Erfahren Sie, wie Sie trotz komplexer gesetzlicher Vorschriften einen schnellen Cloud-Betrieb aufrechterhalten können.
Rapid7 Cloud Risk Complete云合规性或云安全合规性是指过程。, mit dem sichergestellt wird, 决定了云环境和其中发生的事情 gesetzliche Standards 对公司所在行业的尊重. Ein Unternehmen muss sich in der Regel an eine Reihe von Compliance-Standards für die Cloud halten. Dabei obliegt es dem für die Einhaltung der Sicherheitsvorschriften zuständigen Personal, Cloud-Services so zu konfigurieren und zu nutzen, 他们符合现行的指导方针 云控制矩阵(CSA CCM) stehen.
Laut der Cloud Security Alliance „kann die CCM als Tool für die systematische Analyse einer Cloud-Implementierung eingesetzt werden und Hinweise darauf geben, welche Sicherheitskontrollen von welchem Akteur innerhalb der Cloud-Lieferkette implementiert werden sollten“. Daher existieren je nach Branche, in der ein Unternehmen tätig ist, wirkungsvolle Frameworks, an denen sich Teams orientieren können, um die Compliance zu gewährleisten, 而他们的大部分活动都转移到了云上.
Eine größtmögliche Automatisierung der Cloud-Compliance ist in den Umgebungen von heute unerlässlich, 特别是在医疗保健等受到高度监管的行业, dem Finanzsektor und der Energiebranche. 强大的云遵从工具应该能够, Abweichungen von den vorgegebenen Unternehmensstandards zu erkennen und Umgebungen schnell wieder in einen ordnungsgemäßen Zustand zu versetzen. So sparen Sie nicht nur Zeit und Geld, sondern verringern auch das Risiko, mit den Aufsichtsbehörden in Konflikt zu geraten.
Es gibt viele gesetzlich vorgeschriebene - und einige sehr empfehlenswerte - Frameworks, die von territorialen bis hin zu international anerkannten Konformitätsstandards reichen und mehrere Branchen betreffen.让我们来看看一些比较知名的标准, 全球贸易的很大一部分必须遵守:
这些基准由互联网安全中心(CIS)制定。, einer gemeinnützigen Organisation, die Unternehmen bei der Verbesserung ihrer Sicherheits- und Compliance-Programme unterstützt. Das CIS möchte von der Gemeinschaft entwickelte Baselines für die Sicherheitskonfiguration (CIS-Benchmarks) für IT- und Sicherheitsprodukte schaffen. Die Benchmarks sind für Anwendungen, Cloud-Computing-Plattformen, 可用的操作系统和许多其他领域.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union schreibt den Schutz personenbezogener Daten von EU-Bürgern vor, 无论公司或数据的地理位置如何. 它包括技术和组织措施, die regelmäßig aktualisiert werden, 使安全水平与当前的风险水平相匹配.
Das 联邦风险和授权管理计划(FedRAMP) ist eine Initiative der US-Bundesregierung zur Bereitstellung eines standardisierten Ansatzes für die Sicherheitsanalyse, 云服务的授权和持续监控. FedRAMP möchte, dass Unternehmen moderne Cloud-Lösungen und -Technologien sicher nutzen können – vor allem, wenn staatliche Informationen betroffen sind.
Dieser Standard des American Institute of CPAs (AICPA) definiert Richtlinien für die Berichterstattung über die Verwaltung von Kundendaten durch Unternehmen. 这些报告使企业能够管理其供应商供应链。, 实施风险管理流程和更多. Sie sind an eine breite Palette von Stakeholdern gerichtet und sollen in verständlicher, standardisierter Sprache gehalten sein.
Der 《十大赌博官方正规网址》(HIPAA) verlangt von Unternehmen, die mit Patientendaten und anderen geschützten Gesundheitsinformationen (Protected Health Information, PHI) arbeiten, 通过有效措施保护这些数据免受安全漏洞的侵害. HIPAA安全规则描述了管理。, 保护电子PHI (ePHI)的技术和物理控制. 因为本标准所涵盖的数据是敏感数据, 自2005年以来,美国政府是否强制执行这一安全规定?. Teil 2 des HIPAA wurde 2022 veröffentlicht und schützt im Wesentlichen „Datensätze zur Identität, Diagnose, Prognose oder Behandlung eines Patienten, die im Zusammenhang mit der Durchführung eines Programms oder einer Aktivität zur Prävention, Schulung, Behandlung, 继续进行药物滥用领域的康复或研究, 由美国政府部门或机构执行的, 直接或间接地受到监管或鼓励。”.
ISO/IEC 27001是云安全的遵从性管理标准。, der gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) herausgebracht wurde. ISO/IEC 27001 spezifiziert Best Practices für das Sicherheitsmanagement sowie umfassende Sicherheitskontrollen für Managementsysteme im Bereich der Informationssicherheit. Es handelt sich um einen freiwilligen Standard, den einige Unternehmen anwenden, um von den darin enthaltenen Best Practices zu profitieren und ihren Kunden die Gewissheit zu geben, 实施全面的风险管理解决方案.
Ergänzend zum letzten Punkt empfiehlt es sich oft, dass Unternehmen ihr Compliance-Programm über das vorgeschriebene Maß hinaus ausbauen und zusätzliche Maßnahmen einrichten, die speziell auf ihre geschäftlichen Anforderungen und ihr spezifisches Umfeld zugeschnitten sind. Die Ausarbeitung dieser individuellen Richtlinien als Ergänzung zu den bestehenden Compliance-Programmen ist eine proaktive Maßnahme, 带来的好处不仅仅是遵守规则.
Die Zeiten, 云计算是新事物,没有人理解, wie komplex die Abstimmung auf das eigene Unternehmen und die Einhaltung der aktuellen Compliance-Standards ist, sind vorbei. Doch trotz der zahlreichen Vorteile eines Wechsels in die Cloud gibt es auch weiterhin einige komplexe Aspekte, denen Sie sich bewusst sein müssen.
当一家公司向云运营进行“大转型”时, stellt die fehlende einheitliche Sichtbarkeit der Umgebungen eine zentrale Herausforderung dar. Dieses Problem kann sich auch auf menschliche Benutzer erstrecken und betrifft die Verfolgung, wer Zugang zu den Daten hat, 在哪里可以访问它,访问的频率.
云漏洞最常见的原因是配置错误。. Nach Angaben von Gartner sind sogar 95 % der Cybersicherheitsverstöße auf Konfigurationsfehler in der Cloud zurückzuführen. Dabei werden einige von Menschen verursacht, andere, weil angenommen wird, 该平台将解决问题, und wiederum andere, 因为我们想让获取资源变得更容易. Unternehmen müssen Kontrollen implementieren, 防止或发现和纠正这些错误, um einen Datenverstoß zu vermeiden.
Für die Erfüllung bestimmter regulatorischer Standards müssen externe Prüfer häufig die von einem Unternehmen eingerichteten Kontrollen bescheinigen. 公司必须根据要求提供这些外部审计员的证明, 验证云的安全运行, sowie Zertifizierungen, 遵守特定行业的监管标准. 证书的有效期通常为几年。, 证书必须不断更新.
不加思考地迁移到云通常会带来复杂的方面。, die mehr schaden als nutzen. Cloud-Umgebungen sind ausgesprochen unbeständig, 而对于遗留或本地系统来说,这种情况就不那么常见了。. 在快速迁移到云计算时,企业往往不太了解, was mit den veralteten Systemen geschehen soll, die dennoch weiter verwaltet werden müssen. Dies kann ein DevOps-Team vor Probleme stellen. Ausnahmen sorgen für noch mehr Komplexität – z. B. eine Ressource oder eine Workload, die von einem bestimmten Standard ausgenommen ist. 当没有释放资源的机制时, kann dies zu Fehlmeldungen führen, 可能导致不必要的和昂贵的中断.
Sehen wir uns nun einige Best Practices und allgemein anerkannte Sicherheitsmaßnahmen an, die einigen der größeren Herausforderungen bei der Einhaltung gesetzlicher Standards und der Compliance in der Cloud entgegenwirken können.
Die Datenverschlüsselung 将原始数据格式转换为不可读的格式. Dienste wie die Google Cloud Platform (GCP) verschlüsseln Kundendaten immer automatisch, nachdem sie empfangen wurden, 但在它们被写入硬盘并实际存储之前. Ein weiteres Beispiel ist die Verschlüsselung von Zugangsdaten durch Cloud-Sicherheitsanbieter; häufig sind mehrere Entschlüsselungsschritte erforderlich, bevor diese Zugangsdaten verwendet werden können.
Stichwort Zugangsdaten: Das Prinzip des Least-Privilege-Zugriffs (LPA) stellt sicher, 只有个人或程序可以访问, 真正需要在云计算中执行特定任务的人. Lösungen, die LPA nutzen, setzen in der Regel Automatisierung ein, 根据用户角色增加或减少权限.
Mit dem „Zero Trust让云环境特别安全的概念. Sämtliche menschlichen Benutzer, Endgeräte, Mobilgeräte, Server, Netzwerkkomponenten, Netzwerkverbindungen, Anwendungs-Workloads, 业务流程和数据流本质上是不可信的. Sie müssen bei jeder durchgeführten Transaktion durchgehend authentifiziert und autorisiert werden, wobei alle diese Maßnahmen sowohl in Echtzeit als auch im Nachhinein überprüfbar sein müssen.
Das Prinzip eines ausgereiften Frameworks für den Cloud-Betrieb besagt im Wesentlichen, dass Stakeholder einen akzeptierten Ansatz für die Implementierung und Bewertung einer Cloud-Architektur verfolgen sollten, der sich bestmöglich an den Bedürfnissen und Prioritäten des Unternehmens orientiert. Das AWS Well-Architected Framework 也许是这一原则最著名的例子。. 帮助客户识别高风险问题.
2022 Cloud Misconfigurations Report: Neueste Cloud Security-Verstöße und Angriffstrends