Question | Answer |
Cloud - Definition (BSI) | Cloud Computing ermöglicht einen bequemen, bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool von konfigurierbaren Computerressourcen (z. B. Netzwerke, Server, Speichersysteme, Anwendungen und Dienste), die mit minimalem Verwaltungsaufwand oder Interaktion mit dem Dienstleister schnell bereitgestellt und freigegeben werden können |
Cloud - Definition (NIST) | abrufbereiter Self-Service breiter Netzwerkzugriff alle Ressourcen an einem Ort leicht und schnell ausdehnbar regelmäßiger Service |
Deployment Models | |
Benutzer vs Anbieter - Management | |
Entwickeln einer Cloud | |
Sicherheitsrisiken in der Cloud | Unauthorisierter Zugriff Dataleaks Ressourcen aufgebraucht Falsche Konfiguration Schatten-IT (nicht genehmigte Nutzung innerhalb eines Unternehmens) Kontodiebstahl Unsichere APIs (Verbindungen/ Schnittstellen zwischen SW-Anwendungen) |
Cloudzugriff - Beispiel Amazon | |
Cloud - Gegenmaßnahmen | |
Cloud - Organization | erlaubt Unternehmen effiziente mehrere Cloud-Accounts, -User und -Ressourcen zu verwalten. Sie ermöglicht zentralisierte Kontrolle über Sicherheitsrichtlinien, Zugriffsrechten, Einwilligungsvoraussetzungen und Rechnungen |
Cloud - Accounts | kleine Unterschiede bei verschiedenen Anbietern, aber allgemein logisch, sicherheits- und kostentechnisch isolierter Container für Ressourcen-Entwicklung |
Genereller Aufbau von einer Multi-Account-Umgebeung - Unternehmenslevel | repräsentiert gesamtes Unternehmen höchste Einheit Unternehmensweite Konfigurationen und Regelungen |
Genereller Aufbau von einer Multi-Account-Umgebeung - Organisatorisches Level | repräsentiert eine Unternehmenseinheit Unterteilung in Verantwortungsfelder, physische Standort zentralisiert Kontroll- und Kostenmanagement |
Genereller Aufbau von einer Multi-Account-Umgebeung - Account- & Ressourcengruppenlevel | logische Gruppierung von Ressourcen Trennung gemäß Lebenszyklus |
Genereller Aufbau von einer Multi-Account-Umgebeung - Ressourcenlevel | spezifische Cloud-Ressourcen individuelle Konfiguration |
Cloud - Accounts - Vererbung | Übertragen von Konfigurationen, Regelungen, Genehmigungen von höheren zu niedrigeren Leveln Vereinfacht Management Erhöht Konsistenz |
Wie könnte ein Multi-Account-Konzept an der FH Aachen aussehen? | |
Aufbauende Konzepte (Staging Concepts) | Testumgebung Änderungen vor der Herausgabe validieren Testing, Bugfixes Trennung von Produktions- und Nicht-Produktionsdaten |
Cloud - User Management | die systematische Administration von Nutzer-Accounts und -Genehmigungen in einer Cloud-Umgebung |
Cloud Account User Lifecycle | Nutzer-Management ist ein konstanter Prozess Implementiert RBAC/Gruppen Implementiert Least Privileges Principle regelmäßige Überprüfung von Berechtigungen nutzt SSO (Einmalanmeldung) nutzt starke Authentisierungsmethoden |
Benutzer-Account-Typen - Organization (Root) Accounts | repräsentiert den Cloud-Besitzer höchster Management-Account mit meisten Zugriffsrechten massive Sicherheitsmaßnahmen notwendig |
Organization (Root) Accounts - Sicherheitsmaßnahmen | keine personalisierte E-Mail-Adresse so selten wir möglich verwenden Multi-Faktor-Authentifizierung (HW) sicher aufbewahren Notfallpläne bei Vorfällen Dokumentieren |
Benutzer-Account-Typen - Individual Accounts | repräsentiert individuelle Cloud-Nutzer RBAC Zugriff nur auf bestimmte Bereiche Testen und Experimentieren |
Individual Accounts - Authentifizierungsmethoden | |
Benutzer-Account-Typen - Federated Identities | Authentifizierung durch Extern Häufig SSO Zentralisierung des Nutzer-Management Integration von Externen- oder Gastnutzern |
Benutzer-Account-Typen - Technical Users | keine echten Menschen hauptsächlich für automatische Prozesse kein interaktiver Zugriff häufig verwendet für Continuous Integration & Deployment (CI/CD) |
Benutzer-Account-Typen - Service Identities | Service-to-Service-Authentication Cloud-Anbieter bearbeitet automatisch Zugangsdaten reduziertes Gefährdungsrisiko |
User Management - Monitoring | |
Cloud Infrastructure Security | Um- und Durchsetzen von Sicherheitsmaßnahmen, um Cloud-Ressourcen und -Daten auf Level der Infrastruktur zu schützen |
Cloud Service | jederzeit abrufbare Rechenkapazitäten, die durch den Cloud-Service-Provider zur Verfügung gestellt werden |
Cloud Infrastructure - Best Practices | Nutzung automatisierter Überwachungs- und Warnungstools Erstellung eines Notfallswiederherstellungsplans Sicherstellung des Einhaltens von Industriestandards Durchführung regelmäßiger Schwachstellenscans und Penetrationstests Nutzung von Kostenmanagement-Tools Nutzung von zentralisiertem Management für Sicherheitsregelungen und -überwachung Daten verschlüsseln Implementierung robuster Netzwerksicherheit und -segmentierung und sicherem Geheimnismanagement |
Networks - security at architectural level | starkes Fundament für Anwendungen verhindert Schwachstellen im frühen Entwicklungsprozess ganzheitlicher Schutz Belastbarkeit und Skalierbarkeit |
Hub Network | zentraler Punkt der Datenübertragung zentralisiert Dienste, die gemeinsam genutzt werden können zentralisiert Zugriffskontrolle |
Hub-and-Spoke - Network Topology | |
Perimeter Protection | verhindert unautorisierten Zugriff Schutz vor externen Bedrohungen z.B. Security Groups (filtert Ein- und Ausgehenden Datenverkehr), (Web Application) Firewalls, Virtual Network Gateway (VPN), API Gateway, DDoS Protection |
Secret Management | erweiterte Sicherheit Zentralisiertes Management Automatisierte Prozesse Effizienz Konformität eine Anwendung in der Cloud enthält viele sensible Daten |
Secrets stored in Deployment Systems | Vorteile: zentralisiertes Management, automatisierter Einsatz, Zugriffskontrolle, Beständigkeit, vereinfacht Separation Nachteile: mögliches Freilegen in Logs, Single point of Failure, Abhängigkeit vom Entwicklungstool |
Secrets stored in Cloud Providers | Vorteile: Skalierbarkeit, automatische Verwendung, Zugriffskontrolle (resource level), logging und Prüfen, vereinfacht Separation Nachteile: Anbieterabhängigkeit, Zugriff wird verlangsamt, beschränkte Kundenbezogenheit(Anpassung) |
Secrets stored in External Applications | Vorteile: Plattformunabhängig, zentralisiertes Management, anpassbar, dynamische Geheimnisgenerierung Nachteile: Integration komplex, höhere Kosten, hoher Betriebsaufwand |
Infrastructure as Code (IaC) | Managen und Bereitstellen einer Infrastruktur durch Code statt durch manuelle Prozesse Automatisierung, Beständigkeit, Skalierbarkeit, Versionskontrolle, Wiederverwendbar, kollektiv, Drift Detection(Aufnahme und Verständnis von Änderungen in Daten), Testen, Einhaltung, Dokumentation |
Declarative vs Imperative IaC Tools | Dec.: abstrakt, Statusmanagement, Idempotenz(gleiche Operationen ergeben gleiches Ergebnis), Abhängigkeitsmanagement Bsp.: Terraform, Biceps, ARM... Imp.: sequentielle Ausführung, Schritt-für-Schritt Anleitungen, Flexibel Bsp.: CDK, Ansible |
Policies in Cloud Environments | Regeln und Richtlinien, die Verhalten, Sicherheit und Einhaltung von Cloud-Ressourcen und -Diensten regeln Ressourcenkontrolle, Sicherheits-, Kostenmanagement, Einhaltungsdurchsetzung, Konsistenz in der Ausführung |
Landing Zones | wir genutzt, um neue Umgebungen schnell aufzusetzen Vorkonfiguration, Skalierbarkeit, Sicherheitsbasis Komponenten: Netzwerkarchitektur, IAM-Regelungen, Sicherheits- und Einhaltungseinstellungen, Resourcenkonfiguration |
Platform Engineering | Entwicklung und Wartung wiederverwendbarer Infrastruktur und Anwendungsplattformen Erstellen und Verwalten der zugrunde liegenden Plattformen für eine effiziente Anwendung, Entwicklung, Bereitstellung und Betrieb Skalierbarkeit, Sicherheitsbasis Komponenten: CI/CD, Automatisierungs-Tools, Aufnahmelösungen, Containerverwaltung |
Want to create your own Flashcards for free with GoConqr? Learn more.