Sichere Nutzung von Public Clouds

Unbegründete Angst vor der Cloud

| Autor / Redakteur: Gordon Haff / Peter Schmitz

Blinde Furcht vor Hybrid und Public Clouds ist nicht mehr Zeitgemäß. Richtig ausgewählt kann eine Cloud-Infrastruktur sogar mehr Sicherheit bieten als das eigene Rechenzentrum.
Blinde Furcht vor Hybrid und Public Clouds ist nicht mehr Zeitgemäß. Richtig ausgewählt kann eine Cloud-Infrastruktur sogar mehr Sicherheit bieten als das eigene Rechenzentrum. (Bild: Pixabay / CC0)

Hätte man vor einigen Jahren einen CIO gefragt, wie maximale Sicherheit in einer Public Cloud zu erzielen ist, hätte er vermutlich geantwortet: Einfach keine nutzen. Heute fällt die Antwort vermutlich schon deshalb differenzierter aus, weil viele Unternehmen über praktische Erfahrungen mit Sicherheit und Governance in Public Clouds verfügen.

Viele Argumente gegen die Nutzung von Public Clouds konzentrieren sich auf die damit verbundenen Risiken. Keine Frage: Die Risiken müssen bewertet und eingegrenzt werden. Unternehmen können ihren Mitarbeitern beispielsweise den Zugriff auf Public-Cloud-Ressourcen mit ihren persönlichen Endgeräten erlauben, wenn sie eine Zwei-Faktor-Authentifizierung einsetzen.

Risiken sind jedoch auch von geschäftlichen Anforderungen und technologischen Rahmenbedingungen abhängig. Möglicherweise entsteht durch die Nutzung eines Third-Party-Services ein Risiko, weil der Anbieter sein Geschäft aufgeben oder den Dienst einstellen könnte. Ist der geschäftliche Nutzen – beispielsweise eine bessere Kundenanalyse – signifikant, sollten Unternehmen das höhere Risiko eingehen – oder auch nicht. Auf jeden Fall sollten Risiken und deren Eintrittswahrscheinlichkeit in einem breiteren Kontext betrachtet werden und nicht nur auf dem engen Feld der IT.

Alles verbieten fördert die Schatten-IT

Weit mehr noch als eine Kosten-Nutzen-Analyse hat eine generelle Risikoaversion zu dem geführt, was als Schatten-IT bekannt ist. Da eine IT-Abteilung zum Beispiel beschloss, der sicherste und zuverlässigste Ansatz sei, den Zugriff zu Public Clouds generell zu verbieten, umgingen Fachabteilungen die Vorgabe dadurch, dass sie aus ihrem eigenen Budget die Services von Public Clouds in Anspruch nahmen.

Das muss nicht unbedingt zum Problem werden. Durch die allgegenwärtige Verfügbarkeit ist es weder sinnvoll noch praktikabel, dass die IT bei allen Technologieentscheidungen beteiligt ist. Gleichzeitig spielt die IT-Abteilung aber eine wichtige Rolle bei der Etablierung von Best Practices für die IT-Sicherheit und die Evaluierung neuer Lösungen. Diese Vorteile gehen aber verloren, wenn Entscheidungen an der IT vorbei getroffen werden.

Unrealistische Erwartungen an IT-Sicherheit im eigenen Rechenzentrum

Eine Hybrid Cloud bedeutet, dass ein Unternehmen seine Infrastruktur teils im eigenen Rechenzentrum und teils in einer Public Cloud betreibt.
Eine Hybrid Cloud bedeutet, dass ein Unternehmen seine Infrastruktur teils im eigenen Rechenzentrum und teils in einer Public Cloud betreibt. (Bild: Red Hat)

Widerstand gegen Public Clouds entsteht vor allem bei einem Vergleich mit der fiktiven IT-Infrastruktur eines unternehmenseigenen Rechenzentrums, in dem es nie eine falsch konfigurierte Firewall oder einen böswilligen Mitarbeiter gibt und immer sofort die neuesten Sicherheits-Updates installiert werden. In einigen IT-Abteilungen, vor allem großer Unternehmen, gibt es sicherlich eine straffe Führung und Kontrolle. Vor allem in kleinen Unternehmen aber fehlt die dazu notwendige IT-Sicherheitsexpertise.

Trotz der vermeintlich sehr hohen Sicherheitsstandards in den unternehmenseigenen Rechenzentren bleiben Datenpannen nicht aus. Als Folge strenger gesetzlicher Regeln zur Informationspflicht gelangen immer wieder Fälle von Datenverlusten und Datendiebstahl an die Öffentlichkeit.

Daraus folgt nicht, dass die Sicherheit bei einem Public Cloud Provider automatisch höher wäre. Im eigenen Rechenzentrum kann ein Unternehmen selbst Maßnahmen und Prozesse zur Einhaltung der Vorgaben aus dem Datenschutz definieren und überwachen. Bei einer Evaluation von Public-Cloud-Providern sollten Unternehmen daher beispielsweise auf das Vorhandensein allgemein anerkannter Sicherheitszertifikate und Referenzen achten.

Existierende Best Practices vernachlässigen

Hat sich ein Unternehmen für die Nutzung einer Public Cloud entschieden, besteht die Gefahr, dass bezüglich Sicherheit die gegenteiligen Fehler begangen werden. Einige sind dann der Meinung, dass sie Aufgaben der IT-Sicherheit, für die sie eigentlich zuständig sind, an den Cloud-Provider delegieren können. Bei der Diskussion mit Public-Cloud-Providern geht es schnell um ein „Shared-Responsibility-Modell“, bei dem – abhängig von der Art des Cloud-Service – der Provider für bestimmte IT-Sicherheitsaufgaben und der User (der Auftraggeber) für andere zuständig ist.

In einer Public-Cloud-Infrastructure-as-a-Service-Umgebung ist der Provider für den Betrieb und die Sicherheit von Servern, Speichersystemen, Netzwerk und Basisdiensten zuständig. Der User ist verantwortlich für die Sicherheit der Applikationen und der Daten. Will oder kann er diese Verantwortung nicht übernehmen, muss sich der User für ein anderes Cloud-Modell, etwa Software-as-a-Service, entscheiden.

Es fehlt eine umfassende Management-Strategie

Historisch betrachtet, hat die IT die Infrastruktur aufgebaut und Applikationen erstellt, die darauf laufen. Mit dem Aufkommen von Public Clouds und anderen Services musste die IT zunehmend die Aufgabe übernehmen, neue Geschäftspotenziale zu erschließen – ein Prozess, der nicht immer reibungslos verlief. Die IT muss dabei, zusammen mit den Fachabteilungen, einen komplexen Ansatz bei der Bereitstellung und Verwaltung von IT-Services verfolgen.

Aus Security- und Governance-Sicht hat dies oft zu inkonsistenten Regeln bei der gemeinsamen Nutzung von Daten durch externe Services und der Festlegung, wo Daten gespeichert werden, geführt. Eine weitere Schwäche war die Fragmentierung beim Identitäts- und Zugriffsmanagement.

IT-Abteilungen adressieren einige dieser Herausforderungen mit speziellen Technologien wie Cloud-Management-Plattformen, Single Sign-On und Identitätsmanagement. Daraus ergeben sich aber auch organisatorische Änderungen, etwa der Aufbau von funktionsübergreifenden Teams, die aus Führungskräften der IT- und Fachabteilungen bestehen. Und dies ist vielleicht einer der wichtigsten Punkte: Die Einführung von Hybrid und Public Clouds erfordert oft spezifische Praktiken, Prozesse und Technologien. Sie erfordert aber auch ein Verständnis dafür, wie sich als Folge davon die IT und deren Beziehungen zum restlichen Unternehmen ändern.

Über den Autor: Gordon Haff ist Cloud Strategist bei Red Hat.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44860547 / Cloud und Virtualisierung)