20. September 2016 René Büst*

Sicherheit in Hybriden Clouds

Hybride Umgebungen verbinden die Vorteile beider Welten: die Sicherheit und Kontrolle von Private Clouds und die Flexibilität, Skalierbarkeit und Schnelligkeit von Public Clouds. Hybride Clouds erfordern allerdings auch spezielle Sicherheitsstrategien. [...]

Im Rahmen einer Digitalisierungsstrategie nehmen Public-Cloud-Infrastrukturplattformen eine zentrale Rolle ein. Sie bieten die idealen Voraussetzungen für einen unkomplizierten Zugriff auf IT-Ressourcen zu jeder Zeit, von jedem Ort und nach Bedarf. Public Clouds sind damit die Brutstätte vieler neuer, teils disruptiver Geschäftsmodelle. Sie bieten zahlreiche Chancen, können gut situierte Unternehmen damit aber auch zunehmend in Schwierigkeiten bringen.
Geschäftsführer und IT-Entscheider sind somit gefordert, eindeutige Akzente in Richtung des digitalen Unternehmens zu setzen. Hierzu gehört das Überdenken des bestehenden Geschäftsmodells und die Anpassung und Neugestaltung sämtlicher Prozessketten. Die IT-Organisation muss sich in der Rolle des Impulsgebers und Enablers sehen und anhand von Technologien die notwendigen Voraussetzungen für die Transformation und digitale Geschäftsideen schaffen.

Ein Ergebnis der digitalen Evolution ist die Erkenntnis, dass in den Unternehmen nicht mehr nur eine IT existieren kann. Stattdessen gehen IT-Organisationen dazu über, zwei IT-Welten zu betreiben: die Dynamic-IT und die Static-IT. Aus gutem Grund. Zum einen suchen IT-Organisationen nach der notwendigen Skalierbarkeit und Flexibilität, um ihre neuartigen Lösungen und Services zu unterstützen. Zum anderen spielen die Vermeidung von Datensilos, der Wunsch nach dem Erhalt von Kontrolle und das Thema Sicherheit weiterhin eine übergeordnete Rolle. Moderne IT-Infrastrukturumgebungen zur Unterstützung einer Digitalisierungsstrategie müssen daher zunächst voneinander losgelöst betrachtet werden.

Dynamic-IT und Static-IT
Dynamic-IT-Infrastrukturen für die Entwicklung und den Betrieb digitaler Geschäftsmodelle und neuer Applikationen werden heutzutage bevorzugt auf Public-Cloud-Infrastrukturen implementiert, um unter anderem von deren Skalierbarkeit, Flexibilität und globalen Reichweite zu profitieren. Sie dienen unter anderem als Infrastruktur-Umgebungen für Backends für das Internet of Things (IoT), E-Commerce-Lösungen, hochfrequentierte Websites, Big-Data-Analysen oder Web-Applikationen.

Static-IT-Infrastrukturen beherbergen vorwiegend bestehende Enterprise-Applikationen oder Anwendungen, die aufgrund von rechtlichen Regularien, Datenschutz- und Compliance-Richtlinien oder wegen technischer Beschränkungen weiterhin auf Private Clouds betrieben werden. Dazu gehören Applikationen, die regulierte oder große Daten verarbeiten, Applikationen, die eine geringe Latenz fordern, Applikationen mit einer konstanten Auslastung, Applikationen mit einem hohen Anspruch an Festplatten, I/O und Applikationen, die bestimmte Hardwareanforderungen haben respektive Hardwareabhängigkeit besitzen.

Ungeachtet der unterschiedlichen Wirkungskreise von Dynamic-IT und Static-IT ist es notwendig, beide Welten miteinander zu vereinen, um zum einen die rechtlichen Rahmenbedingungen und notwendigen Schutzmaßnahmen sicherzustellen und gleichzeitig die Innovationsfähigkeit des Unternehmens nicht zu vernachlässigen. Während des Aufbaus einer Hybrid Cloud geht es vor allem darum, die Static-IT – in Form einer Private Cloud – mit den Ressourcen aus der Dynamic-IT – auf Basis einer Public Cloud – flexibel zu erweitern.

Das Beste aus beiden Welten
Mögliche Vorteile einer Hybrid-Cloud-Integration ergeben sich vor allem durch schnellere Adaption neuer Technologien, durch Agilität dank einer schnelleren Bereitstellung weiterer Ressourcen sowie durch nahtlose Erweiterung der Private-Cloud-Infrastruktur und durch Verschiebung von Workloads in die Public Cloud je nach Bedarf. Zudem können Hybrid Clouds in Unternehmen zu einer verbesserten Kontrolle führen, da kritische Daten in einer hybriden Umgebung in der Private Cloud bleiben können und Services aus der Public Cloud lediglich zur Verarbeitung darauf zugreifen. Die zentrale Herausforderung einer Hybrid Cloud ist die Sicherheit.

Die Private und Public Cloud dürfen hierbei keinesfalls lediglich einzeln betrachtet werden. Stattdessen ist ein einheitlicher Sicherheitsrahmen zu schaffen. Das bedeutet, dass auch hier die Integration beider Cloud-Infrastrukturen zum entscheidenden Erfolgsfaktor wird. Eine hybride Sicherheitsstrategie umfasst daher unter anderem die Festlegung einer Cloud-übergreifenden und allgemeingültigen Sicherheitsrichtlinie. Weiters zu beachten sind die Implementierung einer Ende-zu-Ende-Sicherheitsarchitektur, der Schutz der Datenverbindungen, die Absicherung des Datenverkehrs und eine Ende-zu-Ende-Verschlüsselung der Daten. Abgerundet wird diese Sicherheitsstrategie durch den Einsatz entsprechender Sicherheitslösungen.

Für einen ganzheitlichen Ansatz ist zwingend darauf zu achten, Toolsets und Services einzusetzen, die sowohl die Private- als auch die Public-Cloud-Infrastruktur ganzheitlich schützen und nicht an den Grenzen der jeweiligen Infrastruktur aufhören.

Die Sicherheitsstrategie einer hybriden Cloud-Umgebung lässt sich nicht auf Basis eines Silo-Konzepts umsetzen. Stattdessen ist hierfür ein Ende-zu-Ende-Ansatz erforderlich. Das bedeutet: Ganz gleich, ob die eigene Private-Cloud- oder die Public-Cloud-Infrastruktur geschützt werden soll, ist eine zentrale Plattform erforderlich, um eine ganzheitliche Sicherheit zu gewährleisten und einen Infrastruktur-übergreifenden Überblick zu behalten.

Security as a Service
Für die Umsetzung hybrider Cloud-Szenarien kommen immer häufiger Security-as-a-Service-Lösungen zum Einsatz. Hierbei werden die Services aus einer Cloud-Umgebung eines Sicherheitsanbieters bereitgestellt und nahtlos in die Private-Cloud- beziehungsweise Public-Cloud-Infrastruktur integriert. Die Sicherheit wird somit als Service bereitgestellt, ohne dass ein Kunde die dafür normalerweise erforderliche Hard- und Software einkaufen muss. Der Vorteil: Unternehmen jeder Größe haben damit Zugriff auf hochentwickelte Sicherheitstechnologien, die normalerweise den Großkonzernen vorbehalten bleiben.

Immer mehr Unternehmen setzen daher Security-as-a-Service-Lösungen bevorzugt ein, um von den folgenden Vorteilen zu profitieren:
Schnelle Bereitstellung: In einem Security-as-a-Service-Modell werden die entsprechenden Sicherheitslösungen und die dafür notwendige Hard- und Software von dem Sicherheitsanbieter betrieben und dem Kunden als Service bereitgestellt. Dadurch bestehen für den Kunden im Hinblick auf die Bereitstellung keine langen Vorlaufzeiten mehr und er kann direkt mit der Integration und Konfiguration beginnen.

Geringerer Wartungsaufwand: Der Security-as-a-Service-Anbieter ist zu 100 Prozent für den Betrieb und die Wartung der Service-Infrastruktur zuständig, über die dem Kunden die Sicherheitslösungen zur Verfügung gestellt werden. Das bedeutet, dass der Kunde sich nicht mehr um die Produkt-Updates oder das Einspielen von Virensignaturen und andere Aktualisierungen kümmern muss.

Konzentration auf das Wesentliche: Mit dem Einsatz einer Security-as-a-Service-Lösung muss sich die IT-Organisation nicht mehr um den Aufbau und die Wartung der Sicherheitsinfrastruktur kümmern und erhält damit mehr Freiheit für die Umsetzung strategisch wichtiger Projekte. Das erhöht die Produktivität der gesamten IT-Organisation.

Geringere Kosten: Mit dem Bezug von Security-as-a-Service-Lösungen verlagert sich das Ausgabenverhältnis von Capex (Investitionskosten) zu Opex (Betriebskosten). Das bedeutet, dass ein Kunde nur noch für die Sicherheitslösung bezahlt, die er in Anspruch nimmt. Gleichzeitig ist der Kunde nicht mehr für die Wartung und Produktpflege seiner Sicherheitsinfrastruktur zuständig und profitiert davon, dass potentielle Angriffe direkt in der Cloud abgefangen werden, bevor diese das Unternehmensnetzwerk erreichen.

Unmittelbarer Schutz: Die Teams von Security-as-a-Service-Anbietern arbeiten in einem 24×7-Modell, wodurch Updates und Signaturen auf Cloud-basierenden Sicherheitsplattformen rund um die Uhr aktualisiert werden und dem Kunden damit unmittelbar automatisch zur Verfügung stehen.

Höherer Sicherheitslevel
Ob KMU, Mittelständler oder globaler Konzern: Unternehmen jeder Größe können es sich heutzutage nicht mehr leisten, zu viel eigene Energie für Sicherheit aufzubringen und damit die Konzentration auf das Kerngeschäft zu schwächen. Security-as-a-Service-Lösungen bieten hierfür eine ausgereifte Alternative zu lokal betriebenen Sicherheitsumgebungen, um die Sicherheit von hybriden IT-Infrastrukturen nach Bedarf zu erhöhen, ohne direkt hohe Investitionskosten zu verursachen. Trotzdem profitieren sie unmittelbar von Sicherheitsinnovationen.

Mit der zunehmenden Vernetzung und Digitalisierung sämtlicher Geschäftsprozesse verändert sich ebenfalls der Charakter vollständig abgeschlossener IT-Landschaften hin zu miteinander integrierten und hybriden IT-Infrastruktur-Umgebungen. Dieser Wandel führt insbesondere auf Sicherheits­ebene zu neuen Herausforderungen, die CIO und CISO im Rahmen ihrer Sicherheitsstrategie berücksichtigen müssen.

Handlungsempfehlungen für CIO
Selbstverantwortung übernehmen: Ein maßgeblicher Anteil einer hybriden Cloud-Umgebung besteht aus der Public Cloud. Trotz der weit verbreiteten Annahme übernehmen Public-Cloud-Anbieter wie Amazon Web Services, Microsoft Azure oder VMware vCloud Air nicht die gesamte Verantwortung für den Cloud-Stack ihrer Kunden. Daher ist ein gewisses Maß an Selbstverantwortung gefragt. Das gilt von der Infrastruktur- bis hin zur Applikations-Ebene. Und zwar sowohl für den Betrieb als auch die Sicherheit der Cloud-Umgebung.

Ende-zu-Ende Verschlüsselung der Daten: Im Rahmen hybrider Cloud-Umgebungen spielen die Verschlüsselung der Daten und deren Übertragungswege eine wichtige Rolle. Hierbei ist nicht ausschließlich das Data-­at-Rest-Konzept (reine Verschlüsselung auf Datenträgerebene) in Betracht zu ziehen. Stattdessen sollte ein ganzheitlicher Ansatz verfolgt werden, bei dem sich die Daten auf allen Ebenen ihres Verarbeitungszyklus in einem verschlüsselten Zustand befinden. Hierzu gehören der Schutz auf Client- und (virtueller) Server-Ebene innerhalb der On-Premise-Infrastruktur über die Datenverbindungen bis hin zu den virtuellen Systemen auf der Public-Cloud-Infrastruktur.

Implementierung einer Ende-zu-Ende Sicherheitsarchitektur: Systeme, Plattformen, Services und Applikationen werden heute nicht mehr nur innerhalb der eigenen IT-Infrastruktur betrieben. Folglich muss der Schutz dieser Ressourcen ganzheitlich über alle verwendeten IT-Umgebungen hinweg erfolgen und dabei sowohl physikalische und virtuelle als auch Cloud-basierte Architekturen berücksichtigen. Das schließt alle selbst betriebenen Systeme ein – und auch diejenigen, die auf Infrastrukturen von Public-Cloud-Anbietern ausgelagert sind. Schlussendlich dürfen Hybrid- und Multi-Infrastruktur-Szenarien unter keinen Umständen vernachlässigt werden.

Die Sicherheitskonzepte dürfen nicht an den Grenzen einer Infrastruktur oder Architektur enden, sondern müssen vom Backend bis zum Endgerät des Nutzers reichen.

Cloud-Services haben einen bedeutenden Einfluss auf die digitale Evolution von Unternehmen. Die Vernetzung mit Partnern, Lieferanten und Kunden anhand von nahtlos integrierten Prozessen auf Basis von Hybrid- und Public-Cloud-Umgebungen ist heute ein Muss, um auf die sich ständig verändernden Marktbedingungen reagieren zu können. Diese Veränderungen bringen neue Bedrohungsszenarien mit sich, die Unternehmen im Rahmen ihrer Sicherheitsstrategie auf allen Ebenen ganzheitlich berücksichtigen sollten. Dabei sollten sie ein Silo-Denken unter allen Umständen vermeiden.

*René Büst ist Senior Analyst und Cloud Practice Lead bei der Crisp Research AG.


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*