in Kooperation mit

Dell TechnologyVMWareIntel

Wie können Sie Ihre Multi-Cloud-Umgebung schützen?

CIO

4m Lesezeit

1


2

teilen

Damit IT-Entscheider die Agilität, Flexibilität und Kostenvorteile von Multi-Cloud nutzen können, müssen mehrere Sicherheitsmaßnahmen getroffen werden.

Die transformative Kraft von Multi-Cloud hat diese Technologie von einer Randerscheinung zu einer Mainstream-Architektur gemacht. Eine von Dell Technologies und VMware bei IDG in Auftrag gegebene Untersuchung hat ergeben, dass 86 Prozent der IT-Führungskräfte bereits mehrere Clouds nutzen und dass die große Mehrheit der restlichen Unternehmen die Einführung von Multi-Cloud in den nächsten ein bis zwei Jahren in Betracht zieht. Die Unternehmen profitieren dabei von der Agilität, Flexibilität und Kosteneffizienz bei der Verschiebung von Workloads in die Cloud. Viele Mainstream-Unternehmen stellen jetzt fest, dass durch die Einführung von Multi-Cloud zusätzliche Flexibilität und Leistung erzielt werden kann.

43 Prozent der Befragten sind jedoch der Meinung, dass die Sicherheit bei der Verschiebung von Workloads in die Cloud eine große Herausforderung darstellt. Diese Zahl steigt bei kleineren Unternehmen sogar auf 56 Prozent an. Ungefähr 50 Prozent der IT-Führungskräfte geben an, dass sie ihre Workloads aufgrund von Sicherheitsbedenken nicht in die Cloud verschoben haben. Es gibt zwar keinen einfachen Weg, diese Bedenken zu überwinden, aber es entwickelt sich ein Konsens über bewährte Verfahren, die die Sicherheit einer Multi-Cloud verbessern.

Sicherheitsmaßnahmen auf Workload-Ebene

Werden in der Cloud befindliche Workloads von der zugrunde liegenden Hardware entkoppelt, so verändert dies das Sicherheits-Kalkül grundlegend. In einer Multi-Cloud-Welt, in der Container und virtuelle Maschinen zwischen On-Premises- und Public-Cloud-Infrastrukturen wahlfrei verschoben werden können, ist eine netzwerkbezogene Abschottung nicht mehr möglich. Richard Bennett, Head of Industry Solutions & Strategy, EMEA bei VMware, sagt dazu: „Die Burgmauern funktionieren nicht mehr. Sie können zwar einen Graben mit Krokodilen anlegen, aber was passiert, wenn jemand mithilfe einer Stange darüberspringt?“

Innerhalb eines herkömmlichen Rechenzentrums fließt der Großteil des Datenverkehrs in Richtung Ost-West und liegt damit außerhalb der Kontrolle der üblichen Sicherheitsmaßnahmen wie Firewalls oder Intrusion Prevention Systemen (IPS). Multi-Cloud-Szenarien gehen noch einen Schritt weiter, weil sich die Workloads ihre physischen Hosts und die internen Netzwerkressourcen mit unbekannten Dritten teilen.

Bei solchen Architekturen lassen sich Sicherheitsmaßnahmen nicht einfach in Gestalt von Grenzzäunen anlegen. Da auch die verwendete Hardware ständigen Veränderungen unterliegt, müssen alle hardwareorientierten Schutzmaßnahmen neu überdacht werden. Das heißt, der neue Ansatz hängt von einer softwarebasierten Sicherheit ab. Mike van Vliet, Consulting Pursuit Lead für EMEA bei Dell Technologies, empfiehlt, dass „alle Sicherheitsregeln ... so nah wie möglich bei den Daten und Anwendungen sein sollen, also direkt in der VM oder im Container“.

In so einem Fall sind die Security-Maßnahmen wie Firewalls und IPS in der Software definiert; diese wird zusammen mit den Workloads hoch- und runtergefahren. Noch wichtiger ist es, dass diese Ressourcen auf der Workload-Ebene innerhalb des Containers oder der virtuellen Maschine angelegt sind. Sie schützen also auch dann, wenn der Workload zwischen internen und externen Systemen hin- und hergeschoben wird.

Dieses Vorgehen ist unerlässlich, da nur so die Sicherheit ebenfalls von der Hardware abgekoppelt wird – genauso wie es auch bei abgekoppelten Workloads der Fall ist. Data Protection ist also grundsätzlich unabhängig von der Betriebsumgebung einzurichten. Sicherheitsfunktionen müssen auf der Ebene der einzelnen Workloads agieren, denn nur so dienen sie dem Schutz vor Bedrohungen, was bei allen infrastrukturbasierten Maßnahmen nicht möglich ist.

Entwicklung eines Konzepts zur Cyber-Sicherheit und Einführung einer Cyber-Hygiene

Jeder, der mit Cybersecurity zu tun hat, kennt das Problem des Kompromisses zwischen Security und Benutzerfreundlichkeit. Klassische Beispiele dafür sind das Abschalten von TCP-Ports, die nicht explizit benötigt werden. Das trägt zwar objektiv dazu bei, dass unerwünschter Datenverkehr blockiert wird, doch es kann durchaus dazu führen, dass auch dem erwünschten Datenfluss ein Riegel vorgeschoben wird Ebenso bedeutet das Sperren0 eines Unternehmens-Desktops und die Verweigerung von Administratorrechten für die User, dass zwar Aktionen verhindert werden, die die Sicherheit gefährden könnten. Allerdings können möglicherweise die User nicht mehr so effizient und effektiv arbeiten wie vorher.

Hier eine Balance zu finden ist schwierig, da statische Maßnahmen nie genau den dynamischen Bedürfnissen des Augenblicks gerecht werden können. Damit sind diese Instrumente nicht nur anfällig für das Beeinträchtigen der User Experience, sondern sie sind auch unzureichend, wenn unvorhergesehene Bedrohungen auftreten. Multi-Cloud-Operationen verstärken dieses Defizit noch, da sie eine komplexere Umgebung schaffen, die teilweise außerhalb der Kontrolle des Unternehmens liegt, das die Workload betreibt.

Flexible Sicherheit erfordert Maßnahmen, die sich zu jeder Zeit den gegebenen Bedürfnissen optimal anpassen. Das aber steht beispielsweise im Kontrast zu einer gesperrten SaaS-Ressource, die ein Störungspotenzial oder ein Sicherheitsrisiko aufweist. Das heißt, es muss ein Kompromiss zwischen der Bedeutung des Services und dem damit verbundenen Risiko gefunden werden, und das gestaltet sich als recht schwierig.

Besser ist es, einen Cyber-Hygiene-Ansatz zu verfolgen, der mit der ständigen Überwachung und Bewertung aller technologischen Services sowie der gesamten IT-Umgebung einhergeht. Stellt man beispielsweise fest, dass eine Anwendung falsch agiert, werden autonome Maßnahmen wie Sperren und Isolieren ergriffen. Dieser Ansatz vermeidet die häufige Gefahr, dass Innovationen aufgrund einer unflexiblen IT blockiert werden, und stellt sicher, dass ein Kontrollverzicht nicht den Geschäftsablauf behindert.

Integrierte Auditierbarkeit vom ersten Tag an

Beim Aufbau von Multi-Cloud-Umgebungen stellen viele Unternehmen fest, dass eine Infrastruktur, die von einer Vielzahl von Anbietern beherrscht wird, nicht mit ihren Kontrollvorgaben kompatibel ist. Das ist nirgendwo offensichtlicher als bei dem Punkt, an dem die Konformität von externen Anbietern mit internen und externen Sicherheitsstandards und -anforderungen zu dokumentieren ist.

Im Falle eines internen Audits kann dieser Mangel der IT lediglich zu einer Rüge führen, doch bei externen Regelüberprüfungen entsteht daraus möglicherweise ein erheblicher finanzieller und betrieblicher Schaden.

Realität ist, dass einige Aspekte der Infrastruktur und des Betriebsablaufs bei den Public-Cloud-Anbietern für deren Kunden außerhalb des nachprüfbaren Bereichs liegen. Dementsprechend ist es schwierig oder gar unmöglich, die Konformität mit den eigenen Cyber-Hygiene-Anforderungen für interne und externe Audits zu dokumentieren.

Obwohl dieser Mangel in gewisser Weise unvermeidlich ist, sind die IT-Abteilungen klug genug, die Auditierbarkeit als eine Hauptanforderung aufzunehmen, wenn es um die Darstellung von Multi-Cloud-Architekturen und deren Integration in die Geschäftsanforderungen geht. Deshalb ist es wichtig, dass Audit-Teams von Anfang an in den Auswahl- und Designprozess mit eingebunden werden, da sonst viele Probleme erst zu spät erkannt werden. Zudem schützt dieses Vorgehen das Unternehmen auch vor Sicherheitsrisiken, die den operativen Betrieb gefährden können, selbst wenn damit nur weitere Geschäftsvorteile geschaffen werden sollen.

Fazit

Die Security-Maßnahmen in einer Multi-Cloud-Umgebung stellen eine Erweiterung von bewährten Verfahren dar, die die Unternehmen über Jahrzehnte hinweg entwickelt haben. Zur Anpassung an eine softwarebasierte Struktur muss aber die Sicherheit auf der Ebene der Workloads eingerichtet werden. Für eine größere Flexibilität, insbesondere im Multi-Cloud-Kontext, muss die Kontrolle gelockert und die Cyber-Hygiene gleichberechtigt mit älteren Konzepten der Sicherheit in der Cloud kombiniert werden. Außerdem muss die Auditierbarkeit von Anfang an Leitlinie bei der Einführung sein. Nur so ist eine reibungslose und sichere Integration der Public-Cloud-Ressourcen in eine konventionelle On-Premises-Umgebung möglich.

Die sichere Einführung von Multi-Cloud ist von grundlegender Bedeutung. Ein strukturierter Ansatz für die Integration dieser Architekturen ist für den Erfolg entscheidend. Richard Bennett, Head of Industry Solutions & Strategy, bringt es auf den Punkt: „Mit einem Anbieter über Technologie zu reden sollte der Vergangenheit angehören. Nötig ist ein Technologiepartner, der mit den Geschäftsanforderungen eines Unternehmens beginnt und diese mit den IT-Anforderungen in Einklang bringt.“

Dell Technologies Lösungen unterstützt durch Intel®: DellTechnologies.com/de/ControlYourCloud

teilen