Cloud

Cloud Security: Vom Perimeterschutz zur identitätsbasierten Sicherheit

Nicht nur die Art und Weise wie gearbeitet wird ändert sich rapide, sondern auch der Umgang mit Daten und deren Speicherort. Neue Technologien nehmen immer mehr Einfluss auf das Arbeits- und Privatleben. Intelligente Geräte (Smartphone, Tablet, Smartwatches) sind heute etablierte Arbeitsmittel und werden rege eingesetzt. Die junge Generation lässt sich nicht mehr ohne flexible Arbeitsmodellangebote für eine Firma gewinnen. Das Bedürfnis mit verschiedenen Geräten jederzeit auf Anwendungen, Informationen und Daten zuzugreifen und diese teilen zu können, wächst drastisch. Zusätzlich wagen immer mehr Firmen erste Schritte in die Cloud (z.B. Auslagerung des Email Servers nach Office 365) ohne ihre Sicherheitskonzepte anzupassen. Traditionelle Sicherheitskonzepte kommen durch all diese Trends an ihre Grenzen.

Andreas Schmid, Principal Product Manager
02 April 2019

Vom Perimeter zur Identität

Bislang schützten Unternehmen ihre Daten mit einem mittelalterlichen Konzept: um die Firma wurde eine Mauer (Firewall) aufgebaut. Dieser geschützte Bereich wird als Perimeter bezeichnet. Für Mitarbeiter, welche von aussen auf Daten zugreifen mussten, wurden Tunnels gebaut, welche die Daten verschlüsselt übermittelten (VPNs). Für Programme, die gegen innen und aussen kommunizieren sollen, wurden Löcher für einen kontrollierten Austausch in die Mauer gebohrt (Ports). Somit kann die traditionelle IT-Architektur und Datenhaltung der Firmen mit einer gut bewachten Burg mit Aussenmauern verglichen werden. In der Cloud gibt es diesen Perimeter nicht mehr. Die Daten sind neu ausserhalb des Perimeters (in der Cloud) und die Mitarbeiter greifen auch mit Geräten und von Lokationen ausserhalb des Perimeters auf die Daten zu. Die neue Art des Schutzes beruht auf dem Konzept, dass sowohl die Daten verschlüsselt abgelegt und übertragen wie auch der Zugriff auf die Daten nur für sichere Identitäten erlaubt wird. Dieses Konzept nennt sich identitätsbasierte Sicherheit. Siehe auch die folgende Grafik zur Illustration:

Der User und sein Verhalten im Mittelpunkt

Anders als in herkömmlichen Systemen dreht sich die identitätsbasierte Sicherheit um den Benutzer. Dabei geht es aber nicht nur um die Person, sondern um den Benutzer als “Ganzes”: seine Geräte mit denen er sich einloggt, die geographischen Orte wo er sich aufhält, die Apps mit denen er auf die Daten zugreift, das Verhalten des Mitarbeiters beim Zugriff, etc. Public Cloud Services wie Microsoft investieren Milliarden in diese identitätsbasierte Sicherheit und bieten ein ganzes Toolset an Sicherheitsmechanismen. Während das Einloggen in traditionellen Systemen aus der Kombination von Benutzername und Passwort besteht und damit anfällig ist für menschliche Fehler und externe Angriffe, ist die Verwendung eines zweiten Faktors (two factor authentication) gekoppelt mit definierten Zugriffsregeln (conditional access) wesentlich sicherer. Mittels Conditional Access kann ein unübliches Verhalten eines Gerätes oder Benutzers erkannt und Schaden verhindert werden. Versucht beispielsweise ein Gerät sich innerhalb weniger Minuten von Paris und danach von New York einzuloggen, erkennt Conditional Access automatisiert, dass dieses Gerät oder der Benutzer unmöglich in dieser Zeit von Paris nach New York reisen konnte. Entsprechend wird der Zugriff blockiert oder z.B. ein weiterer Sicherheitsfaktor für das Einloggen abgefragt.

Digitaler Arbeitsplatz dank Microsoft 365

Daten in der Cloud haben den Vorteil, dass sie von überall aus mit allen geteilt werden können. So entsteht ein digitaler Arbeitsplatz, der zwar ortsunabhängig aber genauso funktional wie der Büroschreibtisch mit Desktop Computer ist. Aber auch hier entstehen Risiken hinsichtlich der Sicherheit. Microsoft 365 beinhaltet für die Benutzer Möglichkeiten, Daten mit Hilfe von Berechtigungen intern wie auch extern zu teilen. Das digitale Arbeiten in der Cloud bringt Unternehmen somit viele Vorteile, nicht nur hinsichtlich der Produktivität und Flexibilität der Mitarbeiter, sondern auch bezüglich der Kosten und dem gemeinsamen Arbeiten in Projekten mit Lieferanten, Partnern oder Kunden. Identitätsbasierte Sicherheit und Microsoft 365 sind so die Antwort auf die Herausforderungen der Arbeit in der Cloud in einer digitalen Welt, mit Sicherheit als höchster Priorität. Die technischen Möglichkeiten für einen sicheren Weg in die Cloud sind also da. Die Technologien richtig zu konzipieren und konfigurieren braucht das Wissen von Profis, die wissen was sie tun. Wir bei Swisscom haben das für uns selber umgesetzt. Es war eine nicht ganz einfache Reise, während der wir bemerkt haben, wie wenig Knowhow dafür in der Schweiz vorhanden ist. Nun sind wir bereit und lassen unsere Kunden gerne von unserem Knowhow profitieren.