Marc Strohbach, IT-Security Berater bei ITGAIN, spricht im Interview über ein Projekt bei einem großen deutschen IT-Dienstleister für Volksbanken und Raiffeisenbanken. Das Projekt fokussiert sich unter anderem auf die Implementierung einer policybasierten Sicherheitsarchitektur in der Azure-Cloud. Dies stellt eine Neuerung dar, da das Unternehmen bisher keine umfassenden Erfahrungen mit Cloud-Technologien gesammelt hat. Um die Einführung von Cloud-Services sicher und kontrolliert zu gestalten, wurde ein umfassendes Programm ins Leben gerufen. Ziel ist es, verschiedene Services, die bislang teilweise On-Premises genutzt wurden, künftig in der Cloud bereitzustellen.
Klare Sicherheitsrichtlinien für eine flexible und sichere Cloud-Nutzung
Ein zentrales Anliegen der Umsetzung war es, von Anfang an klare Sicherheitsrichtlinien zu etablieren, die den Umgang mit der Cloud regeln. Dieser policybasierte Ansatz soll von vornherein Leitplanken setzen, innerhalb derer sich die Entwickler bewegen können. Ziel ist es, unerwünschte oder unsichere Aktivitäten zu verhindern und gleichzeitig den Entwicklern genügend Spielraum für den Wissensaufbau zu lassen, erklärt Marc Strohbach. Der Entwicklungsprozess des IT-Dienstleisters folgt dem klassischen Stagingkonzept. Die implementierten Policies erweitern sich im Umfang und Effekt je Stage, sodass jederzeit eine klare Vorgabe vorhanden ist, welche Anforderungen an einen Azure-Service pro Stage gestellt werden.
Ein Beispiel für eine solche Policy ist die Regelung des Zugriffs auf Azure Storage Accounts. Standardmäßig sind diese Accounts öffentlich erreichbar, was potenzielle Sicherheitsrisiken birgt. Die eingeführte Policy verlangt, dass der öffentliche Zugriff deaktiviert wird, sodass nur interne Services darauf zugreifen können. Solche und weitere Policies werden von Marc Strohbach und seinen Kolleginnen und Kollegen für zahlreiche Azure-Services definiert und implementiert, um eine sichere und compliance-konforme Nutzung zu gewährleisten.
Es gab auch Herausforderungen
„Die Einführung dieser strikten Sicherheitsvorgaben wird nicht immer positiv aufgenommen, da sie für die Entwickler zusätzlichen Aufwand bedeutet“, erinnert sich Marc Strohbach. „In der Praxis müssen daher oft Kompromisse gefunden werden, bei denen die Bedürfnisse der Entwickler und die Sicherheitsanforderungen in Einklang gebracht werden.“ Dies erfordert nicht nur technische Lösungen, sondern auch eine aktive Kommunikation und Beratung durch die Sicherheitsexperten.
Ein besonderes Merkmal dieses Projekts ist die Flexibilität der Sicherheitsarchitektur. Obwohl es einen festen Rahmen gibt, in dem die Sicherheitsvorgaben definiert sind, können diese an die individuellen Bedürfnisse des jeweiligen Kunden angepasst werden. Dies ermöglicht es, spezifische Anforderungen, wie zum Beispiel die Gültigkeitsdauer von Zertifikaten, je nach Kundenwunsch zu variieren.
In diesem so wie in vergleichbaren Projekten ist es manchmal erforderlich, dass das Team nicht nur auf Best Practices und Empfehlungen von Microsoft zurückgreift, sondern auch aktiv neue cloud-spezifische Sicherheitsstandards definiert, insbesondere wenn seitens des Kunden noch keine klaren Vorgaben vorliegen. Marc Strohbach sagt dazu: „ITGAIN unterstützt den Kunden dabei gerne und steht ihm von Beginn an bis weit über den Abschluss des Prozesses hinaus zur Seite.”
Kontinuierliche Überwachung und Anpassung für optimale Cloud-Sicherheit
Ein weiteres wichtiges Element ist die Überwachung und Kontrolle der technischen Umsetzung, um sicherzustellen, dass die festgelegten Sicherheitsrichtlinien eingehalten werden. Um proaktiv handeln zu können, erfolgt von ITGAIN eine kontinuierliche Überwachung und regelmäßige Bewertung der umgesetzten Sicherheitsarchitektur. Durch die dynamische Cloud-Umgebung mit sich ständig ändernden Services und Rahmenbedingungen ist diese Art der Überprüfung unerlässlich für eine umfassende Sicherheitsimplementierung.