The Doppler Quarterly (DEUTSCHE) Winter 2018

Die Bewertung der Sicherheit Ihrer Azure-Umgebungen anhand standardisierter Benchmarks trägt dazu bei, dass die Sicherheit im Unternehmen nicht beeinträchtigt wird. Immer mehr Unternehmen nutzen die Vorteile, die sich aus dem Wettbewerb zwischen den Anbietern von Public Cloud-Lösungen ergeben. Auch wenn AWS nach wie vor Marktführer ist, wächst die Microsoft Azure-Lösung mit außer- gewöhnlicher Geschwindigkeit. Was jeder Public Cloud-Initiative gemeinsam ist, ist die Notwendigkeit, ein Cloud-Sicherheitsprogramm zu entwickeln, das sich typischerweise auf die folgenden Aufgaben konzentriert: • Erkennen der Bereiche mit Risiken für die Informationssicherheit im Unternehmen, die sich auf Unternehmensziele wie „Cloud First“ bezie- hen. Definieren der Auswirkungen und notwendigen Verbesserungen auf drei Ebenen: Menschen, Prozesse und Technologie. • Bewerten und Implementieren von Sicherheitskontrollen zur Risikomini- mierung in diesen Bereichen. In der Praxis leiten viele Unternehmen jedoch häufig erst nachträglich Cloud-Si- cherheitsprogramme als Reaktion auf bereits in den Public Clouds bereitgestellte Workloads ein. Bei vielen Sicherheitsteams bestand lange der Eindruck, dass Workloads in der Public Cloud nicht ausreichend geschützt sind. Daher ist die Not- wendigkeit, den aktuellen Stand der Sicherheitskontrollen von Azure zu überprü- fen, die von verschiedenen Bereitstellungsteams willkürlich durchgeführt werden, in vielen Unternehmen sehr dringend geworden. Die Bewertung der Azure-Sicherheit beginnt mit der Definition einer standardisierten Security-Benchmark Angenommen, Sie sind sich darüber einig, dass die Bewertung der bereits implementierten Sicherheitskontrollen in Ihren Azure-Umgebungen eine Ihrer obersten Prioritäten ist. Wo sollen Sie anfangen? NIST SP 800-53 und ISO 27001 sind umfassende Sicherheitsstandards, deren Imple- mentierung mehrere Monate an Planungs- und Umsetzungszeit erfordert. In den vom Center for Internet Security (CIS) definierten Top 20 der kritischen Sicher- heitskontrollen werden diese Kontrollmechanismen priorisiert, wobei der Fokus natürlich auf den wichtigsten Mechanismen liegt. Diese sollen als „Grundlage für sofortige, dringliche Maßnahmen“ dienen und an anderen Sicherheitsstandards wie PCI und FedRAMP ausgerichtet sein. Somit wird dieser Standard zu einem wirksa- men Einstiegspunkt. Es gibt bereits eine CIS AWS Foundations Benchmark, in der verbindliche Sicherheitskonfigurationen für eine Untergruppe der AWS-Kernser- vices definiert sind. Eine analoge Baseline für Azure gibt es jedoch bisher nicht. Daher haben wir bei CTP unsere eigene Azure Foundations Benchmark entwi- ckelt, die sich sehr eng an die CIS AWS Foundations Benchmark anlehnt. Warum haben wir uns entschieden, diese Benchmark an der CIS AWS Foundations WINTER 2018 | THE DOPPLER | 11

The Doppler Quarterly (DEUTSCHE) Winter 2018 | Page 13