In der Cloud ist alles nur ein Klick entfernt – leider auch ein Sicherheitsvorfall, wenn du nicht aufpasst. Aber keine Sorge: Alle großen Cloud-Anbieter liefern dir umfangreiche Sicherheits- und Governance-Features – wenn du sie richtig nutzt.
In diesem letzten Teil der Serie zeige ich dir:
- Warum Sicherheit in der Cloud anders funktioniert
- Was Identity & Access Management (IAM) bedeutet
- Wie du mit Verschlüsselung, Logging und Monitoring deine Umgebung absicherst
- Und was gute Cloud Governance ausmacht
1. Sicherheit in der Cloud – geteilte Verantwortung
Viele denken: „Ich bin in der Cloud, also ist alles sicher.“ Falsch. Die Cloud ist nicht automatisch sicher – sie ist nur so sicher, wie du sie konfigurierst.
Shared Responsibility Model
| Ebene | Verantwortlich |
|---|---|
| Physische Sicherheit | Cloud-Anbieter |
| Netzwerk, Hardware | Cloud-Anbieter |
| OS, Software, Zugriffe | Du (Nutzer) |
| Anwendungsdaten | Du (Nutzer) |
Du musst dich also selbst um:
- Zugriffskontrollen
- Verschlüsselung
- Updates & Patches deiner App
- Sicherheitsrichtlinien
kümmern.
2. Identity & Access Management (IAM)
IAM ist das Zugangsmanagementsystem deiner Cloud. Hier steuerst du:
- Wer auf was zugreifen darf
- Welche Aktionen erlaubt sind
- Welche Ressourcen betroffen sind
Rollenbasiert statt passwortbasiert
Alle Anbieter arbeiten mit einem rollenbasierten Prinzip (RBAC). Du vergibst Rollen an Nutzer:innen, Gruppen oder Dienste.
| Beispielrolle | Rechte |
|---|---|
Storage Viewer | Kann Buckets & Dateien lesen, aber nicht schreiben |
Compute Admin | Kann VMs starten, stoppen, löschen |
Function Invoker | Darf eine Cloud Function aufrufen |
Best Practice:
„Least Privilege“ – gib nur die Rechte, die wirklich nötig sind. Nichts darüber hinaus.
3. Secrets, Schlüssel & Zugangsdaten schützen
Zugangsdaten (z. B. API-Keys, Datenbank-Logins) gehören niemals ins Git-Repository! Dafür gibt es dedizierte Lösungen:
| Anbieter | Secret-Management |
|---|---|
| AWS | Secrets Manager, Parameter Store |
| Azure | Key Vault |
| GCP | Secret Manager |
Funktionen:
- Zugriffskontrolle über IAM
- Versionierung & Rotation
- Audit-Logs & Monitoring
- Optional: automatische Integration in CI/CD
4. Verschlüsselung (Encryption)
Verschlüsselung „at rest“
Alle Cloud-Anbieter verschlüsseln standardmäßig gespeicherte Daten mit AES-256. Du kannst meist wählen:
- vom Anbieter verwaltete Schlüssel (Default)
- eigene Schlüssel (Customer Managed Keys, CMK)
- Bring Your Own Key (BYOK)
Verschlüsselung „in transit“
HTTPS ist Pflicht – alle Dienste unterstützen TLS 1.2+
z. B. für:
- API-Aufrufe
- Datenbankverbindungen
- Dateiübertragungen (z. B. S3, Blob Storage)
5. Protokollierung & Monitoring
Sicherheit ohne Transparenz funktioniert nicht. Gute Cloud-Architektur heißt auch: jede Aktion wird nachvollziehbar protokolliert.
Wichtige Logs:
| Logtyp | Zweck |
|---|---|
| Audit Logs | Wer hat was wann gemacht? |
| Access Logs | Welche Anfragen wurden gestellt? |
| Error Logs | Welche Fehler traten auf? |
| Billing Logs | Kosten pro Dienst, Nutzer oder Projekt |
Monitoring-Dienste:
| Anbieter | Logging & Monitoring |
|---|---|
| AWS | CloudWatch, CloudTrail |
| Azure | Monitor, Log Analytics, Defender |
| GCP | Cloud Logging, Cloud Monitoring |
6. Governance in der Cloud
Governance umfasst alle Richtlinien, Prozesse und Tools, die sicherstellen, dass deine Cloud-Umgebung kontrolliert, konform und effizient betrieben wird.
Typische Governance-Fragen:
- Wer darf neue VMs oder Buckets erstellen?
- Wie lange bleiben alte Logs erhalten?
- Wie werden sensible Daten gekennzeichnet und behandelt?
- Wer ist für Kosten, Sicherheit und Compliance verantwortlich?
Governance-Tools der Anbieter:
| Anbieter | Governance Features |
|---|---|
| AWS | Organizations, Service Control Policies (SCP), Config |
| Azure | Management Groups, Azure Policy, Blueprints |
| GCP | Organization Policies, Labels, Resource Hierarchy |
Beispiel: Sicherheitslücke durch falsche Bucket-Konfiguration
Fehler:
Ein Cloud-Storage-Bucket wurde öffentlich zugänglich gemacht („public read“ aktiviert), um Bilder für eine Webseite zu hosten.
Folge:
Ein Angreifer lädt schädliche Dateien hoch und nutzt den Bucket als Malware-Host.
Lektion:
- Nie „öffentliche Zugriffe“ ohne klare Kontrolle
- Nutzung von Bucket Policies & IAM
- Aktivierung von Logging und Benachrichtigungen bei Änderungen
10 Security-Best-Practices zum Mitnehmen
- Vermeide „Admin“-Rollen für alle
- Nutze MFA (Multi-Factor Auth) für alle Accounts
- Schütze deine API-Keys mit Secret-Managern
- Verschlüssele alle Daten „at rest“ & „in transit“
- Aktiviere Audit-Logs für kritische Ressourcen
- Nutze Labels/Tags zur Klassifizierung von Daten
- Verwende automatische Alerts bei verdächtigem Verhalten
- Führe regelmäßige Security-Scans & Penetration Tests durch
- Verwalte Ressourcen nur über definierte Pipelines (IaC)
- Trainiere dein Team regelmäßig in Cloud-Security
Fazit
Sicherheit in der Cloud ist kein Einmal-Projekt, sondern ein laufender Prozess.
Die gute Nachricht: Die Cloud-Anbieter stellen dir mächtige Werkzeuge zur Verfügung – du musst sie nur nutzen.
Mit rollenbasierter Zugriffskontrolle, Secrets-Management, Audit-Logging und klarer Governance kannst du auch komplexe Umgebungen sicher und nachvollziehbar betreiben – ohne zum Security-Experten werden zu müssen.
Schreibe einen Kommentar