IT-Security in der Cloud

Die Cloud ganzheitlich in Sicherheitsstrategien einbinden

28.11.2018
Von   IDG ExpertenNetzwerk


Hans-Peter Bauer ist Vice President Central Europe bei McAfee. Er wechselte zum 1. Januar 2008 von Juniper Networks, wo er zuletzt als Vice President für das Enterprise-Geschäft in EMEA verantwortlich war. Er bringt eine mehr als 20-jährige Erfahrung in der Computer- u. Informationstechnologie-Branche in seine Position ein.  
Die rasante Adoption von „as-a-Service“-Angeboten hat zur Folge, dass es nur wenige dedizierte Fachkräfte für Cloud-Security gibt. IT-Verantwortliche müssen mit Hilfe der richtigen Technologien sowie interner Ausbildung den Risiken entgegenwirken und eine moderne Cloud-Strategie implementieren.

"Cloud" war vor einigen Jahren noch ein innovatives Konzept, das in der Wahrnehmung von IT-Entscheidern irgendwo zwischen Kostenersparnis und Sicherheitsrisiko lag. Heute sind "as-a-Service"-Dienste so verbreitet, dass man schon gar nicht mehr von Cloud Computing sprechen muss. Laut einer Umfrage des Cloud-Service-Providers Citrix sind Cloud-Dienste bereits so stark in den täglichen Geschäftsbetrieb integriert, dass es bald nicht mehr nötig sein wird, sie gesondert zu bezeichnen, weshalb der Begriff "Cloud Computing" bis 2025 aus dem Sprachgebrauch verschwunden sein wird. Während diese neue Normalität für die operativen Mitarbeiter eine willkommene Veränderung ist und viele Annehmlichkeiten wie erhöhte Flexibilität und Skalierbarkeit bereithält, sorgt die zunehmende Hybridisierung an anderer Stelle allerdings für neue Herausforderungen.

Wenn Cloud-Dienste künftig als fester Bestandteil der IT-Systeme verstanden werden, gilt es, bei ihrer Integration sicherzustellen, dass Datenschutzprozesse und Sicherheitspraktiken ohne Brüche greifen können.
Wenn Cloud-Dienste künftig als fester Bestandteil der IT-Systeme verstanden werden, gilt es, bei ihrer Integration sicherzustellen, dass Datenschutzprozesse und Sicherheitspraktiken ohne Brüche greifen können.
Foto: phloxii - shutterstock.com

Sicherheit auch in hybriden Umgebungen

Auch wenn Cloud-Dienste künftig nicht mehr als Anbau, sondern fester Bestandteil der IT-Systeme verstanden werden, gilt es, bei ihrer Integration sicherzustellen, dass Datenschutzprozesse und Sicherheitspraktiken ohne Brüche greifen können. Insbesondere seit der Einführung der EU-Datenschutzgrundverordnung (DSGVO) ist es im besten Interesse der Unternehmen, ihre Richtlinien auch in hybriden Umgebungen stringent durchzusetzen und Daten auch zu sichern, wenn sie von On-Premises in die Cloud fließen - und umgekehrt. Schließlich verlangt die DSGVO vollständigen Datenschutz, auch wenn Unternehmensdaten nicht in der eigenen Infrastruktur lagern. Dies gestaltet sich jedoch aufgrund des mangelnden Know-How der IT-Mitarbeiter als problematisch. Häufig sind Datenschutzpannen nicht das Resultat ausgefeilter Hacker-Methoden, sondern kommen wegen Fehlkonfigurationen, fehlender Updates, oder einer Zusammenstellung inkompatibler Komponenten zustande.

»

Bereits heute klagen Unternehmen über einen Mangel an IT-Sicherheitsfachkräften. Dies gilt künftig noch stärker für Mitarbeiter mit dediziertem Cloud-Security-Wissen. Hybride Infrastrukturen sind somit erhöhter Gefahr ausgesetzt, denn neben Grundkenntnissen wie Datenforensik, Bedrohungsverfolgung und Response-Fähigkeiten auf Attacken brauchen Cloud-Security-Spezialisten eine noch stärkere Expertise in Identity and Access Management (IAM), Deployment Automation und Einhaltung gesetzlicher Cloud-Richtlinien.

Solange die Lücke zwischen Angebot und Nachfrage nicht geschlossen wird, müssen Unternehmen andere Wege gehen und die Ausbildung von IT-Sicherheitsfachkräften selbst in die Hand nehmen. Es gilt, Mitarbeiter zu finden, die über das nötige Grundwissen verfügen und ihnen darauf basierend selbst die nötigen Sicherheitskenntnisse zu vermitteln. Dabei müssen sie zunächst evaluieren, welche Probleme in der Vergangenheit im Cloud-Umfeld ihres Unternehmens aufgetreten sind, um daraus die nötigen Kenntnisse und Fähigkeiten abzuleiten, die es zu vermitteln gilt.

Ohne Technologie geht es nicht

Neben einem Mindestmaß an Verständnis kommt heutzutage keine Sicherheitsstrategie ohne neue Technologien aus. Cloud-Instanzen wurden in der Vergangenheit entweder durch eigene Richtlinien gesichert oder anhand von Tools geschützt, die ursprünglich gar nicht für den Einsatz mit virtuellen Maschinen geschaffen waren. Heute reicht das nicht mehr aus. So ein fragmentierter Ansatz führt nur zu noch mehr Komplexität und Verwaltungsaufwand. Vielmehr braucht es eine ganzheitliche Vorgehensweise unter Verwendung von Technologien und Lösungen, die sowohl für hybride als auch komplett aus Cloud-Instanzen bestehende Infrastrukturen geschaffen sind.

Um eine effiziente Cloud-Sicherheitsstrategie umzusetzen, gilt es, das zugehörige Lösungsportfolio so auszuwählen, dass folgende Anforderungen erfüllt sind:

  • Ein ganzheitlicher Sicherheitsansatz, der Instanzen in Private und Public Clouds genauso erfasst und schützt wie on-oremise

  • Automatisierung von Cloud-Security Richtlinien über sämtliche Tools hinweg auf virtuelle Maschinen, Cloud-Workloads sowie Endpoints und physikalische Server

  • Eine Optimierung der Sicherheitsverwaltung, die Transparenz über sämtliche Datenströme und Sicherheitslösungen herstellt und die Implementierung von Richtlinien auf virtuelle Maschinen, Cloud-Workloads und traditionelle Endpoints und Server ausdehnt.

Für die Zukunft aufstellen

Hybride Umgebungen sind für die meisten Unternehmen zur De-facto-Service-Architektur geworden, unabhängig davon, ob es sich um Public und Private Clouds handelt, traditionelle Rechenzentren oder Cloud-Services. Wer die Vorteile der Cloud gänzlich nutzen will, muss sich zwangsläufig auch mit ihren Herausforderungen auseinandersetzen. Herkömmliche Strategien auf die Cloud zu adaptieren, funktioniert nur bis zu einem gewissen Maße, wird mit zunehmendem Cloud-Anteil komplexer und stellt ein erhöhtes Risiko für die Sicherheit dar. Wenn die Cloud standardmäßig in Geschäftsprozesse eingebaut wird, muss es auch das Ziel sein, ihre Sicherheit als Teil des Ganzen zu behandeln.