The Doppler Quarterly (DEUTSCHE) Winter 2018 | Page 13
Die Bewertung der Sicherheit Ihrer Azure-Umgebungen
anhand standardisierter Benchmarks trägt dazu bei, dass
die Sicherheit im Unternehmen nicht beeinträchtigt wird.
Immer mehr Unternehmen nutzen die Vorteile, die sich aus dem Wettbewerb
zwischen den Anbietern von Public Cloud-Lösungen ergeben. Auch wenn AWS
nach wie vor Marktführer ist, wächst die Microsoft Azure-Lösung mit außer-
gewöhnlicher Geschwindigkeit. Was jeder Public Cloud-Initiative gemeinsam
ist, ist die Notwendigkeit, ein Cloud-Sicherheitsprogramm zu entwickeln, das
sich typischerweise auf die folgenden Aufgaben konzentriert:
• Erkennen der Bereiche mit Risiken für die Informationssicherheit im
Unternehmen, die sich auf Unternehmensziele wie „Cloud First“ bezie-
hen. Definieren der Auswirkungen und notwendigen Verbesserungen auf
drei Ebenen: Menschen, Prozesse und Technologie.
• Bewerten und Implementieren von Sicherheitskontrollen zur Risikomini-
mierung in diesen Bereichen.
In der Praxis leiten viele Unternehmen jedoch häufig erst nachträglich Cloud-Si-
cherheitsprogramme als Reaktion auf bereits in den Public Clouds bereitgestellte
Workloads ein. Bei vielen Sicherheitsteams bestand lange der Eindruck, dass
Workloads in der Public Cloud nicht ausreichend geschützt sind. Daher ist die Not-
wendigkeit, den aktuellen Stand der Sicherheitskontrollen von Azure zu überprü-
fen, die von verschiedenen Bereitstellungsteams willkürlich durchgeführt werden,
in vielen Unternehmen sehr dringend geworden.
Die Bewertung der Azure-Sicherheit beginnt mit der
Definition einer standardisierten Security-Benchmark
Angenommen, Sie sind sich darüber einig, dass die Bewertung der bereits
implementierten Sicherheitskontrollen in Ihren Azure-Umgebungen eine Ihrer
obersten Prioritäten ist. Wo sollen Sie anfangen?
NIST SP 800-53 und ISO 27001 sind umfassende Sicherheitsstandards, deren Imple-
mentierung mehrere Monate an Planungs- und Umsetzungszeit erfordert. In den
vom Center for Internet Security (CIS) definierten Top 20 der kritischen Sicher-
heitskontrollen werden diese Kontrollmechanismen priorisiert, wobei der Fokus
natürlich auf den wichtigsten Mechanismen liegt. Diese sollen als „Grundlage für
sofortige, dringliche Maßnahmen“ dienen und an anderen Sicherheitsstandards wie
PCI und FedRAMP ausgerichtet sein. Somit wird dieser Standard zu einem wirksa-
men Einstiegspunkt. Es gibt bereits eine CIS AWS Foundations Benchmark, in der
verbindliche Sicherheitskonfigurationen für eine Untergruppe der AWS-Kernser-
vices definiert sind. Eine analoge Baseline für Azure gibt es jedoch bisher nicht.
Daher haben wir bei CTP unsere eigene Azure Foundations Benchmark entwi-
ckelt, die sich sehr eng an die CIS AWS Foundations Benchmark anlehnt. Warum
haben wir uns entschieden, diese Benchmark an der CIS AWS Foundations
WINTER 2018 | THE DOPPLER | 11