Immer mehr Unternehmen migrieren in die Cloud oder haben die Migration bereits abgeschlossen. Kosteneinsparungen, eine bedarfsoptimierte Skalierbarkeit und der ortsunabhängige Zugriff auf Anwendungen und Daten sind dabei nur einige Vorteile der Cloud-Nutzung. Der Schutz der Cloud-Umgebung ist angesichts der Weiterentwicklung der digitalen Landschaft von entscheidender Bedeutung.
Neben den bisher gültigen Sicherheitsanforderungen für lokal genutzte Anwendungen (On-Premises), gibt es weitere Anforderungen, die speziell auf die Gegebenheiten des Cloud Computing eingehen. Neben herstellerunabhängigen Anforderungen (z.B. Anforderungen des Bundesamts für Sicherheit [BSI] „Kriterienkatalog Cloud Computing C5“ und National Institute of Standards and Technology [NIS] „SP 800-144, Guidelines on Security and Privacy in Public Cloud Computing“) sind auch herstellerspezifische Anforderungen und Better Practices relevant, wie beispielsweise das Microsoft Azure Well-Architected-Framework sowie die Anforderungen des amerikanischen Center for Internet Security (CIS).
Zur Strukturierung relevanter Themenstellungen und Anforderungen hat KPMG ein Cloud Security Framework entwickelt, mit dem wir unabhängig von Ihrem individuellen Startpunkt und den eingesetzten Cloud-Modellen die für Sie relevanten Themen schnell und effizient identifizieren und adressieren können.
Das Cloud Security Framework von KPMG
Cloud Security Governance
Cloud Security Governance umfasst insbesondere die Aufsicht und strategische Ausrichtung, die für eine sichere Cloud-Umgebung erforderlich sind. Hier entsteht das Rahmenwerk, welches die gesamte Cloud umgibt. Es umfasst die Definition, Implementierung und den automatisierten Betrieb geeigneter Kontrollen sowie die Compliance- und Sicherheitsrisikoberichterstattung.
Wir stellen den Schutz der Identitäten und Daten in den Mittelpunkt unserer Sicherheitsstrategie und haben dafür das Zero-Trust-Modell entwickelt, das bei der Umsetzung unserer Cloud-Security-Strategien Anwendung findet.
Durch die globale Ausrichtung der Public Clouds spielen hier die gesetzlichen Anforderungen hinsichtlich des Datenstandorts und der Datenverarbeitung eine elementare Rolle.
Secure Cloud Deployment
Secure Cloud Deployment umfasst die Absicherung der Prozesse rund um den Lebenszyklus von Cloud-Anwendungen und der Cloud-Infrastruktur. Gemäß Secure DevOps (SecDevOps/DevSecOps) bauen wir auf dem Shift-Left-Security-Ansatz auf, der Sicherheit und Datenschutz von Beginn an als integralen Bestandteil des Secure Software Development Lifecycle ansieht, und beziehen die Sicherheitsanforderungen bereits beim Design und bei der Erstellung der Lösungen ein.
Secure Cloud Platform
Secure Cloud Platform beinhaltet die Implementierung von Cloud-nativen Plattform-Sicherheitsdiensten und Sicherheitshärtung rund um Perimeter, Speicher und Rechenressourcen sowie Daten- und Anwendungs-Workloads. Neben dem Schutz der Daten durch Verschlüsselung geht es hier ebenso um den Schutz der „darunterliegenden“ Schichten. Die Programmierschnittstellen (APIs) der Applikationen müssen ebenso geschützt werden wie der Zugang zu virtuellen Maschinen und zur Netzwerkkommunikation.
Secure Cloud Operations
Um den sicheren Betrieb der Cloud-Umgebung zu ermöglichen, reichen proaktive Maßnahmen allein nicht aus. Es ist notwendig die Cloud zu überwachen, um Schwachstellen, verdächtige Konfigurationen und andere unnormale Verhalten zu entdecken. Auch Änderungen an der Umgebung müssen berücksichtigt und überwacht werden, um keine ungewollten Anpassungen unentdeckt zu lassen. Eine kontinuierliche Überwachung in Verbindung mit der Anpassung von existierenden bzw. der Einführung neuer operativer Prozesse sind hier enorm wichtig.
Access Management
Die Zugriffsverwaltung befasst sich mit den Funktionen, die zum Einrichten und Verwalten von Identitäten und Identitätsdaten (Mensch, Dienst, Gerät usw.), Identitätsberechtigungen/-autorisierungen und Identitätsauthentifizierung einschließlich Single Sign-On (SSO), Multi-Faktor, Federation und Verzeichnisdiensten in Cloud-Umgebungen erforderlich sind.
Availability und Scalability
Verfügbarkeit und Skalierbarkeit umfassen die Fähigkeiten, die erforderlich sind, um die Ziele für die Wiederherstellungszeit (RTO) und den Wiederherstellungspunkt (RPO) für Daten, Dienste und Infrastruktur in der Cloud zu erreichen, sowie die Möglichkeiten, Cloud-native Konzepte zu nutzen, um diese zu erreichen (z.B. dynamische Skalierung, Architekturen mit mehreren Regionen und Zonen, sichere Backups usw.)
Mithilfe des Cyber Security Frameworks von KPMG können die notwendigen Themengebiete, die für Sie relevant sind, schnell und effizient identifiziert werden. Nach der Identifizierung der Bereiche arbeiten wir mit Ihnen gemeinsam an der Umsetzung der passenden Maßnahmen, um Ihre Cloud-Umgebung sicherer zu machen, damit Sie Ihre Daten und Workloads schützen können.
Wir freuen uns darauf, Sie bei Ihrer Cloud-Reise zu begleiten und mit Ihnen gemeinsam den Weg zu einer effizienten Cloud-Adoption zu gehen.
Publikationen
Weitere interessante Inhalte für Sie
Ihre Ansprechpersonen
Mein Profil
Speichern Sie Inhalte, verwalten Sie Ihre Bibliothek und teilen Sie die Inhalte mit Ihrem Netzwerk.
Wilhelm Dolle
Partner, Consulting, Head of Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft
Markus Limbach
Partner, Consulting, Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft
So kontaktieren Sie uns
- KPMG-Standorte finden kpmg.findOfficeLocations
- kpmg.emailUs
- Social Media @ KPMG kpmg.socialMedia