Cloud-Sicherheit von Beginn an

App Security dank Cloud-Entwicklungsplattformen

| Autor / Redakteur: Oliver Schonschek / Stephan Augsten

Cloud-Entwicklungsplattformen sorgen mittlerweile von Haus aus dafür, auch die Sicherheit von Anwendungen zu erhöhen.
Cloud-Entwicklungsplattformen sorgen mittlerweile von Haus aus dafür, auch die Sicherheit von Anwendungen zu erhöhen. (Bild: Mike Linksvayer - flickr.com)

Applikationen werden vermehrt in der und für die Cloud entwickelt. Die App-Sicherheit hängt somit stark von den Development-Plattformen führender Cloud-Provider ab, denn die App-Entwicklung in der Cloud hat deutlich zugenommen.

Mehr als 5,4 Millionen Entwickler nutzen inzwischen Cloud-basierte Entwicklungsumgebungen, wie eine Untersuchung von Evans Data Corp ergab. Viele der entwickelten Apps entstehen aber nicht nur in einer Cloud, sie sollen auch in der (oder vielmehr einer) Cloud betrieben werden. Der Bedarf ist entsprechend hoch: Jedes zweite mittelständische Unternehmen nutzt Anwendungen aus der Cloud, so eine Studie von techconsult im Auftrag von Citrix in Deutschland.

Die steigende Nutzung von Cloud-Apps hat Folgen für die Sicherheit: Laut der Ponemon-Untersuchung „The 2016 Global Cloud Data Security Study“ stufen 73 Prozent der Befragten Cloud-basierte Services und Plattformen als wichtig für ihr Geschäft ein. 54 Prozent aller Umfrageteilnehmer halten allerdings ihre Cloud-Sicherheitsstrategie und die Einhaltung von Datenschutzrichtlinien für unzureichend. 56 Prozent der Teilnehmer sagen, dass ihr Unternehmen sensible Informationen in der Cloud zu sorglos mit Geschäftspartnern, Auftragnehmern oder Händlern teilt.

Keine Frage, die Cloud-Sicherheit muss besser werden, um der wachsenden Bedeutung von Datenverarbeitung in Cloud-Apps gerecht zu werden. So ist laut Gemalto gegenwärtig nur ein Drittel der vertraulichen Daten in Cloud-Apps verschlüsselt.

Sicherheitslücken in Cloud-Apps vermeiden

Forderungen nach Security by Design und Privacy by Design, einer expliziten Vorgabe aus der neuen Datenschutz-Grundverordnung (DSGVO), unterstreichen, dass die Sicherheit von Cloud-Apps nur dann zuverlässig gesteigert werden kann, wenn Security bereits in der Entwicklungsphase ganz besonders im Fokus ist.

Übersichten, welche Sicherheitslücken bei Cloud-Apps dominant sind, gibt es viele, darunter die sogenannte OWASP Top 10 des „The Open Web Application Security Project“. Ebenso gibt es eine Fülle von Anforderungskatalogen, die beschreiben, was alles zu einer sicheren Cloud-Anwendung gehört, wie der „Anforderungskatalog Cloud-Computing: Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Wichtig ist aber auch die praktische Unterstützung bei der Entwicklungsarbeit durch entsprechende Werkzeuge. Werden Entwicklungsplattformen für Cloud-Apps eingesetzt, wie sie zum Beispiel die großen Cloud-Provider anbieten, kommt es somit darauf an, dass die Entwicklungsplattformen gezielt dabei helfen, Sicherheitsfunktionen in den Cloud-Apps zu implementieren.

Sicherheitsfunktionen auf Basis der Development-Plattform

Es gibt viele Gründe, sich für eine bestimmte Cloud-Entwicklungsplattform zu entscheiden, der Grad der Unterstützung bei der App-Sicherheit sollte aber besonders wichtig sein. So bietet zum Beispiel die App-Cloud von Salesforce insbesondere Funktionen für das Identitätsmanagement, die Zugriffskontrolle, eine zentrale Administration, Event Monitoring, Verschlüsselung und Audit-Unterstützung.

Zu den sicherheitsrelevanten Funktionen, die über Microsoft Azure bei Cloud-Apps verfügbar sind, gehören Multi-Faktor-Authentifizierung, Identity and Access Management, Sicherheitsanalysen zum aktuellen Risikostatus, VPN (Virtual Private Networks), Daten-Container, Monitoring-Dienste, Security-Management-Services sowie Backup und Recovery.

Neben Funktionen zur Benutzer-Authentifizierung und für das Logging ist bei der Google-Plattform (Google App Engine) insbesondere der Cloud Security Scanner bemerkenswert. Damit lassen sich gezielt Schwachstellen in Cloud-Apps aufspüren. Bei IBM Bluemix findet man eine Reihe von Security-Funktionen, die sich für eigene Apps nutzen lassen, darunter Zugriffsüberwachung, die Absicherung digitaler Schlüssel, Multi-Faktor-Authentifizierung, Single-Sign-On (SSO) und IBM Application Security on Cloud, mit dem sich Sicherheitslücken suchen lassen, bevor Cloud-Apps freigegeben werden.

Sicherheit von Grund auf implementieren

Bereits die oben genannten Beispiele machen deutlich, dass Entwicklungsplattformen für Cloud-Apps viel dazu beitragen können, Anwendungen aus der und für die Cloud sicherer zu machen. Neben den Sicherheitsfunktionen, die sich zu den eigenen Cloud-Apps ergänzen lassen, bieten viele Plattformen auch Dienste an, mit denen sich Sicherheitslücken in Cloud-Apps aufspüren lassen.

Ganz gleich, welche Cloud-Entwicklungsplattform man wählt, der erste Blick sollte den Sicherheitsfunktionen gelten, damit diese bei der Entwicklung der eigenen Cloud-Apps einfließen. Vor der Veröffentlichung sollte der Sicherheitsscan nicht fehlen, damit die Zahl verwundbarer und unsicherer Cloud-Apps deutlich verringert werden kann.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44435960 / Application Security)