Wie der Titel schon besagt, ist dieses Buch ein praxisorientierter Ratgeber für das Absichern Ihrer Cloud-Umgebungen. In so gut wie allen Organisationen muss die Security um Zeit und Geld kämpfen und hat oft das Nachsehen gegenüber dem Implementieren von Features und Funktionen. Daher ist es wichtig, sich aus Security-Sicht darauf zu konzentrieren, das Geld möglichst effektiv einzusetzen.
Dieses Buch soll Ihnen dabei helfen, die wichtigsten Schutzmaßnahmen für Ihre wichtigsten Assets schnell und korrekt einzurichten – egal ob Sie ein Security Professional sind, der sich aber noch in der Cloud zurechtfinden muss, oder eine Architektin oder ein Entwickler mit Security-Verantwortlichkeiten. Von dieser stabilen Basis ausgehend können Sie Ihre Mechanismen weiter ausbauen und entwickeln.
Viele der Schutzmaßnahmen und -prinzipien sind in Cloud- und On-Premises-Umgebungen ähnlich, aber es gibt in der Praxis trotzdem ein paar wichtige Unterschiede. Daher mögen Sie manche der Empfehlungen für die angewandte Cloud-Sicherheit überraschen, wenn Sie schon Sicherheitserfahrung im On-Premises-Umfeld gesammelt haben. Es gibt unter den Security Professionals natürlich in nahezu allen Bereichen der IT-Sicherheit unterschiedliche Meinungen, aber die Empfehlungen in diesem Buch sind aus jahrelanger Erfahrung im Absichern von Cloud-Umgebungen entstanden, und sie berücksichtigen einige der neuesten Entwicklungen bei den Angeboten im Bereich Cloud Computing.
Dies ist vor allem ein Buch über Sicherheit, nicht über Compliance. Müssen Sie spezifische Compliance-Anforderungen erfüllen, wie zum Beispiel PCI DSS, HIPAA oder FedRAMP, werden Sie hier trotzdem ein paar Ratschläge über das Design Ihrer Schutzmaßnahmen finden, die helfen können.
Dieses Buch soll als Quelle für Fortgeschrittenere dienen und richtet sich vor allem an zwei Arten von Praktikern und Praktikerinnen:
Ziel dieses Buchs ist es, Ihnen ein konzeptionelles Verständnis dessen zu geben, was im Bereich der Cloud-Sicherheit möglich ist. Sie werden hier aus verschiedenen Gründen keine Rezepte wie in einem Kochbuch finden, bei denen exakt beschrieben wird, wie Sie die unterschiedlichen Mechanismen in bestimmten Cloud-Umgebungen implementieren. Einer der Gründe ist, dass solche Ratgeber regelmäßig sehr schnell nicht mehr aktuell sind, weil die Cloud-Provider ihre Implementierungen fortlaufend verbessern. Ein anderer ist, dass die Cloud-Provider im Allgemeinen bessere Anleitungen erstellen können als ich, weil diese viel spezifischer auf die Art und Weise abgestimmt sein können, wie die Services designt sind. Eine detaillierte Schritt-für-Schritt-Anleitung von einem Cloud-Provider wird viel nützlicher sein als eine allgemeine Beschreibung, die versucht, mehrere Cloud-Provider abzudecken.
Ich versuche hier, Ihnen zu erklären, wann Sie eine dieser Anleitungen finden und einsetzen müssen.
Die ersten drei Kapitel stellen Ihre Verantwortlichkeiten in der Cloud vor und wie sich diese von denen in On-Premises-Umgebungen unterscheiden. Dazu wird erklärt, was für Assets Sie haben und worin die wahrscheinlichsten Bedrohungen dahin gehend bestehen. Zudem werden ein paar Schutzmechanismen vorgestellt.
In den Kapiteln 4 bis 6 finden Sie praktische Ratschläge – in der Reihenfolge ihrer Wichtigkeit – zu den wichtigsten Schutzmaßnahmen, die Sie sich als Erstes anschauen sollten:
Das letzte Kapitel dreht sich darum, wie Sie erkennen, ob etwas schiefläuft, und wie Sie damit umgehen. Es wäre nicht verkehrt, dieses Kapitel zu lesen, bevor tatsächlich etwas passiert!
Die folgenden typografischen Konventionen kommen in diesem Buch zum Einsatz:
Kursiv
Steht für neue Begriffe, URLs, E-Mail-Adressen, Dateinamen und Dateierweiterungen.
Schreibmaschinenschrift
Steht für Programmlistings, aber auch innerhalb von Absätzen, um sich auf Programmelemente wie Variablen oder Funktionsnamen, Datenbanken, Datentypen, Umgebungsvariablen, Anweisungen und Schlüsselwörter zu beziehen.
fette Schreibmaschinenschrift
Steht für Befehle oder anderen Text, der genau so einzugeben ist.
Kursive Schreibmaschinenschrift
Steht für Text, der durch von Ihnen bereitgestellte Werte oder durch sich aus dem Kontext ergebende Werte ersetzt werden soll.
Dieses Element enthält einen Tipp oder Vorschlag.
Dieses Element enthält einen allgemeinen Hinweis.
Dieses Element enthält eine Warnung.
Dieses Buch wäre ohne die Unterstützung und Ermutigung meiner wundervollen Frau Tabitha Dotson nicht entstanden. Sie hat mir klargemacht, dass ich diese Gelegenheit nicht verstreichen lassen dürfe, und hat über ein Jahr lang mit Terminen und Verpflichtungen jongliert, damit ich schreiben konnte. Auch möchte ich meinen Kindern Samantha (für ihr umfassendes Wissen über griechische Mythologie) und Molly (für das fortlaufende Infragestellen von Annahmen und ihre unkonventionelle Denkweise) danken.
Neben dem Autor sind viele Menschen erforderlich, damit ein Buch veröffentlicht wird, und mir ist das erst mit diesem Buch bewusst geworden. Ich möchte dem Lektor Andy Oram und der Lektorin Courney Allen der ersten Auflage danken, den Lektorinnen Rita Fernando und Megan Laddusaw der zweiten Auflage, den Reviewern der ersten Auflage – Hans Donker, Darren Day und Edgar Ter Danielyan –, den Reviewern der zweiten Auflage – Lee Atchison, Karan Dwivedi und Akhil Behl – sowie dem Rest des wunderbaren Teams von O'Reilly, die mich alle beim Entstehen dieses Buchs geleitet und begleitet haben.
Schließlich möchte ich noch all meinen Freunden, meiner Familie, meinen Kollegen und Mentorinnen der letzten Jahre danken, die mir Fragen beantwortet, an Ideen herumgedacht, schlechten Witzen gelauscht, über meine Fehler gelacht und mir tatsächlich das meiste von dem beigebracht haben, was Sie in diesem Buch finden.