Zum Inhalt springen

Künstliche Intelligenz treibt das Wachstum des Cybersicherheitsbudgets bis 2026 an, doch ihren Wert nachzuweisen, ist die eigentliche Herausforderung.Den Bericht anfordern.

Demo anfordern

Cloud-Sicherheitsaudits: Schritt für Schritt

  • 6 minutes to read

Inhaltsverzeichnis

    Was ist ein Cloud-Sicherheitsaudit?

    Ein Cloud-Audit ist ein Test einer Cloud-Umgebung, der in der Regel von einem unabhängigen Dritten durchgeführt wird. Während eines Audits sammelt der Prüfer Beweise durch physische Inspektion, Befragung, Beobachtung, Wiederholung oder Analyse.

    Cloud-Sicherheitsaudits konzentrieren sich üblicherweise auf die Sicherheitskontrollen eines Unternehmens – die operativen, verfahrenstechnischen oder technischen Schutzmaßnahmen, die ein Unternehmen zum Schutz der Integrität und Vertraulichkeit seiner Informationssysteme einsetzt. In der Cloud kann ein Prüfer bewerten, welche Sicherheitskontrollen vorhanden sind, ob sie korrekt implementiert sind, ob sie wie erwartet funktionieren und wie effektiv sie Bedrohungen abwehren.

    Darüber hinaus wird bei einem Cloud-Sicherheitsaudit in der Regel überprüft, ob Cloud-Systeme den spezifischen Anforderungen von Vorschriften, Branchenstandards oder Sicherheitsbenchmarks entsprechen.

    Über diesen Erklärer:

    Dieser Inhalt ist Teil einer Reihe zum Thema Cloud-Sicherheit.

    Vorteile von Cloud-Sicherheitsaudits

    Hier sind einige Möglichkeiten, wie Sicherheitsüberprüfungen die Sicherheit Ihrer Cloud-Umgebung verbessern können:

    • Überwachung der Zugriffskontrolle– Mitarbeiter treten dem Unternehmen bei und verlassen es, und Mitarbeiter wechseln in neue Rollen und Abteilungen. Ein Sicherheitsaudit kann sicherstellen, dass die Zugriffskontrolle verantwortungsvoll gehandhabt wird, z. B. indem der Zugriff beim Ausscheiden von Mitarbeitern widerrufen wird und neuen Mitarbeitern nur minimale Berechtigungen gewährt werden.
    • Sicherer Zugriff auf die Cloud– Mithilfe eines Cloud-Sicherheitsaudits können Sie überprüfen, ob Mitarbeiter und andere Benutzer sicher auf Cloud-Systeme zugreifen – beispielsweise mithilfe eines VPN über einen verschlüsselten Kanal.
    • Sicherheit von APIs und Drittanbieter-Tools– Die meisten Cloud-Umgebungen nutzen eine Vielzahl von APIs und Drittanbieter-Technologien. Jede API oder jedes Drittanbieter-Tool stellt ein potenzielles Sicherheitsrisiko dar. Audits können Sicherheitslücken in APIs und Tools identifizieren und dem Unternehmen helfen, diese zu beheben.
    • Überprüfung der Backup-Strategien– Die Cloud erleichtert die Durchführung von Backups. Dies ist jedoch nur dann effektiv, wenn die Cloud-Plattform eines Unternehmens für regelmäßige Backups konfiguriert ist. Ein Audit kann sicherstellen, dass das Unternehmen Backups für alle kritischen Systeme durchführt und Sicherheitsmaßnahmen zum Schutz dieser Backups ergreift.
    Mehr erfahren:

    Lesen Sie unsere ausführliche Erklärung zu Cloud-Sicherheitskontrollen.

    Herausforderungen bei Cloud-Sicherheitsprüfungen

    Hier sind einige wichtige Herausforderungen, die Cloud-Sicherheitsaudits erschweren können, und wie Sie diese bewältigen können.

    Transparenz

    In einer Cloud-Umgebung kontrollieren Cloud-Anbieter den Großteil der operativen und forensischen Daten. Diese Daten sind für Auditzwecke von entscheidender Bedeutung. Audits erfordern eine umfassende Bestandsaufnahme der Cloud-Ressourcen und -Daten, Zugriff auf Sicherheitsrichtlinien und direkten Zugriff auf relevante forensische Daten. Dies erfordert eine Abstimmung mit Cloud-Anbietern und dem IT-Betriebspersonal des Unternehmens.

    Verschlüsselung

    Es gibt zwei Hauptoptionen zum Verschlüsseln von Daten in der Cloud:

    • Sie können Daten vor Ort verschlüsseln und dann in die Cloud senden, aber dabei besteht das Risiko, dass Insider ihre Privilegien missbrauchen.
    • Sie können die Verschlüsselung dem Cloud-Anbieter überlassen, dann besteht jedoch das Risiko von Sicherheitsverletzungen innerhalb der Umgebung des Cloud-Anbieters.

    Aus Audit-Sicht ist es fast immer besser, Daten vor Ort zu verschlüsseln und die Verschlüsselungsschlüssel intern zu verwalten. Audits können jedoch extrem schwierig oder sogar unmöglich sein, wenn die Verschlüsselungsschlüssel vom Cloud-Anbieter verwaltet werden. Die PCI DSS Cloud Special Interest Group empfiehlt Unternehmen, Verschlüsselungsschlüssel unabhängig vom Cloud-Anbieter zu speichern und zu verwalten.

    Colocation

    In einer Cloud-Umgebung nutzen mehrere Umgebungen häufig dieselben physischen Systeme. Dies schafft Sicherheitsprobleme und erschwert die Überprüfung der physischen Umgebung. Wenn es nicht möglich ist, Dienste auf physisch getrennten Geräten auszuführen, muss der Cloud-Anbieter nachweisen, dass er verhindern kann, dass Benutzer des Systems Administratorrechte auf dem Computer erlangen.

    Umfang, Reichweite und Komplexität

    In einem herkömmlichen Rechenzentrum gab es eine begrenzte Anzahl von Servern, die Prüfer überprüfen und darüber berichten konnten. In einer Cloud-Umgebung kann die Anzahl der geprüften Einheiten, darunter physische Hosts, virtuelle Maschinen (VMs), verwaltete Datenbanken, Container und serverlose Funktionen, exponentiell wachsen. Es kann sehr schwierig sein, all diese Einheiten zu prüfen, insbesondere wenn man bedenkt, dass täglich neue Einheiten hinzugefügt und entfernt werden.

    Der Schlüssel zur Auditierbarkeit einer Cloud-Umgebung liegt in der Standardisierung der Workloads. Wenn Container beispielsweise nur mit einer begrenzten, kontrollierten Anzahl von Images erstellt werden, können sich Auditoren bei ihren Tests auf diese freigegebenen Container-Images konzentrieren. Ebenso sollten VMs aus einem begrenzten Pool von Maschinen-Images erstellt werden, die von Auditoren überprüft werden können.

    Tipps vom Experten

    Steve Moore

    Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

    Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, Ihren Cloud-Sicherheitsauditprozess zu optimieren:

    Definieren Sie den Prüfungsumfang mit Schwerpunkt auf der gemeinsamen Verantwortung
    Klären Sie den Umfang Ihres Cloud-Sicherheitsaudits, indem Sie Ihre Verantwortung im Vergleich zum Cloud-Anbieter klar definieren. Dies vereinfacht den Auditprozess und hilft den Prüfern, sich auf Ihre Kontrollbereiche wie Daten, Workloads und Zugriffsverwaltung zu konzentrieren.

    Automatisieren Sie die Bestandsaufnahme von Cloud-Ressourcen
    Nutzen Sie automatisierte Tools, um ein aktuelles Inventar aller Cloud-Ressourcen, einschließlich VMs, Containern und serverlosen Funktionen, zu führen. So stellen Sie sicher, dass das Audit den gesamten Umfang Ihrer Cloud-Umgebung präzise erfassen kann, auch wenn neue Ressourcen dynamisch hinzugefügt oder entfernt werden.

    Richten Sie eine auditfähige Protokollierung und Transparenz ein
    Stellen Sie sicher, dass die Protokollierung für alle kritischen Cloud-Dienste aktiviert ist, einschließlich Authentifizierung, Datenzugriff und Konfigurationsänderungen. Zentralisieren Sie Protokolle mithilfe von SIEM, um bei Audits einfach darauf zugreifen zu können und die Einhaltung von Vorschriften wie PCI DSS und HIPAA sicherzustellen.

    Integrieren Sie Auditprozesse in DevSecOps-Pipelines
    Integrieren Sie Sicherheitsprüfungen in Ihre CI/CD-Pipeline, um sicherzustellen, dass alle bereitgestellten Workloads den Sicherheitsstandards entsprechen. So können Prüfer ohne manuelle Eingriffe überprüfen, ob Code- und Infrastrukturänderungen den Sicherheitsrichtlinien des Unternehmens entsprechen.

    Übernehmen Sie bewährte Verschlüsselungsmethoden für die Überprüfbarkeit
    Stellen Sie sicher, dass vertrauliche Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt sind. Die Verschlüsselungsschlüssel werden unabhängig von Cloud-Anbietern verwaltet. Verwenden Sie Tools wie AWS KMS oder Azure Key Vault für die Verschlüsselungsverwaltung. So können Sie die Schlüsselrotation und Datenschutzpraktiken einfacher prüfen.

    6 Schritte zur Durchführung eines Cloud-Sicherheitsaudits

    1. Bewerten Sie die Sicherheitslage des Cloud-Anbieters

    Der erste Schritt eines Cloud-Sicherheitsaudits besteht darin, die Sicherheitslage des Cloud-Anbieters zu bewerten und Kontakt zu dessen Mitarbeitern aufzunehmen, um die erforderlichen Informationen zu erhalten. Im Rahmen Ihres Audits bewerten Sie Sicherheitsverfahren und -richtlinien und ermitteln das inhärente Risiko von Cloud-Systemen anhand zuverlässiger Daten aus Cloud-Systemen.

    2. Bestimmen Sie die Angriffsfläche

    Cloud-Umgebungen sind komplex und wenig transparent. Nutzen Sie moderne Cloud-Monitoring- und Observability-Technologien, um die Angriffsfläche zu identifizieren, risikoreichere Ressourcen zu priorisieren und die Behebungsmaßnahmen zu fokussieren.

    Verstehen Sie, welche Anwendungen in Cloud-Instanzen und Containern ausgeführt werden und ob sie vom Unternehmen genehmigt sind oder Schatten-IT darstellen. Alle Workloads müssen standardisiert sein und über die entsprechenden Sicherheitsmaßnahmen verfügen, um die Compliance zu gewährleisten.

    Diese Art der Überwachung kann die Schwierigkeiten des Modells der geteilten Verantwortung lösen, indem sie kontinuierlich Einblick in das Sicherheitsprofil der von Ihnen verwalteten Cloud-Assets bietet.

    3. Richten Sie strenge Zugriffskontrollen ein

    Verstöße gegen das Zugriffsmanagement gehören zu den häufigsten Sicherheitsrisiken in der Cloud. Anmeldeinformationen für kritische Cloud-Ressourcen können auf vielfältige Weise in die falschen Hände geraten. Mit diesen Maßnahmen können Sie das Risiko minimieren:

    • Erstellen Sie sichere Passwortstandards und -richtlinien
    • Machen Sie die Multi-Faktor-Authentifizierung (MFA) zu einem Muss
    • Beschränken Sie die Administratorrechte
    • Wenden Sie das Prinzip der geringsten Privilegien für alle Cloud-Assets an

    4. Entwickeln Sie externe Freigabestandards

    Sie müssen Standards für die gemeinsame Nutzung von Daten über freigegebene Laufwerke, Kalender, Dateien und Ordner implementieren. Beginnen Sie am besten mit den strengsten Standards und lockern Sie die Sicherheitsbeschränkungen, wenn ein besonderer Bedarf besteht.

    Auf Ordner und Dateien mit den sensibelsten Daten, darunter personenbezogene Daten (PII), Finanzdaten und geschützte medizinische Informationen (PHI), sollte nur unter besonderen Umständen ein externer Zugriff und eine externe Weitergabe gestattet werden.

    5. Patching automatisieren

    Um die Sicherheit Ihrer Cloud-Umgebung zu gewährleisten, sollten Sie regelmäßig Patches installieren. Das Patch-Management kann jedoch für Sicherheits- und IT-Teams eine Herausforderung darstellen. Mehrere Studien haben ergeben, dass Unternehmen im Durchschnitt über einen Monat brauchen, um eine Sicherheitslücke zu schließen.

    Der Schlüssel zu effektivem Patching liegt darin, die wichtigsten Patches zu priorisieren und sicherzustellen, dass kritische Assets regelmäßig automatisch gepatcht werden. Ergänzen Sie die Automatisierung durch regelmäßige manuelle Überprüfungen, um sicherzustellen, dass die Patch-Mechanismen ordnungsgemäß funktionieren.

    6. Verwenden Sie SIEM zur Standardisierung von Cloud-Protokollen

    SIEM-Systeme (Security Information and Event Management) unterstützen Unternehmen bei der Einhaltung zahlreicher Branchenstandards und -vorschriften. Die Protokollverwaltung, eine SIEM-Funktion, ist ein branchenüblicher Ansatz zur Überwachung der Aktivitäten in einem IT-Netzwerk. SIEM-Systeme erfassen Cloud-Protokolle in einem standardisierten Format, ermöglichen Redakteuren die Analyse der Protokolldaten und die automatische Erstellung von Berichten, die für verschiedene Compliance-Standards erforderlich sind.

    Exabeam: Verbesserte Bedrohungserkennung mit fortschrittlicher Sicherheitsanalyse

    Die Exabeam Security Operations Platform bietet eine leistungsstarke Kombination aus SIEM, Verhaltensanalyse, Automatisierung und Netzwerktransparenz, um die Erkennung, Untersuchung und Reaktion von Bedrohungen in Unternehmen zu verändern. Durch die Korrelation von Firewall-Protokollen mit Daten von Endpunkten, Cloud-Umgebungen, Identitätssystemen und anderen Sicherheitsquellen bietet Exabeam tiefere Einblicke in sich entwickelnde Bedrohungen, die sonst unentdeckt blieben.

    Dank verhaltensbasierter Analysen geht Exabeam über statische Regeln und Signaturen hinaus und erkennt anomale Aktivitäten, die auf den Missbrauch von Anmeldeinformationen, Insider-Bedrohungen oder laterale Bewegungen im Netzwerk hinweisen. Durch die Analyse des normalen Benutzer- und Entitätsverhaltens im Zeitverlauf deckt Exabeam risikoreiche Aktivitäten auf, die von herkömmlichen Sicherheitstools möglicherweise übersehen werden.

    Automatisierte Untersuchungen optimieren Sicherheitsabläufe, indem sie unterschiedliche Datenpunkte zu umfassenden Bedrohungszeitplänen verknüpfen. Dadurch wird der Zeitaufwand für Analysten reduziert, die Vorfälle manuell zusammenzufügen. So können Teams die Ursache eines Angriffs schnell identifizieren und präzise reagieren.

    Erfahren Sie mehr über Exabeam SIEM

      Mehr über Exabeam erfahren

      Vertiefen Sie Ihr Wissen mit Webinaren, Leitfäden und Analystenberichten.