Da die digitale Transformation in die Wolke mit Herausforderungen für die IT-Abteilung einhergeht, ist eine ganzheitliche Betrachtung der Anforderungen der neuen Arbeitswelten gefragt. Diese darf nicht nur die Einführung der Cloud-Anwendung an sich umfassen, sondern muss für einen reibungslosen Betrieb weitergefasst werden. Es gilt ebenso die Netzwerkarchitektur und Internet-Sicherheit von vorne herein zu berücksichtigen, um die Akzeptanz der Cloud-Lösung durch die Mitarbeiter zu gewährleisten.
Foto: Supphachai Salaeman - shutterstock.com
Damit Unternehmen von den vielbeschworenen Vorteilen der Cloud hinsichtlich Kosteneffizienz und Flexibilität profitieren können, gilt es vor der Einführung drei Bereiche in die strategische Planung einzubeziehen. Die Cloudifizierung geht mit grundlegend neuen Anforderungen an die WAN-Infrastruktur, den Remote-Zugriff der Mitarbeiter und damit verbunden der Internet-Security einher. Werden diese Bereiche nicht schon in der Planungsphase vor der Einführung berücksichtigt, kann es zu Verzögerungen beim Roll-Out kommen, zu Ressourcenproblemen der IT-Abteilung und auch Leistungsengpässen hinsichtlich der verfügbaren Bandreite im Netzwerk. Die damit gekoppelte Latenz beim Zugriff wirkt sich negativ auf die Mitarbeiterzufriedenheit aus. Die Folgen für das Unternehmen können deutlich erhöhte Kosten für den laufenden Betrieb sein, welche die ursprünglichen Vorteile der Cloud-Strategie zu Nichte machen würden.
Steht beispielsweise die Umstellung auf Microsoft Office 365 in einem Unternehmen an, muss sich die IT-Abteilung der Auswirkungen bewusst sein, die mit den Cloud-basierten Office-Anwendungen hinsichtlich des Datenaufkommens Richtung Internet einhergehen. Dazu hilft es, sich den Weg vor Augen zu führen, den die Daten zum Zugriff auf die Anwendung in der Wolke zurücklegen.
Die WAN-Infrastruktur muss fit für die Cloud sein
Vor zehn Jahren waren die gesamten Daten eines Unternehmens noch auf dem zentralen Server gespeichert und dort primär mithilfe einer Standard-Firewall (Port Firewall) gesichert. Der Internet-Verkehr wurde oft nur mittels einfachem URL-Filter und mit klassischen signaturbasierten Anti-Virus-Lösungen gesichert. Diese Ausstattung der Gateways reichte vollkommen aus, da der Datenverkehr nahezu ausnahmslos innerhalb des eigenen Unternehmensnetzwerks stattfand. Der Zugang zum Internet erfolgte in der Regel über ein zentralen Daten-Hub pro Kontinent. Zu einer Zeit, in der der Anteil des Web-Traffics am MPLS-Datenverkehr bei circa 10 Prozent lag, war eine solche Architektur sinnvoll.
Wandern nun die Anwendungen in die Wolke unter Beibehaltung des bestehenden "Hub & Spoke"-Konzepts, bedeutet das für einen Mitarbeiter, der in einer Niederlassung des Unternehmens angesiedelt ist, dass seine Daten auf dem Weg zur Cloud-Anwendung den Umweg über die Unternehmenszentrale (beziehungsweise das Hub in der GEO) nehmen. Ein solcher Weg geht nicht nur mit Anforderungen an mehr Bandbreite einher, sondern verursacht durch das Backhauling der Daten zur Zentrale wesentlich höhere Kosten. Heute liegt der Web-Traffic auch durch die Akzeptanz der Cloud-basierten Anwendungen bereits bei etwa 40 Prozent - mit stark steigender Tendenz. Da eine Cloudifizierung mit höheren Anforderungen an die Bandbreite einhergeht, müssen sich Unternehmen in der Konzeptionsphase Gedanken machen, wie sie die benötigte Netzkapazität für den Zugriff auf das Internet bereitstellen. Erfahrungswerte zeigen, dass beispielsweise durch Office 365 fünfmal so viel Bandbreite benötigt wird, wie durch intern bereitgestellte Microsoft Office-Anwendungen.
Mehr Bandbreite versus lokale Internet-Breakouts
Eine strategische Grundüberlegung vor der Einführung von Office 365 bedeutet also, den Anstieg der Bandbreite mit der WAN-Infrastruktur in Einklang zu bringen. Unternehmen können in ein Upgrade der MPLS-Bandbreite investieren, um dem steigenden Traffic Stand zu halten. Alternativ können sie den Datenverkehr in der jeweiligen Niederlassung direkt ins Internet schicken und an jedem Internet-Gateway für die notwendige Sicherheit sorgen. Das Dilemma für Unternehmen besteht darin, dass sie sich aufgrund der Kostenvorteile für eine Cloud-basierte Lösung entschieden haben, die keine Folgeinvestitionen nach sich ziehen sollte.
Ein Bandbreiten-Update zerstört den Business-Case für Office 365 ebenso wie die Anschaffung von Sicherheits-Hardware für jeden Standort. Setzt ein Unternehmen auf Appliances für die Sicherheit am Internet-Übergang, müssen Boxen für einen Internet Proxy, Advanced Threat Protection, Next Generation Firewalls und Web-Application Control-Funktionalitäten bereitgestellt werden. Bei redundanter Auslegung geht ein solches Modell mit teuren Anschaffungskosten, langwierigem Rollout und aufwendigem Betrieb einher.
Ein Lösungsansatz zur Vermeidung von Flaschenhälsen und erhöhten Kosten sind lokale Internet-Breakouts, die über die Cloud zur Verfügung gestellt werden. Wird die Sicherheit durch einen Security-Service bezogen, entfallen Anschaffungs- und Wartungskosten für die Hardware. Lokale Internet-Übergänge für die Niederlassungen und kleinen Standorte eines Unternehmens sorgen für reduzierten Traffic im MPLS-Netz zur Firmenzentrale. Lediglich ein Router und eine lokale Internet-Leitung sind nötig als Grundlage für die erforderliche Performanz beim Zugriff auf die Cloud. Die Entscheidung für eine lokale Anbindung in Kombination mit Cloud-basierter Sicherheit ist der Grundstein für einen schnellen Roll-Out von Cloud-Projekten. Perfekt kombinieren lässt sich dies mit dem Rollout einer SD-WAN Infrastruktur.
Sicherheitsanforderungen an die Cloud-Welt
Traditionelle Sicherheitsansätze liefern Schutz für die Mitarbeiter, die sich innerhalb des Unternehmensnetzes bewegen. In Zeiten steigender Mobilität der Anwender muss auch der sichere Zugriff von außerhalb des Unternehmensnetzes auf die Anwendungen im Rechenzentrum und in der Cloud gewährleistet sein. Hinzu kommt die Notwendigkeit, den Datenverkehr aller Cloud-Anwendungen zu überwachen. Das umfasst die Applikationen, die unter Einbezug der IT-Abteilung eingeführt wurden ebenso, wie die Vielzahl der Apps, die die Mitarbeiter ohne Kenntnis der IT-Abteilung nutzen. Diese privat genutzten Apps werden ohne Bewertung des damit einhergehenden Sicherheitsrisikos zum Beispiel auch zum Austausch von geschäftlichen Daten verwendet.
Die IT-Abteilung benötigt mithilfe eines an die Cloud angepassten Sicherheitskonzepts Einblick in alle Cloud-basierten Anwendungen, die im Unternehmen im Einsatz sind. Nur so ist eine Risikobewertung hinsichtlich unerwünschtem Verhalten möglich, wie es beispielsweise von mobilen Apps ausgeht, von denen Anwenderdaten ebenso wie Geräteinformationen oder standortbezogene Informationen abfließen. Die IT-Abteilung muss in der Lage sein, granulare Einstellungen zum Gebrauch von Cloud-basierten Applikationen vorzunehmen, beispielsweise ob der Daten-Up- und Download auf externe Speicheranwendungen wie Box oder Dropbox zugelassen ist. Da Mitarbeiter von unterschiedlichen Geräten wie Laptop, Tablet oder Smartphone und verschiedenen Lokationen auf Cloud-basierte Apps zugreifen, müssen unternehmensweite Policies auf jedem Gerät und von jedem Standort umgesetzt werden können.
Wie wird der Remote Access auf die Cloud organisiert?
Als letzte Herausforderung müssen Weichenstellungen für den sicheren Remote-Zugriff auf Cloud-Anwendungen erfolgen. Auch hier gilt es zu überlegen, ob mobile Anwender den gleichen Weg in die Wolke nehmen sollen wie seit 20 Jahren auf Anwendungen im Netzwerk. Via VPN erfolgt der Zugang zur Cloud-Anwendung über das Unternehmensnetz, unabhängig davon, ob es sich um eine Public Cloud oder eine Private Cloud Anwendung handelt und wo diese Anwendung gehosted wird. Liegt die Anwendung beispielsweise bei AWS, so baut der remote Anwender mittels VPN erst eine Verbindung ins Unternehmensnetz auf und von dort wird dann eine Verbindung zwischen dem Unternehmensnetz und AWS hergestellt.
Dieser Weg führt wieder zu den bereits beschriebenen Verzögerungen beim Zugriff, benötigt leistungsfähige Standleitungen und geht neben den damit verbunden Kosten auch mit hoher Komplexität für den Aufbau und Betrieb der Infrastruktur einher. Zu berücksichtigen ist ebenfalls die komplexe Konfiguration der Zugriffsrechte, vor allem wenn mehr als ein VPN-Tunnel zu einer Anwendung im Unternehmensnetz und zu einem externen Cloud-Anbieter zeitgleich aufgebaut werden müssen.
Auch hier tun Unternehmen gut daran, grundlegende Überlegungen in Betracht zu ziehen. Es muss entschieden werden, ob auf alle Anwendungen direkt zugegriffen werden darf, unabhängig vom Standort des Anwenders außerhalb des Unternehmensnetzes. Für den Remote Access sollte ein Weg gewählt werden, der einfach konfigurierbar und wenig fehleranfällig ist. Denn je komplexer die Konfiguration, desto größer ist das damit verbundene Sicherheitsrisiko. Im Idealfall wird keine Verbindung zum gesamten Netz geöffnet, sondern nur isolierter Zugang zur benötigten Anwendung gewährt. Von Vorteil ist es in einer Cloud-first-Umgebung für den Anwender, wenn zeitgleich auf unterschiedliche Cloud-Anwendungen zugegriffen werden kann.
Fazit
Bevor ein Unternehmen auf Cloud-basierte Anwendungen umstellt, ist es sinnvoll, zunächst das Netzwerk, die WAN-Infrastruktur, die IT-Security und den Remote Access auf die mit der Wolke einhergehenden Bedürfnisse vorzubereiten. Sind die Hausaufgaben zu den Grundanforderungen gemacht, wird nicht nur die Implementierung einer Cloud-Lösung beschleunigt, sondern auch die Anwenderakzeptanz gefördert und das Unternehmen profitiert tatsächlich von der Kosteneffizienz und Flexibilität, die mit der Wolke einhergehen sollte. Eine Cloud-first-Strategie darf nicht daran scheitern, dass die Grundvoraussetzungen in der Planungsphase vernachlässigt wurden.