Sicherheit ist die größte Herausforderung
Die größte Herausforderung stellt für künftige Private-Cloud-Betreiber jedoch der Schutz von Systemen, Daten und Prozessen nach allen Regeln der Sicherheitskunst dar. Das beginnt bereits bei der logischen Verbindungs- und Zuordnungsschicht, die mit der IT-Virtualisierung zusätzlich eingezogen wird. Sie muss zusätzlich zur physischen Schicht mit allen notwendigen Investitionen und Aufwendungen abgesichert werden. Gartner verweist auf Governance, Risk-Management und Compliance (GRC), die nahtlos zusammenwirken müssen, um innerhalb der Cloud verlässlich und nachweislich Vorschriften und Regeln einhalten zu können.
Um dies zu garantieren, sind Fachleute gefordert, die sich in ihrem Handeln eng an den geschäftlichen Anforderungen des Unternehmens orientieren, meint Tom Biermann, Business Developer Compliance bei Twinsoft. "Eigene Spezialisten werden sich in der Regel näher am Unternehmensgeschäft bewegen als das Personal externer Cloud-Anbieter", gibt er zu bedenken. Weil Geschäftsprozesse immer mehr von Informationssystemen getragen werden, empfiehlt er für einen sicheren Weg in die Private Cloud, alle an den Geschäftsprozessen beteiligten Systeme abzuschirmen. "Das gilt für Anwendungen und Datenbanken, für Server, Speichersysteme und ihre Betriebssysteme ebenso wie für Netzwerksysteme."
- So schützen Sie sich vor Cloud Katastrophen
"Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie: - Tipp 1:
Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen. - Tipp 2:
Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers. - Tipp 3:
Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein. - Tipp 4:
Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen. - Tipp 5:
Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen. - Tipp 6:
Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?
Dazu sollte, so Biermann, der künftige Rundum-Schutz eng mit installierten oder noch zu installierenden Sicherheitslösungen wie Zugriffskontrollsystem, Firewalls, Malware-Schutz und Dateisystemen verzahnt werden. Weil alle Systeme, inklusive der Sicherheitssysteme, System Logs und Event Logs absetzen, plädiert er zusätzlich für ein durchdachtes Security Information and Event Management (SIEM). "Es überwacht die Ereignisse, korreliert sie, qualifiziert sie hinsichtlich der Nicht-Einhaltung von Vorschriften und Regeln und alarmiert und protokolliert bei Verstößen." Biermann rät außerdem zu einem Monitoring des Benutzerverhaltens: "Denn auch von den Mitarbeitern können Gefahren für die innere Sicherheit der Private Cloud ausgehen."
Übereilt auf externe Clouds auszuweichen, um vermeintlich viele notwendige Investitionen und Aufwendungen in die Sicherheit zu ersparen, bringt nach Ansicht von IT-Berater Hein nichts. "Erstens sind optimierte Geschäftsprozesse, und das sind in der Regel Kernprozesse mit sensiblen Daten, innerhalb der eigenen Cloud sicherer aufgehoben. Zweitens steht bei Outsourcing nicht der Cloud-Anbieter, sondern das Unternehmen für die entfernt getroffenen oder nicht getroffenen Sicherheitsmaßnahmen und ihre Folgen in der Haftung. An dieser generellen Ausgangssituation", so Hein, "werden auch Bestrebungen wie Federal Risk and Authorization Management Program (FedRAMP) und Common Assurance Maturity Model (CAMM) wenig ändern können." (uk)