Sieben Sicherheitspraktiken für moderne Cloud-Software, die nicht verhandelbar sind

Wenn es um externe Bedrohungen für Unternehmen und Cyber-Kriminalität geht, haben viele Leute ausgeklügelte, komplexe und großangelegte Angriffe krimineller Gruppen vor Augen. Doch viel wahrscheinlicher ist es, dass ein böswilliger Akteur in ein System einbricht, indem er eine schlichte Phishing-Attacke nutzt oder ein einzelnes simples Passwort knackt - und dann stellt die Organisation ernüchtert fest, dass die Mitarbeiter dieselben Passwörter immer und immer wieder verwenden.

Die meisten Sicherheitsvorfälle lassen sich mit einfachen Maßnahmen zur Security-Hygiene und einem konsistenten Monitoring vermeiden. Dies sind sieben Sicherheitspraktiken für moderne Cloud-Software, die nicht verhandelbar sein sollten.

Tracking des Zugangs und der Nutzung

Der erste Schritt einer soliden Sicherheitsstrategie besteht darin zu wissen, welche Produkte von wem und wofür genutzt werden. In einem durchschnittlichen Unternehmen gibt es zig unterschiedliche Cloud-Produkte für die unterschiedlichsten Zwecke.

Ein klares Bild der Quellen für potenzielle Risiken im Unternehmen entsteht erst, wenn das Security-Team versteht, wie die Leute diese Cloud-Produkte verwenden. Dann kann es die richtigen Sicherheitsrichtlinien für jedes der Teams entwickeln und etablieren.

Bei den Produkten von Atlassian Cloud ist diese Aufgabe einfach. Um volle Sichtbarkeit im Hinblick auf die User, die auf die Systeme zugreifen, herzustellen, gibt es sogenannte Organisationen. Eine Organisation ist eine globale Administrationsebene, die Admins einen zentralen Weg bietet, die richtigen Kontrollen und Sicherheitsmaßnahmen über alle Atlassian-Accounts des Unternehmens hinweg durchzusetzen.

Eine Atlassian-Organisation deckt alle User-Accounts der Cloud-Versionen von Jira Software, Jira Work Management, Jira Service Management, Confluence und Bitbucket ab. Ein Organisationsadministrator kann die Unternehmens-Domain verifizieren, sämtliche Atlassian-Accounts und -Produkte verwalten (innerhalb von admin.atlassian.com) und Sicherheitskontrollen wie SSO und automatische Nutzerprovisionierungen für alle Anwender der Organisation festlegen.

Zugriff auf sensible Daten verwalten und Account-Audits durchführen

Falls unternehmensweite Richtlinien nicht über eine Organisation durchgesetzt werden sollen, ist es alternativ möglich, den Cloud-Stack so aufzusetzen, dass nur bestimmte Cloud-Instanzen, Produkte oder Repositories sensible Informationen beinhalten. Auf diese Weise lassen sich die kritischen Unternehmens- und Kundendaten leichter managen.

Um bestimmten Usern Zugriff auf diese dedizierten Instanzen, Produkte oder Repos zu gewähren, können granulare Berechtigungen und Zugangskontrollen definiert werden. Das initiale Aufsetzen solcher Berechtigungen ist unkompliziert, doch sie im zeitlichen Verlauf im Blick zu behalten, stellt eine Herausforderung dar. Deshalb ist es sinnvoll, diese User-Listen regelmäßig zu auditieren und nicht mehr benötigte Zugänge zu entfernen.

Nutzerprovisionierung automatisieren

Eine automatisierte Nutzerprovisionierung ist der einfachste Weg, Zeit zu sparen und dennoch für Sicherheit zu sorgen. Statt Nutzerzugänge manuell anzulegen und die Accounts periodisch zu überprüfen, erlaubt die automatische Provisionierung eine direkte Synchronisation zwischen dem eingesetzten Identity Provider und den Atlassian-Cloud-Produkten.

Damit muss das Admin-Team Accounts nicht mehr per Hand erstellen, wenn jemand neu ins Unternehmen kommt oder das Team wechselt. Und noch wichtiger: Die automatische De-Provisionierung reduziert Risiken, indem Accounts zurückgesetzt und beschränkt werden, sobald Leute das Unternehmen oder eine Gruppe verlassen. Damit haben Administratoren eine engmaschigere Kontrolle über ihre Cloud-Instanzen.

Bei Atlassian Cloud gibt es diese Optionen für die Nutzerprovisionierung:

SCIM: Die Atlassian-Cloud-Tools lassen sich direkt mit dem Identity Provider des Unternehmens synchronisieren.
Google Workspace: Atlassian Cloud lässt sich für die Provisionierung mit Google Workspace synchronisieren. Allerdings werden keine Gruppenkategorisierungen reflektiert.

Single-sign-on und Synchronisierung mit Identity Providern

Single-sign-on ist eine wunderbare Lösung, um Account-Zugänge effektiv zu verwalten. SSO ermöglicht ein konsistentes Nutzererlebnis beim Login in die SaaS-Anwendungen, wobei die User nicht mit dutzenden Nutzernamen und Passwörtern jonglieren müssen. Außerdem minimiert dieser Ansatz die Sicherheitsrisiken, die mit einer wachsenden Anzahl von Cloud-Anwendungen und Logins im Unternehmen einhergehen.

Das erreicht SSO durch die Bereitstellungen einer Zugangskontrollebene zwischen den Cloud-Usern und den Cloud-Tools, die eine Just-in-time-Provisionierung, eine zentralisierte Verwaltung von Authentifizierungs- und Passwortrichtlinien sowie automatische Sperren ermöglicht, wenn ein User im SSO-System deaktiviert wird. Anders ausgedrückt: Eine SSO-Lösung automatisiert einen wesentlichen Teil des Security-Setups.

Die Integration einer bestehenden SSO-Lösung mit den Atlassian-Cloud-Tools erlaubt SSO mit SAML und Google Workspace.

Sensibilisierung der Teams

Die Verantwortung für die Sicherheit der Unternehmensinformationen liegt nicht nur in den Händen der Administratoren. Zu einem wirksamen Sicherheitskonzept gehören immer auch die Schulung und Sensibilisierung der Anwender: Sie sollten die wichtigsten Best Practices kennen, um Risiken zu verringern. Dazu gehören beispielsweise die folgenden Punkte:

Keine Kreditkarteninformationen in Cloud-Produkten ablegen, es sei denn, es ist unbedingt nötig
Zugriff auf Inhalte mit Kundendaten und anderen sensiblen Informationen beschränken
Starke Passwörter verwenden, Passwörter nie mehrfach nutzen, Passwörter regelmäßig wechseln. (Alternativ lassen sich mit Atlassian Cloud zentrale Passwort-Richtlinien durchsetzen.)
Vorteile einer Zwei-Faktor-Authentisierung für Accounts herausstellen (und für High-Level-Accounts gegebenenfalls erzwingen)
API-Token für Basisauthentisierung in Jira und Confluence via REST-API nutzen

Auditierung der Aktivitäts-Logs

Aktivitäts-Logs bieten eine lückenlose Übersicht der Ereignisse, die in einem System stattfinden. Sie zeigen alle Aktivitäten im Zeitverlauf und sind unter anderem nützlich, um verdächtige Aktionen zu identifizieren und Performance-Problemen auf den Grund zu gehen.

Admin-Teams sind gut beraten, die Logs kontinuierlich zu überwachen und regelmäßig durchzusehen. Confluence und Jira Cloud bieten native Audit Logs, die Sichtbarkeit schaffen und Admins das Leben in Sicherheitsfragen erleichtern.

Transparente Informationen zu Sicherheit, Datenschutz und Compliance

Sicherheit ist eine geteilte Verantwortlichkeit. Einerseits braucht das Admin-Team beim Monitoring und der Implementierung präventiver Maßnahmen und Mechanismen die Unterstützung anderer Teams, um eine sichere Arbeitsumgebung zu schaffen. Andererseits muss es seinen Teil der Abmachung einhalten.

Dafür liefert Atlassian Admins ein robustes Rüstzeug. Der Hersteller versteht Sicherheit als Kernfunktion der Cloud-Produkte und der Cloud-Infrastruktur. Atlassian fordert Interessenten und Kunden selbstbewusst auf, sich ausführlich mit Sicherheits- und Betriebsfragen zu beschäftigen und Vergleiche mit anderen Cloud-Anbietern zu evaluieren.

Im Trust-Bereich bietet Atlassian sehr ausführliche Details zu den Themen Sicherheit, Datenschutz, Verlässlichkeit, Transparenz und Compliance, die Admin-Teams auf jeden Fall gründlich studieren sollten, um die richtige Entscheidung für ihr Unternehmen zu treffen.

Die Zukunft für Atlassian-Kunden liegt in der Cloud

Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder noch besser: Probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du Atlassian Cloud selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.

Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken: In nur elf Fragen stellt sich heraus, ob und wie "migrationsreif" deine Organisation ist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema "Datenschutz in der Cloud" zu informieren. Gemeinsam mit dem Datenschutz-Experten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.