Immer mehr Unternehmen migrieren in die Cloud oder haben die Migration bereits abgeschlossen. Kosteneinsparungen, eine bedarfsoptimierte Skalierbarkeit und der ortsunabhängige Zugriff auf Anwendungen und Daten sind dabei nur einige Vorteile der Cloud-Nutzung. Der Schutz der Cloud-Umgebung ist angesichts der Weiterentwicklung der digitalen Landschaft von entscheidender Bedeutung.

Neben den bisher gültigen Sicherheitsanforderungen für lokal genutzte Anwendungen (On-Premises), gibt es weitere Anforderungen, die speziell auf die Gegebenheiten des Cloud Computing eingehen. Neben herstellerunabhängigen Anforderungen (z.B. Anforderungen des Bundesamts für Sicherheit [BSI] „Kriterienkatalog Cloud Computing C5“ und National Institute of Standards and Technology [NIS] „SP 800-144, Guidelines on Security and Privacy in Public Cloud Computing“) sind auch herstellerspezifische Anforderungen und Better Practices relevant, wie beispielsweise das Microsoft Azure Well-Architected-Framework sowie die Anforderungen des amerikanischen Center for Internet Security (CIS).

Zur Strukturierung relevanter Themenstellungen und Anforderungen hat KPMG ein Cloud Security Framework entwickelt, mit dem wir unabhängig von Ihrem individuellen Startpunkt und den eingesetzten Cloud-Modellen die für Sie relevanten Themen schnell und effizient identifizieren und adressieren können.

Chart

Das Cloud Security Framework von KPMG

Cloud Security Governance

Cloud Security Governance umfasst insbesondere die Aufsicht und strategische Ausrichtung, die für eine sichere Cloud-Umgebung erforderlich sind. Hier entsteht das Rahmenwerk, welches die gesamte Cloud umgibt. Es umfasst die Definition, Implementierung und den automatisierten Betrieb geeigneter Kontrollen sowie die Compliance- und Sicherheitsrisikoberichterstattung.

Wir stellen den Schutz der Identitäten und Daten in den Mittelpunkt unserer Sicherheitsstrategie und haben dafür das Zero-Trust-Modell entwickelt, das bei der Umsetzung unserer Cloud-Security-Strategien Anwendung findet.

Durch die globale Ausrichtung der Public Clouds spielen hier die gesetzlichen Anforderungen hinsichtlich des Datenstandorts und der Datenverarbeitung eine elementare Rolle.

Secure Cloud Deployment

Secure Cloud Deployment umfasst die Absicherung der Prozesse rund um den Lebenszyklus von Cloud-Anwendungen und der Cloud-Infrastruktur. Gemäß Secure DevOps (SecDevOps/DevSecOps) bauen wir auf dem Shift-Left-Security-Ansatz auf, der Sicherheit und Datenschutz von Beginn an als integralen Bestandteil des Secure Software Development Lifecycle ansieht, und beziehen die Sicherheitsanforderungen bereits beim Design und bei der Erstellung der Lösungen ein.

Secure Cloud Platform

Secure Cloud Platform beinhaltet die Implementierung von Cloud-nativen Plattform-Sicherheitsdiensten und Sicherheitshärtung rund um Perimeter, Speicher und Rechenressourcen sowie Daten- und Anwendungs-Workloads. Neben dem Schutz der Daten durch Verschlüsselung geht es hier ebenso um den Schutz der „darunterliegenden“ Schichten. Die Programmierschnittstellen (APIs) der Applikationen müssen ebenso geschützt werden wie der Zugang zu virtuellen Maschinen und zur Netzwerkkommunikation.

Secure Cloud Operations

Um den sicheren Betrieb der Cloud-Umgebung zu ermöglichen, reichen proaktive Maßnahmen allein nicht aus. Es ist notwendig die Cloud zu überwachen, um Schwachstellen, verdächtige Konfigurationen und andere unnormale Verhalten zu entdecken. Auch Änderungen an der Umgebung müssen berücksichtigt und überwacht werden, um keine ungewollten Anpassungen unentdeckt zu lassen. Eine kontinuierliche Überwachung in Verbindung mit der Anpassung von existierenden bzw. der Einführung neuer operativer Prozesse sind hier enorm wichtig.

Access Management

Die Zugriffsverwaltung befasst sich mit den Funktionen, die zum Einrichten und Verwalten von Identitäten und Identitätsdaten (Mensch, Dienst, Gerät usw.), Identitätsberechtigungen/-autorisierungen und Identitätsauthentifizierung einschließlich Single Sign-On (SSO), Multi-Faktor, Federation und Verzeichnisdiensten in Cloud-Umgebungen erforderlich sind.

Availability und Scalability

Verfügbarkeit und Skalierbarkeit umfassen die Fähigkeiten, die erforderlich sind, um die Ziele für die Wiederherstellungszeit (RTO) und den Wiederherstellungspunkt (RPO) für Daten, Dienste und Infrastruktur in der Cloud zu erreichen, sowie die Möglichkeiten, Cloud-native Konzepte zu nutzen, um diese zu erreichen (z.B. dynamische Skalierung, Architekturen mit mehreren Regionen und Zonen, sichere Backups usw.)

Mithilfe des Cyber Security Frameworks von KPMG können die notwendigen Themengebiete, die für Sie relevant sind, schnell und effizient identifiziert werden. Nach der Identifizierung der Bereiche arbeiten wir mit Ihnen gemeinsam an der Umsetzung der passenden Maßnahmen, um Ihre Cloud-Umgebung sicherer zu machen, damit Sie Ihre Daten und Workloads schützen können.

Wir freuen uns darauf, Sie bei Ihrer Cloud-Reise zu begleiten und mit Ihnen gemeinsam den Weg zu einer effizienten Cloud-Adoption zu gehen.

Weitere interessante Inhalte für Sie

Ihre Ansprechpersonen

Mein Profil

Speichern Sie Inhalte, verwalten Sie Ihre Bibliothek und teilen Sie die Inhalte mit Ihrem Netzwerk.

So kontaktieren Sie uns