Das Navigieren in der Sicherheitslandschaft während des gesamten Migrationszyklus ist unerlässlich, um den Betrieb zu schützen und kostspielige Sicherheitslücken zu vermeiden. Sorgen Sie mit Expertentipps zu Datenschutz, Zugriffsmanagement und Audits nach der Migration für eine sichere Cloud-Migration.
A QUICK SUMMARY – FOR THE BUSY ONES
Planen und verschlüsseln Sie, bevor Sie umziehen
Validieren Sie die technische und finanzielle Durchführbarkeit der Migration. Verschlüsseln Sie alle sensiblen Daten während der Übertragung und verwenden Sie sichere VPN-Protokolle wie WireGuard für die Konnektivität.
Kontrollieren Sie den Zugriff und überwachen Sie ihn aktiv während der Migration
Begrenzen Sie das Risiko durch Zugriff mit den geringsten Zugriffsrechten und überwachen Sie Aktivitäten mithilfe von Tools wie CloudWatch und IAC-Scannern, um Fehlkonfigurationen frühzeitig zu erkennen.
Aufräumen und stärken nach der Migration
Sorgen Sie für das sichere Löschen alter Daten, führen Sie Sicherheitsaudits und Penetrationstests durch, validieren Sie Disaster Recovery-Setups und aktualisieren Sie Sicherheitsrichtlinien und Dokumentation.
Scrollen Sie nach unten, um den vollständigen Überblick zu erhalten — einschließlich hart erarbeiteter Lektionen, Lieblingstools und Insidertipps aus echten Migrationsprojekten.
TABLE OF CONTENTS
Als CTO oder Head of Engineering ist Ihnen die wichtige Verantwortung, für einen reibungslosen Geschäftsbetrieb zu sorgen, nicht fremd — insbesondere während der Cloud-Migration. Es geht nicht nur darum, Daten und Anwendungen zu verlagern, sondern auch sicherzustellen, dass alles sicher ist und vor potenziellen Sicherheitslücken geschützt ist. Ich weiß, dass es kein Patentrezept gibt, da jedes Unternehmen, System und jede Regulierung anders ist.
In diesem Artikel gebe ich einige praktische Tipps, wie Sie sich auf eine reibungslose Migration vorbereiten und Ihre Daten vor, während und nach dem Vorgang schützen können.
Hier sind die wichtigsten Schritte und Überlegungen, die meiner Meinung nach alle Unternehmen bei der Planung ihrer Sicherheitsstrategie für die Cloud-Migration.
Wenn ich an einem Cloud-Migrationsprojekt beteiligt bin, überprüfen ich und das Team in der Regel als Erstes, ob es Anbieterbindungen gibt. Das bedeutet, zu prüfen, ob wir an eine bestimmte Lösung gebunden sind, die nicht einfach woanders übertragen werden kann. Manchmal stellen wir fest, dass das aktuelle Setup einfach nicht portabel ist. Wir müssten etwas von Grund auf neu erstellen, um mit dem neuen System arbeiten zu können.
Meiner Erfahrung nach besteht der erste Schritt also immer darin, die Frage zu beantworten: „Können wir überhaupt migrieren?“
Darüber hinaus untersuchen wir auch mögliche Migrationskosten. Wir beurteilen, ob sich diese Kosten auf lange Sicht auszahlen werden. Wenn wir beispielsweise derzeit Daten in etwas wie AWS S3 speichern, wird uns jedes Bit an Daten, das wir übertragen, in Rechnung gestellt. Wenn wir also ein großes Datenvolumen gespeichert haben, kann es sehr teuer sein, es an einen anderen Ort zu übertragen.
Wir müssen auch überprüfen, welchen Ansatz wir wählen möchten, da jeder Cloud-Anbieter spezielle Dienste für Migrationen anbietet. Zum Beispiel bietet AWS Snowball/Snowmobile an, die für die Übertragung riesiger Datensätze verwendet werden. Durch den Einsatz der richtigen Tools und Services für Ihr Projekt können Sie die Kosten senken.
Zusammenfassend geht es in dieser Phase darum zu beurteilen, ob der Wechsel technisch möglich ist und ob er finanziell sinnvoll ist.
Expertentipp: Prüfen Sie zunächst, ob Sie alle Daten migrieren können — aus technischer und finanzieller Sicht.
Wir müssen sicherstellen, dass alle Daten, wie Dateien und Datenbanken, ordnungsgemäß verschlüsselt oder gesichert sind. Dies ist wichtig, denn wenn jemand Zugriff auf unverschlüsselte Daten erhält, kann dies zu einer schwerwiegenden Sicherheitsverletzung führen.
Wir müssen auch bestätigen, ob wir eine sichere, verschlüsselte Verbindung zwischen dem alten und dem neuen Cloud-Anbieter einrichten können und wie hoch die Kosten wären. Wenn möglich, können wir die Canary-Release-Strategie nutzen, um Daten und Workloads schrittweise in die neue Umgebung zu verlagern, wodurch das Risiko reduziert und potenzielle Störungen minimiert werden. Damit dieser Ansatz effektiv funktioniert, müssen wir eine sichere und zuverlässige Netzwerkverbindung zwischen der vorhandenen und der neuen Umgebung herstellen. Dazu können wir ein VPN verwenden, und wir empfehlen dringend Tools, die auf folgenden basieren WireGuard, was in der Vergangenheit für uns gut funktioniert hat.
Expertentipp: Stellen Sie sicher, dass alle vertraulichen Daten während der Migration verschlüsselt sind, und überprüfen Sie, ob beide Cloud-Anbieter sichere, verschlüsselte Verbindungen unterstützen. Die Verwendung eines zuverlässigen VPN wie WireGuard kann den Prozess vereinfachen und die Sicherheit erhöhen.
Prüfen Sie zunächst, welche Spezialisten in Ihrem Team vorhanden sind, und stellen Sie sicher, dass Ihr Budget das erforderliche Fachwissen für bestimmte Bereiche der Migration unterstützt. Dies hilft Ihnen bei einer wichtigen Entscheidung: ob Sie sich für Infrastructure as Service (IaaS), Platform as a Service (PaaS) oder eine Hybridlösung entscheiden.
Die richtige Wahl hängt weitgehend von den Fähigkeiten Ihres Teams ab und davon, wie Sie das System am liebsten verwalten. Wenn Sie sich für Infrastructure as a Service (IaaS) entscheiden, haben Sie mehr Kontrolle über die Infrastrukturkosten, da Sie Server leasen und selbst verwalten, während der Anbieter Dinge wie Hardwarewartung, Stromversorgung, Konnektivität und grundlegende Sicherheitsanforderungen wie den eingeschränkten physischen Zugriff auf die Infrastruktur, die Sicherung des Netzwerks usw. übernimmt.
Diese Option eignet sich hervorragend für Fixkosten, erfordert jedoch ein qualifiziertes Team und ein ausreichendes Budget.
Platform as a Service (PaaS) verlagert mehr Verantwortung auf den Anbieter. Es bietet Unternehmenslösungen, die den Industriestandards entsprechen, mit integrierten Überwachungs-, Backup- und Recovery-Tools ausgestattet sind und durch hohe SLA-Garantien für Zuverlässigkeit und Verfügbarkeit abgesichert sind.
Ein hybrider Ansatz wird immer beliebter — und er ist mein persönlicher Favorit. Mit diesem Ansatz können Sie PaaS und IaaS kombinieren. Sie könnten beispielsweise einen verwalteten Kubernetes-Cluster verwenden wie AWS Auto EKS, während die zugrunde liegenden Knoten über IaC verwaltet werden. Dieser Ansatz bietet Ihnen mehr Kostenkontrolle und reduziert die Komplexität der Clusterverwaltung.
Nehmen Home Depot Beispiel: Sie betreiben über 2.000 Edge-Geräte auf ihrer eigenen Infrastruktur, verwalten sie jedoch zentral mithilfe eines Platform-as-a-Service-Modells. Mit PaaS können Sie die Infrastruktur möglicherweise mit einem kleineren internen Team verwalten, aber Sie werden mit höheren Kosten rechnen müssen — vor allem zu Beginn der Migration. Im Laufe der Zeit kann die Umstellung auf jährliche Abrechnung jedoch zu Einsparungen von bis zu 70% führen. Eine solide Sicherheitsstrategie für die Cloud-Migration kann auch dazu beitragen, dass Ihre Systeme während des gesamten Prozesses geschützt sind.
Unabhängig davon, wie Sie Ihre Cloud-Umgebung einrichten, müssen Sie entscheiden, wer für die Verwaltung verantwortlich ist. Das kann ein komplettes internes Team oder ein externer Partner mit einem festen monatlichen Vertrag sein, was oft die Budgetierung erleichtert.
Cloud-Anbieter wie AWS, Azure und Google Cloud arbeiten an einem Modell der geteilten Verantwortung.
Das bedeutet, dass sie sich — zusätzlich zu ihrer Infrastruktur — um Wartung, Sicherheit, SLA, die Erfüllung von Industriestandards und andere von ihnen entwickelte Tools/Services kümmern. Obwohl Sie sich in erster Linie auf den Betrieb Ihrer Lösung konzentrieren können, sind Sie dennoch für die korrekte Konfiguration und die Sicherheit Ihrer Daten verantwortlich.
Wenn Sie IaaS (Infrastructure as a Service) verwenden, sind Sie für alles außer der physischen Hardware und ihrer SLA verantwortlich. Das bedeutet, dass Sie mehr Verantwortung für die Einrichtung, Sicherung und Wartung Ihrer Systeme übernehmen. Sie sind auch dafür verantwortlich, sicherzustellen, dass alle Tools oder Dienste, die auf dieser Infrastruktur ausgeführt werden, alle relevanten Industriestandards und Compliance-Anforderungen erfüllen.
Bei PaaS (Platform as a Service) kümmert sich der Anbieter um mehr, aber Sie müssen trotzdem Ihre Anwendungen und Daten sichern.
SaaS (Software as a Service) ist eine gute Option, wenn Sie so viel Verantwortung wie möglich an andere delegieren möchten. Ein SaaS-basierter Ansatz hat jedoch seine Grenzen. Nehmen wir zum Beispiel SaaS für Finanzen — Steuern können allmählich einschränken, wie viele Verantwortlichkeiten für Sicherheit und Wartung auf Ihrer Seite liegen. Diese Option bietet den größten Schutz — der Anbieter kümmert sich um den größten Teil der Sicherheit — aber Sie sind immer noch dafür verantwortlich, wie Benutzer auf die Plattform zugreifen und sie nutzen.
Vor der Migration oder Skalierung in der Cloud ist es daher ratsam, das Modell der gemeinsamen Verantwortung zu überprüfen und sicherzustellen, dass die richtigen Sicherheitsmaßnahmen getroffen werden, d. h. entweder die Tools des Anbieters oder vertrauenswürdige Lösungen von Drittanbietern zu verwenden.
Diese Entscheidungen wirken sich auch auf Ihre Kosten aus. IaaS beinhaltet oft Dinge wie Datenübertragung und Bandbreite. PaaS hingegen kann für jedes Bit des Datenverkehrs Gebühren erheben. Es gab einen bekannten Fall, in dem eine große polnische E-Commerce-Marke eine Marketingkampagne durchführte, ohne ihr Cloud-Setup anzupassen. Der plötzliche Anstieg des Datenverkehrs trieb die Kosten in die Höhe, und ihre Plattform konnte nicht mithalten.
Expertentipp: Behandeln Sie Cloud-Migration und Verantwortlichkeiten nicht als rein technische Entscheidung. Wenn Sie wissen, welche Partei für welchen Teil der Sicherheit verantwortlich ist — und zu welchem Preis —, können Sie unangenehme Überraschungen vermeiden, wenn der Traffic zu hoch wird.
Über bewährte Methoden zur Cloud-Sicherheit zu sprechen, wäre unvollständig, ohne die Berechtigungen und Zugriffsebenen auf Teamebene zu erwähnen.
Wenn es um die Sicherheit der Cloud-Migration auf höchstem Niveau geht, müssen Sie genau entscheiden wer erhält Zugriff auf welche Art von Daten. Dies ist ein mehrstufiges Thema, da es nicht einfach darum geht, je nach Dienstalter oder Projektbeteiligungsgrad des Teams unterschiedliche Freigabestufen einzuführen.
Sie müssen die Besonderheiten des Produkts oder der Dienstleistung, die Sie anbieten, den Datenbankkontext und sogar die Branche berücksichtigen. Beispielsweise können Sie nicht „jedem“ Entwickler Zugriff auf Finanzunterlagen gewähren. Diejenigen, die ihn haben sollten, sind Leute mit dem richtigen Fachwissen und einem Bewusstsein für die gesetzlichen und regulatorischen Verpflichtungen. Bei der Auswahl eines Anbieters ist die Einhaltung der Vorschriften von entscheidender Bedeutung. Wir müssen sicherstellen, dass er alle erforderlichen Standards erfüllt, wie die DSGVO in Europa oder die bevorstehenden Datenvorschriften in den USA, und dass sie Infrastruktur an geeigneten geografischen Standorten anbieten, um diese Anforderungen zu erfüllen.
Abgesehen von den oben genannten Punkten können Sie auch beschließen, den Zugriff auf die Infrastruktur selbst auf eine Handvoll autorisierter Administratoren oder Mitglieder des Softwareteams zu beschränken.
Wir können die Dinge so einrichten, dass der Zugriff der Entwickler eingeschränkt ist — sie können ihre Arbeit mit vordefinierten Tools wie Argo CD bereitstellen, wo sie Protokolle einsehen, Anwendungen überwachen und den Status von Bereitstellungen überprüfen können. Sie erhalten jedoch keinen direkten Zugriff auf die Infrastruktur selbst.
Die Verwendung des GitOps-Ansatzes in Kombination mit dem Infrastructure As Code-Ansatz stellt sicher, dass alle Änderungen von autorisierten Teammitgliedern überprüft werden müssen. Nach der Genehmigung wird es in die Produktionsumgebung aufgenommen.
Expertentipp: Beschränken Sie den Zugriff auf Live-/Produktionscode, um nicht nur Codedefekten vorzubeugen, sondern auch, um Ihre Infrastruktur zu sichern.
Ich empfehle Ihnen außerdem dringend, sich ein vollständiges Bild der Sicherheitsrisiken zu machen, bevor Sie mit der Migration beginnen. Sie können Schwachstellenscanner wie verwenden Qualys oder Nessus — Die beste Wahl hängt von Ihrer Infrastruktur und Ihrem individuellen Anwendungsfall ab. Mithilfe dieser Tools können Sie nicht nur ermitteln, wie viele Probleme es gibt, sondern auch entscheiden, welche Sicherheitslücken vor der Migration gepatcht werden müssen und welche während des Umzugs behoben werden können.
Diese Tools weisen in der Regel Schweregradwerte zu. Wenn etwas als sehr hoch eingestuft wird, möchten wir es normalerweise sofort beheben — es sei denn, wir wissen, dass das Problem automatisch durch die Migration zu einem sichereren Setup behoben wird.
Dies bringt mich zu einem Szenario, auf das ich bei einem Projekt gestoßen bin. Ein Kunde nutzte einen Infrastructure-as-a-Service-Anbieter, der Festplattenspeicher anbot, aber standardmäßig waren die Daten überhaupt nicht verschlüsselt. Der Kunde speicherte Daten über sie in der Annahme, dass alles sicher war. In Wirklichkeit konnte jeder, der Zugriff erhielt, den Inhalt einfach kopieren. Bevor wir mit der Migration begannen, haben wir der Behebung dieses Problems Priorität eingeräumt, indem wir zuerst Verschlüsselung hinzugefügt haben. Erst dann haben wir die Migration zum neuen Anbieter vorangetrieben. Dadurch konnten wir eine kritische Sicherheitslücke schließen, bevor die Migration begann.
Ich spreche nicht wirklich von offensichtlichen Dingen wie der Verwendung von TLS oder SSL — das ist eine Selbstverständlichkeit. Es geht eher um die Tatsache, dass wir bei der Übertragung großer Datenmengen darüber nachdenken müssen, wie wir sie tatsächlich übertragen. Senden wir es durch VPN-Tunnel? Oder verschlüsseln wir die Daten vorher und entschlüsseln sie dann, sobald sie das andere Ende erreichen (zum Beispiel mit Borgmatic oder ähnlichen Lösungen)? Diese Sicherheitsebene ist von entscheidender Bedeutung, insbesondere bei groß angelegten Migrationen. Durch die Implementierung von Best Practices für die Sicherheit bei der Cloud-Migration wird sichergestellt, dass sensible Daten während des gesamten Prozesses geschützt bleiben.
Wenn es um die Migrationsüberwachung geht, würde ich sie tatsächlich mit dem normalen Prozess kombinieren, den wir bereits für unsere Lösungen vorbereiten und implementieren. Ob es etwas Einfacheres ist, wie die Verwendung von CloudWatch, wo Sie Warnmeldungen so konfigurieren können, dass das System Sie automatisch informiert, wenn etwas schief geht — das hängt mit dem Scan- und Vorbereitungsprozess zusammen, den wir bereits besprochen haben. Wir kennen bereits die potenziellen Sicherheitsrisiken bei der Cloud-Migration und legen auch fest, welche Tools für das Scannen verwendet werden.
Dies ist im Wesentlichen das fehlende Stück, bei dem wir einen Sicherheitsscan-Prozess eingerichtet haben. Mit den von Cloud-Anbietern bereitgestellten Standardtools können wir überwachen, was passiert, aber wie wir die Daten interpretieren, ist eine ganz andere Geschichte. Tatsächlich sollte dies in die Wartungsfreundlichkeit integriert werden. Idealerweise sollten wir damit beginnen, grundlegende Logs von der Plattform unseres Anbieters aus zu überwachen und zu sammeln, aber auch zusätzliche Scan-Tools wie statische Codeanalyse oder Infrastructure as Code-Scanning integrieren. Wenn wir beispielsweise Terraform-Skripte schreiben, können wir sie auf Sicherheitsprobleme überprüfen, bevor wir sie auf die neue Infrastruktur anwenden.
In dieser Phase der Migration scannen wir bereits unsere Lösungen und suchen vor der Übertragung nach Problemen wie veralteten Docker-Images oder unverschlüsselten Daten.
Wir haben diese Punkte bereits früher angesprochen, da sie Teil des Migrationsprozesses sind. Dies sind allgemeine Prinzipien, aber die Menschen vergessen sie oft. Ein häufiger Fehler bei Migrationen ist, dass jemand seine Daten migriert, dann aber unüberlegt volle Zugriffsrechte gewährt. Dies passiert ständig, insbesondere in Migrationsszenarien.
Daher ist es wichtig, kurz auf dieses Thema zurückzukommen. Wenn Kunden zu uns kommen, um Support zu erhalten, fehlt ihnen oft das nötige Wissen und leider gewähren sie unberechtigten Benutzern viel zu viele Berechtigungen. Ein häufiger Fehler in AWS ist beispielsweise die Migration unter dem Root-Konto, anstatt separate Unterkonten für bestimmte Dienste, Tools oder Abteilungen zu erstellen und IAM-Rollen zur Zugriffsverwaltung zu verwenden. Schlimmer noch, wir erleben häufig, dass Kunden den Zugriff auf das Root-Konto selbst unter zu vielen Mitarbeitern teilen — ein viel größeres Risiko, als einfach Dienste unter diesem Konto auszuführen. Dies unterstreicht, warum klare Zugriffs- und Sicherheitsrichtlinien für alles, was Sie erstellen und verwalten, unerlässlich sind.
Abgesehen davon, dass ich diese Dinge weiß Dose während einer Migration etwas schief gehen — und das ist völlig normal — wir brauchen immer einen Backup-Plan. Was passiert, wenn etwas nicht wie erwartet läuft? Wie können wir die Dinge rückgängig machen? Wie stellen wir die kritischen Teile des Systems wieder her, damit alles bei Bedarf reibungslos läuft?
Dies bringt uns zu einem wichtigen Punkt: Sie müssen wissen, welche kritischen Elemente Ihres Systems unbedingt funktionieren müssen. Wenn Ihr Unternehmen beispielsweise stark auf so etwas wie einen Helpdesk angewiesen ist, dann wissen Sie, dass Sie sicherstellen müssen, dass die Kommunikation mit Kunden — den Anrufern — ohne Unterbrechung fortgesetzt wird.
Darüber hinaus müssen Sie herausfinden, was Ihre wichtigsten Geschäftsfunktionen sind. Sie müssen diese schützen und sicherstellen, dass Sie sie schnell wiederherstellen können, falls etwas schief geht.
Stellen Sie sicher, dass die Daten ordnungsgemäß bereinigt wurden, bevor Sie Abonnements kündigen. Einige Unternehmen vergessen, dies zu tun, wodurch ihre Daten abgerufen werden können (insbesondere, wenn sie Festplatten verwenden).
Beim Wechsel von lokalen Servern oder einem Rechenzentrum in die Cloud soll der Dienstanbieter die Laufwerke löschen. Wir können jedoch nicht immer sicher sein, dass die Daten gemäß den Standards gelöscht wurden und dass sie auf unwiederbringliche Weise gelöscht werden. Es besteht das Risiko, dass jemand vertrauliche Daten von alten Laufwerken wiederherstellt, selbst nachdem sie gelöscht wurden. Ich habe es erlebt — Leute kaufen ausgemusterte Server und sind in der Lage, Daten von Festplatten wiederherzustellen.
Aus diesem Grund ist es wichtig, eine Bereinigung nach der Migration zu planen. Sobald auf der neuen Infrastruktur alles reibungslos läuft, löschen Sie die alte Infrastruktur mithilfe geeigneter Tools zur Datenvernichtung auf sichere Weise. Erst dann sollten Sie den Dienst kündigen.
Expertentipp: Sichere Datenvernichtung nach der Migration; sie ist genauso wichtig wie die Migration selbst.
Um sicherzustellen, dass Ihre neue Cloud-Umgebung sicher ist, ist es wichtig, sowohl Schwachstellenanalysen als auch Penetrationstests durchzuführen. Schwachstellen-Scans können bekannte Schwachstellen identifizieren, aber Pen-Tests (oder „ethisches Hacken“) gehen noch einen Schritt weiter, indem sie reale Angriffe nachahmen.
Anhand dieser Tests können Sie feststellen, wie gut Ihre Sicherheit dem Druck standhält. Sie können entweder intern oder extern durchgeführt werden (letzteres insbesondere, wenn Sie in einer regulierten Branche wie dem Bankwesen oder der Pharmaindustrie tätig sind, in der Sicherheitsüberprüfungen durch Dritte häufig gesetzlich vorgeschrieben sind). Diese Experten gehen tiefer, bewerten Ihre Sicherheit und schlagen Verbesserungsmöglichkeiten vor.
Eine weitere bewährte Methode zur Cloud-Sicherheit, die es in Ihre Sicherheitschecks nach der Migration schaffen sollte, ist die Verwendung von Honeypots. Dabei handelt es sich um absichtlich anfällige Ködersysteme, die Angreifer anlocken. Wenn verdächtige Aktivitäten erkannt werden, werden sie zu diesen Honeypots weitergeleitet. So können Sie Ihre Überwachungstools und Sicherheitseinstellungen testen und sehen, wie gut sie Bedrohungen abfangen. Es ist eine kontrollierte Methode, um potenzielle Angreifer zu verfolgen und aus ihren Taktiken zu lernen, ohne Ihre realen Systeme zu gefährden.
Vergessen Sie natürlich nicht, Tools zu verwenden, die Ihre Zertifikate, Subdomains und DNS-Einträge überprüfen. Wenn Sie beispielsweise eine Subdomain betreiben, die den Namen des Tools enthält (wie: wireguard.domain.com), würde die Domain selbst den Namen des Tools enthalten. Dadurch ist es anfällig für automatisierte Angriffe, die auf bekannte Mängel des von Ihnen verwendeten Tools abzielen. Wenn das Zertifikat jedoch für einen Platzhalter (*.domain.com) ausgestellt wird und die DNS-Einträge ähnlich eingerichtet sind, verbergen wir Informationen zu den von uns verwendeten Tools. Wenn Sie auf solche Dinge achten, können Sie Sicherheitslücken frühzeitig erkennen, sodass Sie später nicht überrascht werden.
Automatische Updates können ein zweischneidiges Schwert sein. Einerseits sind sie großartig, weil viele Teams Sicherheitspatches einfach nicht so priorisieren, wie sie sollten. Andererseits könnten sie zu Problemen führen, insbesondere wenn die automatischen Updates mit der aktuellen Konfiguration in Konflikt geraten.
Was ist der Mittelweg? Die meisten Teams entscheiden sich für Sicherheitsscanning-Tools, die kontinuierlich nach Sicherheitslücken suchen. Wenn ein Problem gemeldet wird, bewerten sie das Risiko und entscheiden, wann und wie es gepatcht werden soll. So stellen sie sicher, dass die Infrastruktur nicht gestört wird.
Ich möchte an dieser Stelle betonen, dass es klug ist, davon auszugehen, dass jedes Tool oder jeder Dienst potenziell anfällig ist. Wenn es nicht öffentlich zugänglich sein muss, dann setzen Sie es nicht dem Internet aus. Verstecken Sie es stattdessen hinter einem VPN.
Auf diese Weise kann nur Ihr internes Team (oder ausgewählte Kunden) darauf zugreifen, und das nur über sichere VPN-Verbindungen. Wenn ein Dienst nicht öffentlich ist, ist er für Bedrohungsakteure nicht sichtbar, was bedeutet, dass die Wahrscheinlichkeit, dass er überhaupt gescannt oder ins Visier genommen wird, viel geringer ist.
Wenn eine Sicherheitslücke tut Wenn Sie hier erscheinen, stehen Sie nicht sofort unter Druck, es innerhalb von Stunden zu reparieren. Wenn der Dienst jedoch im Internet verfügbar ist, müssen Sie schnell handeln.
Backups sind von grundlegender Bedeutung, deshalb habe ich sie in diesem Artikel mehrfach erwähnt. Sie müssen im Voraus vorbereitet werden, und nach der Migration müssen wir sicherstellen, dass die Backups korrekt eingerichtet sind. Dies ist auch ein Prozess nach der Migration, bei dem wir zusätzlich überprüfen, ob unser Disaster Recovery-Prozess funktioniert.
Zum Beispiel testen wir einen Teil unseres Systems, um zu überprüfen, ob wir uns nach einem Ausfall erholen können. Dies ist Teil des laufenden Wartungsprozesses. In regelmäßigen Abständen überprüfen wir unsere Wiederherstellungsprozesse nach dem Zufallsprinzip, um sicherzustellen, dass sie weiterhin funktionieren. Änderungen an der Infrastruktur können sich auf die Notfallwiederherstellungsverfahren auswirken. Manchmal glauben Kunden, dass sie vorbereitet sind, aber wenn eine Katastrophe eintritt, stellen sie fest, dass sie nur auf eine ältere Version von vor Monaten vorbereitet waren. Während der Migration überprüfen wir diese Prozesse und nach der Migration validieren wir sie erneut, um sicherzustellen, dass alles funktioniert.
Wenn im Unternehmen keine regelmäßigen Sicherheitserinnerungen im Rahmen eines fortlaufenden Zyklus eingeführt wurden, ist es wichtig, diese einzuführen. Dieser Zyklus sollte die Mitarbeiter an verschiedene Bedrohungen und Sicherheitspraktiken erinnern.
Stellen Sie sicher, dass Ihre Mitarbeiter sich der Tatsache bewusst sind, dass es Skripte gibt (versteckt hinter unbekannten Links oder PDF-Dateien), die unbeabsichtigt ausgeführt werden können und Daten verschlüsseln oder eine Hintertür zum System/Netzwerk öffnen — diese können Informationen Ihres Unternehmens wie Ihre IP-Adresse und den Status der Systemaktualisierung preisgeben. All dies könnte dazu beitragen, Vektorangriffe auf Ihre Infrastruktur zu erzeugen. Dies kann durch einen infizierten Mitarbeiter-Laptop geschehen — selbst wenn sich Ihre Tools hinter einem VPN befinden. Es ist auch gut, XDR- und SIEM-Lösungen wie Wazuh, was dazu beitragen kann, Vorfälle schnell zu identifizieren und Ihre Reaktion darauf zu beschleunigen.
Dazu gehört die Definition von Rollen, die Einrichtung von VPNs und die Entscheidung, welche Systeme sicher hinter Firewalls versteckt sind. Darüber hinaus wäre ein wichtiger Schritt am Ende des Migrationsprozesses die Durchführung einer Neuinventarisierung und Überprüfung der Architektur. Es ist wichtig zu überprüfen, ob alles mit dem ursprünglichen Plan übereinstimmt. Während der Migration können sich einige Aspekte ändern. Daher ist es notwendig, die Dokumentation darüber zu aktualisieren, was implementiert wurde, wie es gesichert ist, was öffentlich zugänglich ist und was nicht. Dies dient als abschließende Prüfung, die sicherstellt, dass alles dem ursprünglichen Sicherheitsplan entspricht.
Wenn wir zu einem späteren Zeitpunkt Änderungen an der Infrastruktur vornehmen möchten, ist es einfacher, auf diese aktualisierte Dokumentation zurückzugreifen. Es ist wichtig sicherzustellen, dass wir alle während des Prozesses vorgenommenen Änderungen verfolgen können, auch wenn sich der Zeitplan für die Migration bei großen Infrastrukturen über Monate oder sogar Jahre erstreckt.
Ich würde auch vorschlagen, während des gesamten Migrationsprozesses ein Entscheidungsprotokoll zu führen. Dies hilft zu dokumentieren, warum bestimmte Entscheidungen getroffen wurden, und bietet einen wertvollen Kontext für zukünftige Referenzzwecke. Jeder Eintrag sollte den Hintergrund der Entscheidung, die vor uns stehenden Herausforderungen und die Gründe für die gewählte Lösung enthalten.
Mit diesem Protokoll ist es viel einfacher, frühere Entscheidungen erneut zu überprüfen, insbesondere wenn später ein ähnliches Problem auftritt. Es kann Zeit für Sie oder andere Personen sparen, die möglicherweise in Zukunft ein verwandtes Problem untersuchen. Anstatt bei Null anzufangen, können sie das Entscheidungsprotokoll überprüfen, um zu verstehen, was zuvor getan wurde und warum, und diese Erkenntnisse auf die aktuelle Situation anwenden.
Cloud-Migration — wählen Sie einen sicheren Weg für Ihr Unternehmen
Die Schritte, die ich besprochen habe, zeigen, dass es für die Sicherheit der Cloud-Migration niemals einen einheitlichen Ansatz gibt. Es gibt wahrscheinlich mehrere Sicherheitsherausforderungen bei der Cloud-Migration und Fragen, auf die Sie stoßen werden. Deshalb lohnt es sich, mit dem richtigen Partner zusammenzuarbeiten, der Ihnen sicher den Weg weist.
Bei Brainhub haben wir jahrelange Erfahrung mit der Entwicklung und Verwaltung von Cloud-basierten Lösungen für Unternehmen — erreichen um zu erfahren, wie wir Ihnen bei Ihrem helfen können.
Unser Versprechen
Brainhub unterstützt jedes Jahr Gründer:innen, Tech-Leads und Entwickler:innen bei klugen Technologieentscheidungen – mit offen geteiltem Wissen aus der Praxis.
Authors
Dariusz Luber ist ein dynamischer und vielseitiger Solution Architect & DevOps Engineer bei Brainhub.
Enthusiast für Softwareentwicklung mit 8 Jahren Berufserfahrung in der Technologiebranche. Erfahrung im Outsourcing von Marktanalysen, mit besonderem Schwerpunkt auf Nearshoring. In der Zwischenzeit unser Experte darin, technische, geschäftliche und digitale Themen auf verständliche Weise zu erklären. Autor und Übersetzer nach Feierabend.
Dariusz Luber ist ein dynamischer und vielseitiger Solution Architect & DevOps Engineer bei Brainhub.
Enthusiast für Softwareentwicklung mit 8 Jahren Berufserfahrung in der Technologiebranche. Erfahrung im Outsourcing von Marktanalysen, mit besonderem Schwerpunkt auf Nearshoring. In der Zwischenzeit unser Experte darin, technische, geschäftliche und digitale Themen auf verständliche Weise zu erklären. Autor und Übersetzer nach Feierabend.
Read next
Popular this month
