Foto: RSA
In den Unternehmen stehen Themen wie Sicherheit und Compliance bei virtueller IT hoch im Kurs. Getrieben wird das Interesse für Security durch die theoretische Cloud Computing-Debatte, die schrittweise Bereitstellung flexibler, skalierbarer Dienste innerhalb eigener virtualisierter Infrastrukturen und die zunehmende Nachfrage nach Public Cloud Services. Altbekannte Sicherheitsherausforderungen, etwa im Desktop-Bereich, unternehmensweiter Datenschutz oder Identity Management lassen sich mit virtuellen Technologien oft deutlich effektiver lösen als im klassisch strukturierten Rechenzentrum. Wer außerdem seine IT und Informationen mit einem individuellen und ganzheitlichen Security-Konzept schützt sowie rechtliche Fragen klärt, profitiert mit Sicherheit vom Cloud Computing.
In klassischen physischen Infrastrukturen stellen Desktops und PCs ein potenzielles Sicherheitsrisiko dar. Das Verhalten der User und die zunehmend globale Arbeitsweise der Teams erschweren die Kontrolle der Endgeräte-Peripherie. An dieser Stelle können Unternehmen mit virtualisierten Desktop-Umgebungen neue Möglichkeiten für Datenschutz und Kontrolle der Infrastruktur für sich erschließen. Virtuelle Desktops werden im Wolkenmodell als Host-Service ausgeliefert und sämtliche Endgeräte-Konfigurationen sind zentral im Data Center angesiedelt. Das virtuelle Konzept mindert das Risiko für Datenverlust, wenn Mitarbeiter-Notebooks auf Bahnhöfen oder in Hotels abhandenkommen. Da auf lokalen Festplatten keinerlei kritische Daten mehr gespeichert sind, ist in solchen Fällen auch kein Informationsabfluss aus dem Unternehmen zu befürchten. IT-Administratoren installieren sämtliche Security-Patches ebenso wie alle Anwendungs- und Betriebssystem-Upgrades von zentraler Stelle aus und sichern so effizient die Aktualität der Endgeräte. Isolationstechniken der Desktop-Virtualisierung verhindern zudem, dass private und geschäftliche Gerätenutzung kollidieren. Neben Kostensenkung, stabilerer Performance und einem höheren Sicherheitsniveau, gehört auch die verbesserte Compliance-Fähigkeit zu den Vorteilen der Client-Virtualisierung: Die Software-Lizenzen der Endgeräte sind auf einem Server konzentriert und können dort jederzeit eingesehen werden. Ansonsten müssten Administratoren jedes physische Gerät einzeln unter die Lupe nehmen. Vom Effizienzgewinn einmal abgesehen, sind Verstöße gegen geltende Lizenzvereinbarungen bei virtuellen Desktops weit unwahrscheinlicher als bei ihren physischen Vorgängern.
Compliance und Clouds
Clouds sind ein Outsourcing-Modell im Zeitalter der Virtualisierung. Genau wie beim klassischen Outsourcing profitieren Unternehmen von Skaleneffekten – insbesondere, weil sie frühzeitig an technologischen Innovationen partizipieren, die sich Einzelunternehmen unter Umständen nicht leisten könnten. Für den infrastrukturweiten Schutz sensibler Daten, empfehlen sich moderne, intelligente Datenschutzmechanismen wie Data Loss Prevention (DLP). Die Technologie identifiziert sensible Daten per Richtlinien und basiert auf einem dezidiert informationszentrierten Security-Ansatz. Das heißt, Informationen werden gemäß ihrem Schutzbedürfnis klassifiziert und die unterschiedlichen Datenklassen dann richtliniengesteuert behandelt. Worauf es dabei besonders ankommt, ist die enge Verzahnung mit einem effektiven Policy-Management. Nur so lassen sich firmenspezifische Compliance-Regeln überall in gleicher Weise umsetzen – auf den Speichersystemen beim Cloud-Provider ebenso wie im Netzwerk und auf Endgeräten.
Rechtliche Fallstricke berücksichtigen
Bevor Daten an einen Cloud-Provider übergeben werden, sollten detaillierte Service Legel Agreements für die Sicherheitsbelange mit dem Anbieter und dessen Subunternehmern vereinbart werden. Ebenso sollte dieser offen legen, wo die ausgelagerten Daten gespeichert werden, und wie der Zugriff durch Dritte geregelt ist, damit die Prüfung durch den Cloud-„Nehmer“ überhaupt praktikabel ist. Die Herausforderung für die Unternehmen liegt nämlich darin, die Compliance-Anforderungen für die eigenen Daten nachweislich umzusetzen – auch wenn die Informationen einem Provider anvertraut wurden. Dazu müssen sie Letzteren auditieren. Am einfachsten geht dies, wenn die Daten auf Servern und Speichersystemen in Deutschland oder innerhalb der EU verarbeitet werden. Es gibt Anbieter, die das garantieren. Außerhalb der EU-Grenzen steigen die Risiken eines Datenverlustes oder fehlender Verfügbarkeit der Daten etwa für Zugriffe durch das Finanzamt. Vorsicht gilt besonders bei personenbezogenen Daten: Das deutsche Datenschutzrecht lässt deren Verarbeitung außerhalb der EU nicht zu.
Trust-Infrastrukturen vertraglich sichern
Rechenzentren, die Security-Verantwortung partiell an Cloud-Provider übertragen, müssen deren Systemen vertrauen können. Das Cloud-Modell setzt somit eine Trust-Infrastruktur voraus, in der sich sämtliche Beziehungen und Prozesse zwischen den Cloud-Partnern lückenlos verifizieren lassen. Etliche Elemente einer solchen Trust-Infrastruktur werden bereits von vielen Providern eingesetzt. Sie lassen sich von hier aus nahtlos auf private, aber auch auf öffentliche Clouds ausdehnen. Notwendig dafür ist insbesondere ein Cloud-weites, durchgängiges (End-to-End)-Identitäts-Management, das neben starker Zwei-Faktoren-Authentifizierung auch risikobasierte Funktionen umfasst, zum Beispiel kontextbezogene Verhaltensprotokollierung. Clouds basieren per se auf einer virtualisierten Multi-Mandanten-Architektur, die Anwender aus vielen Organisationen versorgt. Deren Daten lassen sich via Virtualisierung effektiv gegeneinander abschotten – nicht nur auf Dateiebene, sondern auch auf Satz-, Feld- und Blockebene. Effizient umsetzen lässt sich dies allerdings nur mit einem flexibel steuerbaren Rahmenwerk an Richtlinien, das den gesamten Lebenszyklus schutzwürdiger Informationen abdeckt.
Fazit
Letztlich unterscheidet sich Cloud-Security von herkömmlichen Sicherheitsstrategien also nicht so sehr durch neue Einzellösungen, sondern vorrangig durch eine neue Perspektive: Weg vom autarken Rechenzentrum, das einer Festung gleicht, hin zu einem übergreifenden, informationszentrierten Sicherheitsansatz. Das Cloud-Szenario holt neue Partner mit ins Boot; es macht die Grenzen eines Rechenzentrums gewissermaßen durchlässig. Wer IT als Cloud-Service nutzen oder anbieten will, kommt folglich nicht daran vorbei, ein individuelles Sicherheitskonzept zu entwickeln, das dem komplexen Beziehungsgeflecht von Nutzern, Service-Partnern und aktuellen Compliance-Anforderungen innerhalb der Cloud in der Praxis Rechnung trägt. (ph)