Gartner-Experte Jörg Fritsch will heute mit dem Vorurteil aufräumen, dass Anwender sich nicht um die Sicherheit ihrer Cloud-Anwendungen kümmern müssen. Mit neuen Lösungen sind viele Anwender noch nicht vertraut.
In neuen digitalen Umgebungen ist es oft aussichtlos, nach Sicherheitschecks und -Strategien zu suchen, die äquivalent zu dem sind, was sich in traditionellen Rechenzentren bewährt hat. Unvoreingenommene CISOs jedoch haben keine Probleme damit, adäquate Sicherheitschecks und -Strategien zu finden, die dem Sicherheitsbedarf Ihrer Daten und Applikationen angemessen sind.
Geteilte Verantwortlichkeiten
Cloud Service Provider (CSPs) werben nicht selten mit Sicherheit der Spitzenklasse und behaupten, dass die Unternehmensdaten ihrer Kunden innerhalb der Cloud sicherer sind als in den traditionellen Rechenzentren der Kunden. Zumindest mit Blick auf IaaS-Dienste sind viele CISOs, mit denen ich spreche, überrascht von dieser Aussage der CSPs. Aber der Schlüssel, warum CSPs so erfolgreich in Sachen Sicherheit sind, liegt darin, dass sie im allgemeinen nur wenige Lagen der Kundenarchitektur ‘übernehmen’.
CSPs übernehmen die Absicherung für das physikalische Rechenzentrum sowie für den Betrieb des Cloud-Stacks inklusive der dafür benötigten Netze. Der Endkunde muss die virtuellen Netze absichern, die virtuellen Systeme, die genutzten Betriebssysteme und die eingesetzten Applikationen. Damit bleibt der Endkunde für die risikoreichsten Lagen seiner Architektur selber verantwortlich. Es gibt also viel zu tun!
In dieser Situation müssen sich viele CISOs, Sicherheitsarchitekten und Datenschützer einem Problem stellen: Die Kontrollen und Checks, die viele Jahre lang im lokalen Rechenzentrum zum Einsatz kamen, sind in der Cloud häufig nicht oder nur mit unangemessen großem Aufwand umsetzbar.
Mit den Sicherheitsarchitekturen und Kontrollen, die stattdessen angeboten werden, sind die Anwender häufig (noch) nicht vertraut. Den meisten Unternehmen stellt sich daher die Frage, in wie weit die neuen Architekturen und Checks ihrem Sicherheitsbedarf angemessen sind oder nicht.
Sichere Netze oder sichere Systeme?
Während es zum Beispiel in AWS (Amazon Web Services) gerade noch so möglich ist, sich eine traditionelle Architektur mit Sicherheitszonen zu bauen, die der Architektur in bestehenden Rechenzentren entspricht, fällt das in Microsoft Azure schon deutlich schwerer. Ein Lösungsansatz ist es, Micro-Segmentation-Technologien zu nutzen, zum Beispiel Security Groups, und jedes einzelne System zu einer eigenen Sicherheitszone zu machen.
Es gilt aber auch realistisch zu bleiben: Weltweit geben Firmen “nur” circa 10 Prozent ihres IT-Budgets für Cloud-Services aus. Das Data-Center ist nicht tot, sondern im Gegenteil ein wachsender Markt. Besonders hier wollen deutsche Unternehmen sich fit machen, um ihr Unternehmen mit digitalen Diensten wettbewerbsfähiger zu machen.
Dabei nutzen Anwenderunternehmen, Hersteller und Lieferanten zunehmend softwarebasierte Lösungen. Sie bilden die technische Basis für Computing Clouds – in verkleinertem Maßstab im eigenen Rechenzentrum. Unabhängig vom Standort dieser modernen Technologien bleibt für den Endkunden jedoch die Herausforderung, sich auf neue Sicherheitsstrategien und -Kontrollen einlassen zu müssen. Auch hier gilt: Erfolgreich ist, wer adäquate Sicherheitsstrategien und -Checks erkennt, akzeptieren kann und implementiert.
Effiziente Automatisierung
Dabei ist eine effiziente, fachübergreifende Automatisierung sehr wichtig. Durch DevOps-basiertes Konfigurationsmanagement lassen sich neue Sicherheitsarchitekturen und -Checks einfach in den Griff bekommen, die mit traditionellen Herangehensweisen nur schwer administrierbar sind.
Zusätzlich wollen Unternehmen vermeiden, dass eine Infrastruktur, die in Millisekunden neue Container und Applikationen zur Verfügung stellen kann, durch Prozesse ausgebremst wird, die erst nach vier Wochen alle notwendigen Freigaben beisammen haben. Bei DevOps, oder DevSecOps gibt es im Moment keine bewährten Methoden und Praktiken, die CISOs einfach übernehmen könnten. Stattdessen müssen sie die Struktur selbst entwickeln, um die Sicherheitsstandards und -Prozesse im Unternehmen zu verbessern.