Focus Multi-Cloud

Sicherheitsherausforderung "Hybrid Cloud"

Uhr
von Markus Limacher, Head of Security Consulting, Infoguard

Eine Multi-Cloud-Strategie kann einen wichtigen Beitrag zur Innovation und Wertschöpfung leisten. Dazu müssen Unternehmen jedoch sicherstellen, dass die richtigen Massnahmen ergriffen werden und die Kontrolle über die Cloud ­bewahrt bleibt.

Markus Limacher, Head of Security Consulting, Infoguard. (Source: zVg)
Markus Limacher, Head of Security Consulting, Infoguard. (Source: zVg)

Unternehmen setzen zunehmend auf Multi-Cloud- und Hybrid-Cloud-Strategien. Gemäss dem "2019 State of the Cloud Survey" von Rightscale nutzen 84 Prozent der Unternehmen eine Multi-Cloud-Strategie. Die Nutzung mehrerer Cloud-Plattformen kann dabei erhebliche betriebliche und wirtschaftliche Vorteile bringen. Jedoch darf die Sicherheit nicht ausser Acht gelassen werden.

Bei der Cybersecurity in der hybriden Cloud geht es in erster Linie um das Management von Risiken. Cloud Computing (insbesondere Hybrid Cloud) nutzt Application Programming Interfaces (APIs), neue Datenflüsse, komplexe Netzwerkkonfigurationen etc. Diese Faktoren führen zu neuen Arten von Bedrohungen. Hybrid- und Cloud-Umgebungen sind aber nicht mehr oder weniger sicher als interne Infrastrukturen. Jedoch muss ein komplexes System wie eine Hybrid Cloud bewirtschaftet werden, was neue Werkzeuge und Verfahren erfordert. Die klassische Absicherung der Netzwerkumgebung reicht dabei nicht aus.

Multi-Cloud-Sicherheit geht nur gemeinsam

Für Sicherheitsverantwortliche bedeutet dies neue He­rausforderungen, zumal auch die Compliance-Anforderungen immer strenger werden. Diese Aufrechterhaltung und der Nachweis der Compliance kann mit einer hybriden Cloud schwierig sein. So gilt es nicht nur sicherzustellen, dass On-Premise, Public Cloud und Private Cloud Compliance-konform sind. Es muss auch nachgewiesen werden, dass die Koordinationsmöglichkeiten zwischen den beiden Clouds gewährleistet und sicher sind.

Um Multi-Cloud-Umgebungen effektiv abzusichern, ist ein plattformunabhängiger und standardisierter Sicherheitsansatz erforderlich. Dabei gilt ein wichtiges Prinzip: die gemeinsame Verantwortung. Bewährt
hat sich hier das Shared-Responsibility-Modell, wonach der Cloud-Service-Provider für die "Sicherheit der Cloud" zuständig ist und der Kunde für die "Sicherheit in der Cloud". Der Provider und der Kunde teilen
sich dabei die Zuständigkeiten auf, wobei der Provider für den Betrieb sowie die Sicherheit der physischen ­Umgebung zuständig ist und der Kunde für die logische Umgebung.

Herausforderung Workload-Portabilität und Mandantenfähigkeit

In der Cloud sind nicht nur die klassischen Angriffsszenarien relevant, sondern auch die Herausforderungen durch die Workload-Portabilität sowie die Mandantenfähigkeit. Insbesondere Workloads erfordern dabei Sicherheitsstrategien, die den sich ständig weiterentwickelnden und wachsenden Bedrohungen gerecht werden. Das einfache Starten neuer Workloads stellt einen wesentlichen Vorteil der Hybrid Cloud dar, birgt aber auch sicherheitstechnische Herausforderungen. So ist es problemlos möglich, Workloads auf verschiedene Plattformen und Umgebungen – von lokalen bis hin zu privaten und öffentlichen Infrastrukturen – zu verschieben und zu betreiben. Traditionelle Sicherheitsansätze stos­sen dabei an ihre Grenzen; nicht zuletzt durch die Nutzung von Containern und Mikroservices. Für Unternehmen, die DevOps einsetzen, kann dies besonders schwierig sein. Sicherheit in einen Ansatz zu integrieren, der sich auf schnelle Entwicklung und Bereitstellung konzentriert, ist eine Herausforderung. Viel zu schnell wird dabei die Sicherheit "übersehen", wenn es darum geht, enge Zeitpläne einzuhalten. Der Schlüssel hier lautet Defense-in-Depth Security: Diese bietet einen Überblick über den gesamten Lebenszyklus der Anwendung, des Workloads oder der Software.

Darüber hinaus sind bei der gemeinsamen Nutzung von Clouds zusätzliche Anforderungen bezüglich Cybersecurity und Datenschutz zu beachten. So müssen die Daten der verschiedenen Nutzer getrennt bleiben, auch wenn die IT-Ressourcen wie Speicherkapazitäten und Rechenleistung gemeinsam genutzt werden. Konkret umsetzen lässt sich dies mit einem entsprechend fein gegliederten Berechtigungssystem und einer jeweils getrennten Verschlüsselung. Zudem dürfen sich Verfügbarkeitsprobleme wie beispielsweise ein Datenverlust oder Sicherheitsmängel bei einem anderen Mandanten nicht auf das eigene Unternehmen auswirken.

Unternehmen sollten sich jedoch nicht abschrecken lassen von den vielen Herausforderungen. Werden diese berücksichtigt, bieten Hybrid- und Multi-Cloud-Umgebungen grosses Potenzial, die Unternehmen nutzen sollten.

Webcode
DPF8_141213