Zero-Trust-Strategie: Cloud-Sicherheit nach Plan

Aufruf zur Veränderung

Wie wir in den letzten 18 Monaten festgestellt haben, bietet die Cloud Unternehmen ein beispielloses Maß an Flexibilität. Doch Sicherheit ist unerlässlich, um vom Potenzial der Cloud zu profitieren. Aufgrund der Größe und Komplexität von Accenture sind uns die Vorteile einer sicheren Cloud bestens bekannt.

Vor sechs Jahren hat Accenture den Umzug in die Cloud eingeleitet. Auch wenn unsere aktuellste Studie zeigt, dass Sicherheits- und Compliance-Risiken zu den größten Herausforderungen bei der Cloud-Einführung zählen, stand für uns jedoch von Anfang an fest, dass Cloud‑Security ein kritischer Erfolgsfaktor zur Unterstützung unserer Geschäftsanforderungen ist.

Der Schritt von einer On‑Premise‑Umgebung mit vollständiger Kontrolle hin zu einer kollaborativen Cloud‑Welt, in der wir auf die Technologie und Betriebsumgebungen von Anbietern setzen, markierte einen grundlegenden Wandel. Die Infrastruktur und die neuen Servicefunktionen in der Cloud sind anders. Wir konnten die lokale Infrastruktur nicht einfach so in die Cloud übertragen.

Wir mussten den Ansatz für die Implementierung unseres Sicherheitsmodells überarbeiten, um die Möglichkeiten von Cloud-nativen Lösungen nutzen zu können. Wir haben grundlegende Leitprinzipien für die Sicherheit weiterentwickelt, um den Anforderungen des Betriebs in der Cloud Rechnung zu tragen. Wir haben unsere Sicherheitsregeln neu definiert, um uns an die aktualisierte Cloud-basierte Infrastruktur anzupassen. Unsere Sicherheitsstrategie geht über die reine Infrastruktur hinaus und berücksichtigt auch Aspekte wie Anwendungen, Daten und Code.

Die IT-Infrastruktur von Accenture läuft heute in der Hybrid-Cloud und ist wesentlich günstiger als unsere traditionellen Bereitstellungsmodelle. Unsere Strategie bestand darin, von Anfang an eine sichere Infrastruktur zu schaffen und Sicherheit in Bezug auf Cloud-Funktionen neu zu definieren. Dadurch haben wir erkannt, wie unsere Cloud-Lösungen in jeder Hinsicht für die erforderliche Sicherheit innerhalb des Unternehmens sorgen.

Wenn Technologie auf menschliche Kreativität trifft

Während der Entwicklung unseres Cloud-Kontinuums haben wir schon früh erkannt, dass wir unsere Sicherheitspraktiken weiterentwickeln müssen, um unsere zentralen Sicherheitsanforderungen an die Cloud erfüllen zu können. Wir wollten unsere Anwendungen und unseren Infrastrukturcode von Anfang an durch Software-definierte Lösungen schützen. Wir haben verhaltensorientierte Analysen auf der Grundlage automatisierter künstlicher Intelligenz (KI) eingeführt, um Anomalien bei der Arbeit über unsere Cloud-Plattformen hinweg schneller und mit größerer Genauigkeit zu identifizieren. Es war uns wichtig, Cloud-unabhängig und auf eine Multi-Cloud-Umgebung vorbereitet zu sein, damit unser Framework und unsere Leitprinzipien zum Thema Sicherheit bei jedem Cloud-Anbieter nachweislich umgesetzt werden.

Darüber hinaus haben wir robuste Abwehrmechanismen mit zahlreichen Sicherheitsebenen implementiert, die sich auf unterschiedliche Komponenten verteilen: Cloud, Netzwerk, Zugriff, Daten und Endpunkte. Unsere Strategie basiert auf einem Zero-Trust-Ansatz, der jeden Aspekt der Cloud schützt, indem nichts und niemand als vertrauenswürdig behandelt wird. Mit dem Fokus auf Zero Trust verfolgen wir einen identitätszentrierten Ansatz, bei dem der gesamte Zugriff von der Identität abhängig ist und jede Anfrage explizit überprüft wird.

Fünf wichtige Faktoren haben zu einer erfolgreichen Umstellung in eine sichere Cloud beigetragen:

Wir haben die Verantwortung auf alle Schultern verteilt. Im Zuge unserer erhöhten Nutzung von SaaS (Software-as-a-Service) und PaaS (Platform-as-a-Service) in der Cloud haben wir uns für ein Modell entschieden, das die Verantwortung auf all unsere Cloud-Anbieter verteilt. Indem wir die Verantwortung mit unseren Hyperscalern teilen, anstatt alleinige Verantwortung zu übernehmen, wird die Sicherheit von innen heraus erhöht. Dank unserer Partnerschaften mit Cloud-Diensten von Microsoft, Amazon und Google profitieren wir von der Marktreife der Systeme, ihren breit gefächerten Sicherheitszertifizierungen und der Tatsache, dass diese Anbieter Sicherheit genauso schätzen wie wir.

Wir haben nach Cloud-basierten Lösungen gesucht. Cloud-Anbieter investieren stark in ihre innovativen Angebote und ihre Sicherheit. Der Einsatz von Cloud-nativen und Cloud-basierten Richtlinien, Kontrollen, Prozessen und Technologien bot uns ein hohes Maß an Flexibilität und Skalierbarkeit in Bezug auf unsere eigene Cloud-Sicherheit.

Wir haben für Compliance gesorgt. Dank der Partnerschaft mit unseren Anbietern basiert unsere Sicherheitsstrategie für die Cloud auf in der Branche anerkannten Standards und passt sich kontinuierlich an die spezifischen Geschäftsanforderungen von Unternehmen an. Durch die Einhaltung branchenweit definierter Richtlinien, den Einsatz von Alerts, die konsequente Anwendung des Zero‑Trust‑Prinzips und Security‑as‑Code stellen wir eine durchgängige Compliance sicher. Dadurch wird sichergestellt, dass unsere Services, Nutzer:innen, Workloads und Daten von Tag 1 an vor den sich ständig ändernden Bedrohungen geschützt bleiben und zur Validierung durch Dritte geprüft werden können.

Wir haben die Transparenz erhöht. Wir haben einen mehrschichtigen Ansatz verfolgt und die Sicherheit durch die Technologie von Cloud-Anbietern und fortschrittliche Lösungen zur Bedrohungserkennung verbessert. Wir haben nicht nur für unser eigenes Management mehr Transparenz geschaffen, sondern auch Überprüfbarkeit von außen ermöglicht.

Wir haben Vertrauen aufgebaut. Wir glauben, dass Identität die neue Firewall ist. Unser identitätsorientierter Ansatz bedeutet, dass wir eine Zero-Trust-Strategie verfolgen, die eine ordnungsgemäße und kontinuierliche Identitätsüberprüfung umfasst. Vertrauen wird jetzt grundlegend durch Identität und Rollen bestimmt.

Ein wertvoller Unterschied

Wir haben uns einen umfassenden Überblick über die verschiedenen Komponenten des Cloud-Betriebs verschafft, um eine ganzheitliche Cloud-Sicherheitsstrategie zu entwickeln. Die Implementierung dieses transformativen Sicherheitsansatzes in einer Multi-Cloud-Infrastruktur erlaubt es uns, weiterhin äußerst effektive Sicherheitsrichtlinien, Ressourcen und Services anzuwenden.

Dies sind einige unserer Erkenntnisse in Bezug auf effektive Cloudsicherheit::

• Richten Sie alles auf die Cloud aus: Die Entwicklung eines Cloud-Kontinuums erfordert ein ganz anderes Betriebsmodell als lokale Lösungen. Überdenken Sie Ihre Sicherheitsprinzipien in Bezug auf die Cloud, um maximale Sicherheit in der Cloud zu gewährleisten und Ihr Unternehmen zu transformieren.

• Leiten Sie einen kulturellen Wandel ein: Schließen Sie die kulturelle Lücke zu Cloud-nativen Services im gesamten Unternehmen. Weiterbildungen und Schulungen können dabei helfen, Denkweisen zu ändern, damit Ihre Mitarbeitenden die Vorteile der Cloud und die Notwendigkeit Ihrer Sicherheitsmaßnahmen verstehen.

• Fördern Sie Partnerschaften: Jede Entwicklung eines Cloud-Kontinuums bedeutet nicht nur, ein gewisses Maß an Kontrolle an Dritte abzugeben, sondern auch die Ausgereiftheit der einzelnen Cloud-Lösungen zu übernehmen. Es ist wichtig, vertrauensvolle Beziehungen zu Ihren Anbietern aufzubauen und die Verantwortung in Bezug auf die Sicherheit als gemeinsame Aufgabe zu betrachten.

Um die Zugriffskontrolle in einer Multi-Cloud-Umgebung zu sichern und zu verwalten, liegt unser Fokus darauf, alle Identitäten über alle Plattformen und Anbieter hinweg zu vereinheitlichen. Im Laufe der Entwicklung unserer Cloud-Funktionen über alle Plattformen hinweg wird die umfassende Sicherheit unserer Cloud weiterhin durch die intensive Nutzung von Daten gewährleistet.

Außerdem sind wir an neuen Lösungen interessiert und wollen unsere Sicherheit durch den Einsatz von KI verstärken. Dazu zählen Bedrohungserkennung und maschinelles Lernen, um unseren Code effizienter zu machen und potenzielle Schwachstellen zu eliminieren. Zusammen mit unserer Strategie „Prevent, Protect, Detect und Recover“ verstärkt dies unsere Zero-Trust-Philosophie.