Legen Sie Sicherheits- und Governance-Anforderungen für jeden Cloud-Dienstanbieter fest

Bildungseinrichtungen haben eine Vielzahl von Zielen in den Bereichen Compliance, Unternehmensführung und Cybersicherheit, die sie erreichen müssen. Zu den Risiken der Nichterfüllung dieser Ziele zählen der Verlust des Ansehens von Institutionen, Geldbußen, Lösegeld, Verletzungen vertraulicher Daten, Diebstahl geistigen Eigentums und der eingeschränkte oder vollständige Verlust geschäftskritischer Funktionen. Aufgrund des Modells der gemeinsamen Verantwortung können Institutionen, die Cloud-Dienste einsetzen, den Verwaltungsaufwand reduzieren, indem sie einen Teil der Verantwortung für die Infrastruktursicherheit auf den Cloud-Dienstanbieter übertragen. Darüber hinaus können Sie von speziell entwickelten, Cloud-nativen Sicherheitsdiensten profitieren, die Funktionen bieten, die bei einer lokalen Bereitstellung oft nicht verfügbar, schwer zu verwalten oder zu teuer sind. Beispiele hierfür sind Dienste wie AWS WAFzum Schutz von Webanwendungen, AWS Shieldzum Schutz vor verteilten Denial-of-Service (DDoS) und Amazon GuardDuty zur Bedrohungserkennung. Eine erfolgreiche Cloud-Sicherheits- und Governance-Strategie ermöglicht es IT- und Sicherheitsteams, sich auf die Entwicklung von Systemen zu konzentrieren, die von Haus aus sicher sind, hilft der Institution, sich schnell an die sich ändernden Aufgabenanforderungen anzupassen, und bietet Dozenten und Forschern sichere Umgebungen für bahnbrechendes Lernen und Innovation. Berücksichtigen Sie bei der Bewertung Ihrer Sicherheits- und Governance-Anforderungen die folgenden zentralen Fragen.

• An welchen Compliance-Frameworks müssen Ihre Workloads ausgerichtet sein?

  Bildungseinrichtungen müssen sich aufgrund der Vielzahl von Stakeholdern und Arbeitsbelastungen, die sie unterstützen, an viele Compliance-Rahmenbedingungen halten. Zu diesen Compliance-Rahmenbedingungen gehören der Family Educational Rights and Privacy Act (FERPA), der Health Insurance Portability and Accountability Act (HIPAA), das Federal Risk and Authorization Management Program (FedRAMP), die Cybersecurity Maturity Model Certification (CMMC), die International Traffic in Arms Regulations (ITAR), die Criminal Justice Information Services (CJIS) und der Payment Card Industry Data Security Standard (PCI DSS). In einigen Fällen, wie z. B. bei CMMC, werden Forschungsstipendien erst freigegeben, wenn die entsprechenden Workloads als konform zertifiziert sind. Jedes Framework ist einzigartig und gilt möglicherweise nur für eine Teilmenge von Workloads. Stellen Sie sicher, dass Sie wissen, welche Workloads welchen Anforderungen entsprechen müssen, und dass Sie in der Lage sind, diese Anforderungen in der jeweiligen Workload-Umgebung zu erfüllen. Stellen Sie in Cloud-Umgebungen sicher, dass Sie Ihre Verantwortlichkeiten im Vergleich zu den Verantwortlichkeiten des Cloud-Anbieters verstehen. Sie sollten über das Wissen, die Ressourcen und die Fähigkeiten verfügen, die erforderlich sind, um die Einhaltung der Vorschriften zu erreichen und aufrechtzuerhalten.

• Welche Mechanismen haben Sie eingerichtet, um die Einhaltung der Vorschriften bei mehreren Cloud-Anbietern durchzusetzen, ohne Innovationen zu behindern?

  Wenn Ihre akademische Einrichtung noch nicht mit der Cloud vertraut ist, empfehlen wir Ihnen, einen primären strategischen Cloud-Dienstanbieter auszuwählen und sich darauf zu konzentrieren, zu verstehen, wie Cloud-Umgebungen konzipiert, entwickelt und betrieben werden, die von Haus aus sicher sind. Im Idealfall ermöglichen Sicherheitskontrollen, die automatisch in Self-Service-Systeme integriert werden, Benutzern die schnelle Bereitstellung sicherer Cloud-Umgebungen mit minimalem Aufwand durch IT-Teams. Die Konzentration auf einen einzigen Anbieter begrenzt die Menge an Ressourcen und Zeit, die Sie investieren müssen, um Sicherheit und Compliance zu gewährleisten. Die erfolgreichsten Institutionen entscheiden sich für einen Cloud-Dienstanbieter, der die meisten Compliance-Anforderungen erfüllen kann, über ein robustes Partnernetzwerk verfügt, vorgefertigte Compliance-Lösungen anbietet und sichere Self-Service-Automatisierung zur Verfügung stellt. Wenn Sie Sicherheit und Compliance bei mehreren Cloud-Anbietern sicherstellen müssen, sind zusätzliche Investitionen erforderlich, um die Fähigkeiten und Ressourcen aufzubauen, um die Einhaltung der Vorschriften für jede Umgebung zu gewährleisten. Wenn jeder Cloud-Anbieter eine andere grundlegende Umgebung oder landing zone verwendet, müssen Sie wissen, welche Compliance-Standards und Anforderungen jede landing zone unterstützen kann. Dies kann bestimmen, ob bestimmte Workloads bei diesem Anbieter gehostet werden können. Sie können die Einhaltung der Vorschriften für jeden Anbieter separat verwalten oder maßgeschneiderte Lösungen oder Partnerlösungen verwenden, mit denen die Verwaltung anbieterübergreifend zentralisiert werden kann. AWS Marketplacebietet schlüsselfertige Lösungen, die auch Ihre Compliance-Anforderungen erfüllen können.

• Wie können Sie Kosten und Nutzung bei mehreren Cloud-Anbietern bewerten und kontrollieren?

  Wenn Ihre akademische Einrichtung noch nicht mit der Cloud vertraut ist, empfehlen wir Ihnen, Mechanismen zur Kostentransparenz und -kontrolle einzurichten, um zu erfahren, welche Cloud-Dienste genutzt werden, wem die Cloud-Ressourcen gehören, welchem Zweck diese Cloud-Ressourcen dienen und welche potenziellen Kosteneinsparungen durch eine Optimierung der Nutzung erzielt werden können. Institutionen können eine erhebliche Investitionsrendite erzielen, wenn sie bei der Migration und Modernisierung unternehmenskritischer Systeme mit ihrem Cloud-Dienstanbieter zusammenarbeiten, da sie Verträge auf Unternehmensebene aushandeln, von Volumenpreisen profitieren und das Fachwissen des Cloud-Dienstanbieters nutzen können. Wenn Sie Kosten und Nutzung bei mehreren Anbietern kontrollieren müssen, sollten Sie überlegen, wie Sie die Kosten und Nutzung der einzelnen Anbieter aggregieren und analysieren können, entweder mit internen Prozessen und Tools oder mithilfe von Partnerlösungen. Viele Unternehmen beginnen, Cloud-Finanzoperationen (FinOps) als Schlüsselfunktion zu identifizieren und Ressourcen für die Verbreitung und Implementierung von Funktionen für Cloud-Kostenmanagement und -optimierung bereitzustellen.

• Verfügen Sie über Mechanismen, mit denen Sie Benutzerberechtigungen im Laufe der Zeit einfach verwalten können?

  Wir empfehlen akademischen Einrichtungen, die wichtigsten Bedürfnisse der Interessengruppen zu verstehen, wenn sie sich zum ersten Mal der Cloud nähern. Zu den Nutzern institutioneller Systeme gehören Studierende, Dozenten, Forscher, IT-Mitarbeiter, Verwaltung, Sicherheit, die breite Öffentlichkeit und externe Mitarbeiter. Sie sollten die Kernbedürfnisse dieser Benutzer ermitteln und sicherstellen, dass Sie über geeignete Mechanismen verfügen, um ihnen Zugriff auf Cloud-Dienste zu gewähren. Verschiedene Benutzertypen benötigen unterschiedliche Arten des Zugriffs auf Cloud-Dienste. Studierende, Dozenten und die breite Öffentlichkeit benötigen beispielsweise Zugriff auf Anwendungen; IT-Mitarbeiter, Administratoren und Sicherheitsdienste benötigen Zugriff auf die Cloud-Infrastruktur; Forscher und ihre externen Mitarbeiter benötigen Zugang zu sicheren Forschungsumgebungen; Fakultäten benötigen Zugang zu sicheren Lehrumgebungen und möchten Studenten vielleicht sogar einen praktischen Zugang zu Cloud-Technologien bieten. Sie sollten über Tools verfügen, um diese Identitäten zentral und automatisiert zu verwalten und etablierte Prozesse zu verwenden, um Berechtigungen zu identifizieren, zu erteilen und zu widerrufen, wenn sich Rollen und Verantwortlichkeiten im Laufe der Zeit ändern.

• Verfügen Sie über Mechanismen, um neue Systeme angemessen in Ihre Identitätsmanagementlösung zu integrieren?

  Wir empfehlen akademischen Einrichtungen, die Integration neuer Systeme in ihre Identitätsmanagementsysteme zu vereinfachen. Dies gibt der Institution die Flexibilität, eine Vielzahl von geschäftskritischen Funktionen zu unterstützen, indem es den Interessengruppen ermöglicht wird, Systeme zu beschaffen und zu entwickeln, die einfach in das Identitätsmanagementsystem integriert werden können. Durch die Vereinfachung des Integrationsprozesses wird es weniger wahrscheinlich sein, dass die Beteiligten ihre eigenen Zugriffskontrollmaßnahmen anwenden, wodurch bewährte Sicherheitsverfahren wie Single Sign-On, Hauptschlüssel und Multi-Faktor-Authentifizierung (MFA) möglicherweise nicht durchgesetzt werden. Stellen Sie sicher, dass Ihr Identitätsmanagementsystem mithilfe systemeigener Integrationen oder branchenüblicher Protokolle mit den erforderlichen Systemen zusammenarbeiten kann.

• Verfügen Sie über Mechanismen, die eine effektive Erkennung und Reaktion auf Vorfälle ermöglichen?

  Bildungseinrichtungen sind häufig das Ziel von Cyberangriffen und Ransomware. Um solche Vorfälle zu erkennen und effektiv darauf zu reagieren, empfehlen wir einen zweigeteilten Ansatz:

  • Konzentrieren Sie Ihre Bemühungen auf präventive Maßnahmen in Form von Sicherheitskontrollen, die automatisch in Cloud-Umgebungen integriert werden.

  • Implementieren Sie Erkennungsfunktionen, mit denen Einsatzkräfte bei Cybervorfällen Sicherheitsverletzungen rechtzeitig erkennen, eindämmen und abmildern können.

Wie bei der Einhaltung von Vorschriften müssen Sie sicherstellen, dass Sie über die Ressourcen, Fähigkeiten und Tools verfügen, um Ereignisse in jeder Umgebung zu erkennen, zu verhindern und darauf zu reagieren. Indem Sie sich auf einen einzigen, primären Cloud-Anbieter konzentrieren, können Sie die benötigten Ressourcen einschränken. Akademische Einrichtungen, die nicht über ein ausgereiftes Sicherheitsteam verfügen, sollten sich in diesen Bereichen an unabhängige Softwareanbieter, Anbieter von Managed Detection and Response und Cybersicherheitsberater wenden.