Security in hybriden Cloud-Umgebungen

Hybrid Cloud als Security-Herausforderung

| Autor / Redakteur: Thomas Kohl / Peter Schmitz

Security in hybriden Cloud-Umgebungen ist in der Planungsphase etwas aufwendiger als in On­Premise­Umgebungen, der Betrieb einer solchen Architektur ist dagegen sehr kosteneffizient.
Security in hybriden Cloud-Umgebungen ist in der Planungsphase etwas aufwendiger als in On­Premise­Umgebungen, der Betrieb einer solchen Architektur ist dagegen sehr kosteneffizient. (Bild: gemeinfrei / Pixabay)

Die digitale Transformation ist für Unternehmen eine radikale Veränderung. Kunden­anforde­rungen, Wertschöpfungsketten, Geschäfts­modelle, Arbeitsprozesse, Produkt­entwicklung bis hin zum Markenauftritt und den Vermarktungsplattformen selbst, unterliegen dem Wandel. Wer Schritt halten will, sollte sich auch mit hybriden Cloud-Umgebungen auseinandersetzen.

43 Prozent der deutschen Unternehmen nutzen nach den Monitoring-Reports Wirtschaft DIGITAL 2018 des Bundesministeriums für Wirtschaft und Energie (BMWi) Cloud-Computing als Public oder Private Cloud.

Egal ob Office 365, SAP Hana, Salesforce oder auch Online-Portale, Cloud-Services werden unverzichtbar für den Geschäftserfolg. Hierbei wird unterschieden zwischen „Security of the Cloud“ in der Verantwortung des Cloud Service Providers und „Security in the Cloud“ in der Verantwortung des Kunden. Die letztgenannte unternehmerische Verantwortung für den Schutz der Unternehmensdaten verbleibt grundsätzlich beim Kunden und muss durch geeignete Maßnahmen sichergestellt werden. Mitarbeiter, Partner und Kunden benötigen einen reibungslosen Zugriff auf Applikationen, Daten und Services von jedem Ort der Welt rund um die Uhr. Das birgt leider auch eine Reihe von Gefahren, die beispielsweise in den OWASP Top 10 für Webapplikationen und APIs beschrieben werden.

Die gute Nachricht ist, dass es für diese Gefahren auch innovative Lösungsansätze gibt, die einen dynamischen und hohen Schutz der Applikationen bieten. Neben den klassischen WAF-Sicherheitsmechanismen sind auch neue Technologie-Ansätze erforderlich, wie der Schutz von REST-APIs. Können diese frühzeitig und einfach in moderne DevOps-Prozesse bzw. Applikationsentwicklungszyklen, wie auch in den neuen Docker- und Kubernetes-Philosophien integriert werden, bieten diese neben einer modernen Applikationssicherheit einen enormen Business-Vorteil für die Unternehmen.

Als eine weitere elementare und integrierte Technologie muss für die erfolgreiche digitale Transformation ein ausgereiftes Customer Identitäts- und Accessmanagement (cIAM) implementiert sein, um feingranular festzulegen, welche Identitäten mit welchem Authentisierungslevel auf welche Ressourcen zugreifen dürfen. Dabei sollte egal sein, ob diese On-Premise oder in der Cloud liegen. Diese Sicherheitskomponenten müssen eng miteinander verknüpft und aufeinander abgestimmt sein. Zugriffsrichtlinien für eine Vielzahl an Anwendungen müssen an zentraler Stelle einfach, aus dem System heraus durch moderne Mechanismen wie „User Self Services“ unterstützt und verwalten werden können.

In der Cloud müssen aber noch weitere Sicherheitsmaßnahmen ergriffen werden. Denn die Daten liegen nicht mehr im Schutzbereich des Unternehmens, sondern in dem des Cloud-Anbieter oder -Betreiber. Rechtliche Fragen wie Data Residency, Haftung der Geschäftsführung oder Pseudonymisierung bei der DSGVO müssen ebenfalls gelöst werden. Alle Daten und Services in der Cloud sollten dort nur verschlüsselt abliegen und zwar so, dass auch der Cloudbetreiber sie nicht lesen kann. Verschlüsselung und Tokenisierung sind die sichersten Möglichkeiten, sensible Daten zu schützen. Dabei bedeutet Verschlüsselung, dass normal lesbare Daten in eine nicht mehr les- und interpretierbare Form gebracht werden. Mit dieser Technik können alle Arten von Daten geschützt werden – von Texten über Fotos bis zu PDF­Dateien. Ein wesentlicher Sicherheitsaspekt, der in diesem Zusammenhang beachtet werden muss, ist, dass im Idealfall die Verschlüsselung nicht vom Cloudbetreiber selbst vorgenommen wird. Denn hier besteht das Risiko, dass sowohl die Daten als auch die Schlüssel beim Cloudbetreiber liegen und somit im Extremfall (Patriot bzw. Cloud Act) ein unkontrollierter erzwungener Zugriff auf die Daten erfolgen kann. Eine qualifizierte Verschlüsselung der in der Cloud hinterlegten Informationen außerhalb der Cloud, eingebettet in die zuvor beschriebene Applikations- und API-Security in Kombination mit einer CIAM-Umgebung bildet die moderne Security-Antwort auf die Herausforderung an neue hybride Umgebungen.

Fazit

Zur Realisierung dieser verschiedenen Anforderungen benötigen Unternehmen eine mehrdimensionale IT-Architektur, die wiederum weitere Security-Fachkräfte für den Betrieb und entsprechendes Know-How erfordern können. Security in hybriden Cloud-Umgebungen ist in der Planungsphase etwas aufwendiger als in On­Premise­Umgebungen: Nicht nur die klassischen Angriffsszenarien sind relevant, sondern auch die Innovationsdynamik der Public­Cloud­Provider und die modernen Delivery-Methoden (wie DevOps) sind zu berücksichtigen. Der Betrieb einer solchen modernen Architektur ist im Gegenzug sehr kosteneffizient möglich.

Über den Autor: Thomas Kohl ist Senior Business Development Manager Deutschland für Airlock, von Ergon Informatik.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46358804 / Cloud und Virtualisierung)