Wichtige Schritte auf dem Weg in die Cloud IT Governance muss sich mit Cloud-Computing-Infrastruktur befassen

Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Virtualisierung ist weit verbreitet und gilt im Allgemeinen als technische Grundlage für das Cloud Computing. Die Evolution der internen IT-Infrastruktur stellt den Ausgangspunkt auf dem Weg zur kundenspezifischen Cloud-Implementierung dar. Für die damit verbundenen Aufgabengebiete sollten sich die Sicherheitsspezialisten rechtzeitig wappnen.

Firmen zum Thema

Ein einheitliches Rahmenwerk hilft bei der reibungslosen Umsetzung von Cloud-Computing-Projekten.
Ein einheitliches Rahmenwerk hilft bei der reibungslosen Umsetzung von Cloud-Computing-Projekten.
( Archiv: Vogel Business Media )

Nach Angaben der Marktforscher von IDC existierten im vergangenen Jahr weltweit mehr neue virtuelle Serverinstanzen als physikalische. Die zunehmende Virtualisierung wiederum ist der Ausgangspunkt für eine unternehmensweite Adaption von Cloud-Techniken.

„Neben der konsequenten Nutzung der technischen Möglichkeiten einer virtuellen IT-Infrastrukturplattform ist vor allem ein Umdenken im Bereich der Service-Bereitstellung sowie die hiermit verbundene Evaluierung der internen Prozesse und SLAs zu nennen“, skizziert Manfred Schulz, Director Systems Engineering beim Lösungsanbieter VMware die Herausforderungen.

Fest steht: Die Gewährleistung der Datensicherheit und das Einhalten von länderspezifischen Regularien bedeutet aktuell eine enorme Herausforderung für Unternehmen – gerade in Verbindung mit der Nutzung von Public-Cloud-Lösungen. „Neue zertifizierte Vorgehensweisen, Schnittstellen und Protokolle werden hierzu als Grundlage benötigt“, so Schulz weiter.

Die Spezialisten von VMware arbeiten Schulz zufolge aktuell an diversen Referenzimplementierungen und Schnittstellen, „wie beispielsweise die von uns eingebrachte vCloud API in den Standardisierungsgremien“. Den Security Professionals präsentiert sich ein ausgesprochen unübersichtliches Terrain, wie sich unschwer am Beispiel des Virtualisierungsspezialisten VMware erkennen lässt.

Laut Manfred Schulz lässt sich die komplexe Thematik jedoch beherrschen. Denn zukünftige Funktionalitäten sowie Angebote wie beispielsweise ‚Data-aware’-Clouds oder Cloud spezifische Sicherheitskomponenten wie die vShield Suite unterstützten Unternehmen herstellerseitig bei der Gewährleistung von Datenschutzanforderungen.

Virtualisierung und SaaS treiben den Markt

Wo Unternehmen (unabhängig von ihrer Branchenzugehörigkeit) bzw. Sicherheitsverantwortliche konkret den Hebel ansetzen sollten, das erläutert Herbert Blaauw, IT Security Consultant bei Atos Origin Deutschland und CEMA. Die IT Governance habe sich den neuen Möglichkeiten und Risiken anzupassen, um Datensicherheit, Compliance und Verfügbarkeit aus einem Guss zu gewährleisten.

„Dazu gehört unter anderem eine sorgfältige unternehmensinterne Strategiediskussion“, so Blauuw. Dabei sie zu klären, wohin sich das Business entwickelt und welchen Risiken man begegnen muss, „einschließlich einer sorgfältigen Auswahl des Cloud-Partners unter dem führenden Aspekt der Risikobeherrschung – und nicht unter dem Aspekt der Kostenminimierung.“

Wer beim Management der Cloud-Infrastruktur also Kosten und Mühe scheut, der spart später an der falschen Stelle. Neben der Integrität und Verfügbarkeit von Informationen stellt sich zunächst die Frage nach dem klassischen Thema des Datenschutzes.

Entsprechende Herausforderungen sind laut Herbert Blaauw insofern mit einer pragmatischen Herangehensweise regelbar, als dass Kundendaten innerhalb der EU verarbeitet werden. Dennoch reichen in diesem sensiblen Terrain einfache Verweise auf die europäischen Datenschutzbestimmungen nicht aus, weil dieses in nichteuropäischen Staaten kaum durchsetzbar ist.

Seite 2: Engmaschiges Framework schafft Verbindlichkeit

Engmaschiges Framework schafft Verbindlichkeit

Die Anbieter haben auf den erhöhten Orientierungs- und Beratungsbedarf seitens der Unternehmen bereits reagiert. So offeriert Atos Origin etwa Cloud Security Assessment Services. „Wir prüfen, ob Cloud Provider datenschutzrechtliche Bestimmungen einhalten und empfehlen unseren Kunden, den Provider vertraglich unbedingt auf die datenschutzrechtlichen Bedingungen zu binden, damit die Kunden nicht schon im Vorfeld gegen diese Regelungen verstoßen.“

Somit dürfte für die Spezialisten mit Blick auf Compliance und weitere Richtlinien ersichtlich sein, dass mit einem allzu generalisierten Rahmenwerk der Abflug in die Wolke kaum gelingen kann. Es zählt stattdessen ein maß geschneiderter Fahrplan, der permanent auf seine Einhaltung überprüft werden kann. Nur im intensiven Dialog mit den Fachbereichen lässt sich laut den Spezialisten von Atos Origin garantieren, dass die Sicherheitsanforderungen des Unternehmens bei der Nutzung von Cloud Services berücksichtigt worden sind.

Auf der Chefagenda angekommen ist das wolkenbasierte Regelwerk bei den führenden Sicherheitsspezialisten. Aufgrund von Anforderungen wie Basel II existieren in den meisten Unternehmen bereits Risikomanagement- und IT-Informationsmanagement-Systeme sowie Verfahrensregister, auf denen das Unternehmen aufsatteln kann. Das Zauberwort sieht Arno van Züren, Business Development Manager bei Trend Micro, jedoch in einem leistungsfähigen IT-basierten Informationsmanagementsystem.

Sind alle geforderten Prozesse einmal konsequent umgesetzt, dann befinde sich das Unternehmen auf der sicheren Seite. „Konkret bedeutet dies, einen IT-Sicherheitsbeauftragen zu benennen, ein Risikomanagement einzuführen, anständige Freigabeverfahren zu etablieren, Kontrollmechanismen zu schalten und Informationen zu klassifizieren“, sagt van Züren.

Eine entsprechend wasserdicht aufgestellte Organisationsstruktur kann somit auch bei der Umsetzung einer unternehmensweiten Cloud-Initiative helfen. Uneinheitlich fällt laut Experten jedoch das Bild bei der Bewertung aus, ob bei der IT Governance ein Unterschied zwischen proprietärer Landschaft und den oftmals ergänzend ineinander verwobenen Open-Source-Elementen besteht. „Ob Open Source oder kommerziell, das macht keinen Unterschied“, glaubt Arno van Züren von Trend Micro.

Open Source in der Cloud

Aram Kananov, Product Marketing Manager Platform and Cloud EMEA bei Red Hat, sieht jedoch punktuell die quelloffene Variante im Vorteil: „Es spricht für sich, auf welcher technischen Plattform Cloud-Provider ihrer Leistungen erbringen. Bei sehr vielen ist Linux die erste Wahl.“ Mit diesem quelloffenen System hätten die Provider die Möglichkeit, weitere Funktionen aus dem riesigen Spektrum von Open-Source-Lösungen in ihr Angebot zu integrieren.

„Auf der anderen Seite können dies natürlich auch die Bezieher von Cloud-Services tun, indem sie die Vorteile der plattformunabhängigen, kosteneffizienten und sicherheitstechnisch hochwertigen Open-Source-Angebote für den Aufbau einer ergänzenden privaten Cloud nutzen“, bilanziert der Experte von Red Hat. Um die zwei unterschiedlichen IT-Welten miteinander zu verknüpfen, hat Red Hat vor zwei Jahren das Deltacloud-Projekt gestartet. Es zielt darauf ab, die Lücke zwischen privaten und öffentlichen Clouds zu schließen, wofür ein einheitliches Interface bereit steht.

Über eine Tendenz am Markt sind sich jedoch alle Experten einig. Mittel- bis langfristig betrachtet werden immer mehr Applikationen in die Cloud wandern, sei es eine private oder eine öffentliche Cloud. Noch aber befinden sich unzählige Projekte in Deutschland im Vergleich zu den USA in der Sondierungs- bzw. Testphase.

Erst nach und nach werden die Unternehmen sie in ihre Produktivlandschaft einbetten, beispielsweise durch Integration von privaten in öffentliche Clouds. Für die Sicherheitsspezialisten bedeutet dies jedoch, sich schon heute aktiv für diesen Megatrend zu wappnen – und zwar bevor unangenehme Fragen aus der Fachabteilung oder seitens der Revision auf sie zurollen.

(ID:2050525)