Kunde ist IT-Dienstleister und nutzt im Rahmen eines Kundenprojekts die Oracle Cloud Infrastructure (OCI) in Form von Infrastructure-as-a-Service (IaaS) für die Bereitstellung einer webbasierten Applikation. Wir wurden hinzugezogen, um die bereits im Testbetrieb befindliche Lösung auf Schwachstellen und Sicherheitsprobleme zu überprüfen.
Eine besondere Herausforderung bei diesem Projekt war die heterogene und hybride Infrastruktur der Plattform, in der Komponenten sowohl durch den IT-Dienstleister in Rechenzentren und Serverräumen (On-Premise) und parallel andere Komponenten sowohl in der Oracle Cloud als auch in Microsoft Azure betrieben wurden und die Datenflüsse nicht eindeutig definiert waren.
Unsere Vorgehensweise:
- Im ersten Schritte führten wir ein Security Assessment durch und evaluierten den IST-Zustand auf Basis einer Risikoeinschätzung.
- Ergänzend vermittelten wir den Mitarbeiter:innen unseres Kunden das notwendige Security Know-How im Rahmen von Trainings.
- Im dritten Schritt entwickelten wir gemeinsam mit dem Kunden einen geeigneten Maßnahmenplan. Schwerpunkte legten wir dabei auf Anpassungen in der Sicherheitsarchitektur und der sicheren Konfiguration der eingesetzten Cloud-Infrastruktur sowie dem Mitigieren von identifizierten Schwachstellen.
Entwicklung einer Cloud Security Policy für einen großen Mode-Retailer
Ausgangslage:
Unser Kunde ist ein großer Mode-Retailer, der bereits erste Applikationen, Dienste und Daten in Cloud-Infrastrukturen migriert hat, allerdings noch keine klar definierten Sicherheitsanforderungen hierfür definiert hatte. carmasec wurde damit beauftragt, verbindliche Vorgaben für die Verarbeitung der sensiblen Daten in Cloud-Infrastrukturen zu erarbeiten und Leitplanken für die Nutzung der Cloud-Dienste für die Mitarbeiter:innen zu definieren.
Unsere Vorgehensweise:
Im Rahmen der Erstellung der Security Policy fokussierten wir folgende Schwerpunkte:
- Klassifizierung der Daten, die in der Cloud verarbeitet werden dürfen
- Definition von Schutzmaßnahmen für diese Daten (z.B. Verschlüsselungsvorgaben)
- Erstellung von Hilfestellung zur sicheren Konfiguration von Cloud Services
Aktuell wird die Richtlinie von unserem Kunden in dessen bestehende Prozesse eingepflegt.
Integration von Cloud Security in das ISMS eines eCommerce-Händlers
Ausgangslage:
Unser Kunde, die eCommerce-Tochter eines großen Baustoff-Retailers nutzt bereits Cloud-Dienste. Zum Zeitpunkt unserer Beauftragung wurde unternehmensintern ein Managementsystem für Informationssicherheit und Datenschutz (ISMS/DSMS) etabliert. Unsere Aufgabe war es, Betriebsprozesse in der Cloud zu standardisieren und in das ISMS zu integrieren.
Unsere Vorgehensweise:
In einer frühen Projektphase stellte sich bereits heraus, dass eine grundsätzliche Sensibilisierung für Sicherheitsthemen im Kontext von Cloud-Diensten ein zentraler Schwerpunkt sein würde. Darauf leitete sich die folgende Vorgehensweise ab:
- Konzeption und Durchführung einer Grundlagenschulung zu Cloud Security
- Definition von Anforderungen an die sichere Nutzung von Cloud-Infrastrukturen
- Harmonisierung der abgeleiteten Maßnahmen mit dem neu eingeführten Managementsystem für Informationssicherheit und Datenschutz