IT-Sicherheit in der Wolke

Hybrid Cloud: Security-Strategien für Unternehmen

15.09.2016
Von 


René Büst ist Research Director in Gartners Managed Business and Technology Services Team mit Hauptfokus auf Infrastructure Services & Digital Operations. Er analysiert Entwicklungen im Bereich Cloud Computing (Anbieter von Managed Cloud-Services und Public Cloud sowie Cloud-Strategien wie IaaS, PaaS und Multicloud), digitale Infrastrukturen und Managed Services sowie den Einfluss der digitalen Transformation auf die IT. Seit Mitte der 90er Jahre konzentriert sich Herr Büst auf den strategischen Einsatz der IT in Unternehmen und setzt sich mit deren Einfluss auf unsere Gesellschaft sowie disruptiven Technologien auseinander.

IT-Sicherheit in der Hybrid Cloud

Die Sicherheitsstrategie einer hybriden Cloud-Umgebung lässt sich nicht auf Basis eines Silo-Konzepts umsetzen. Stattdessen ist hierfür ein Ende-zu-Ende-Ansatz erforderlich. Das bedeutet: Ganz gleich, ob die eigene Private-Cloud- oder die Public-Cloud-Infrastruktur geschützt werden soll, ist eine zentrale Plattform erforderlich, um eine ganzheitliche Sicherheit zu gewährleisten und einen Infrastruktur-übergreifenden Überblick zu behalten.

Geht es um die Sicherheit in der Hybrid Cloud, gewinnen Security-as-a-Service-Lösungen an Bedeutung.
Geht es um die Sicherheit in der Hybrid Cloud, gewinnen Security-as-a-Service-Lösungen an Bedeutung.
Foto: dolphfyn - shutterstock.com

Für die Umsetzung hybrider Cloud-Szenarien kommen immer häufiger Security-as-a-Service (SECaaS) Lösungen zum Einsatz. Hierbei werden die Services aus einer Cloud-Umgebung eines Sicherheitsanbieters bereitgestellt und nahtlos in die Private-Cloud- beziehungsweise Public-Cloud-Infrastruktur integriert. Die Sicherheit wird somit als Service bereitgestellt, ohne dass ein Kunde die dafür normalerweise erforderliche Hard- und Software einkaufen muss. Der Vorteil: Unternehmen jeder Größe haben damit Zugriff auf hochentwickelte Sicherheitstechnologien, die normalerweise den Großkonzernen vorbehalten bleiben. Immer mehr Unternehmen setzen Security-as-a-Service-Lösungen bevorzugt ein, um von den folgenden Vorteilen zu profitieren:

  • Schnelle Bereitstellung: In einem SECaaS-Modell werden die entsprechenden Sicherheitslösungen und die dafür notwendige Hard- und Software von dem Sicherheitsanbieter betrieben und dem Kunden als Service bereitgestellt. Dadurch bestehen für den Kunden im Hinblick auf die Bereitstellung keine langen Vorlaufzeiten mehr und er kann direkt mit der Integration und Konfiguration beginnen.

  • Geringere Wartungsaufwände: Der SECaaS-Anbieter ist zu 100 Prozent für den Betrieb und die Wartung der Service-Infrastruktur zuständig, über die dem Kunden die Sicherheitslösungen zur Verfügung gestellt werden. Das bedeutet, dass der Kunde sich nicht mehr um die Produkt-Updates oder das Einspielen von Virensignaturen und anderweitigen Aktualisierungen kümmern muss.

  • Konzentration auf das Wesentliche: Mit dem Einsatz einer SECaaS-Lösung muss sich die IT-Organisation nicht mehr um den Aufbau und die Wartung der Sicherheitsinfrastruktur kümmern und erhält damit mehr Freiheit für die Umsetzung strategisch wichtiger Projekte. Das erhöht die Produktivität der gesamten IT-Organisation.

  • Geringere Kosten: Mit dem Bezug von SECaaS-Lösungen verlagert sich das Ausgabenverhältnis von Capex (Investitionskosten) zu Opex (Betriebskosten). Das bedeutet, dass ein Kunde nur noch für die Sicherheitslösung bezahlt, die er in Anspruch nimmt (Pay per use). Gleichzeitig ist der Kunde nicht mehr für die Wartung und Produktpflege seiner Sicherheitsinfrastruktur zuständig und profitiert davon, dass potenzielle Angriffe direkt in der Cloud abgefangen werden, bevor diese das Unternehmensnetzwerk erreichen.

  • Unmittelbarer Schutz: Die Sicherheitsmannschaften von SECaaS-Anbietern arbeiten in einem 24x7-Modell. Das bedeutet, dass Updates und Signaturen auf den Cloud-basierten Sicherheitsplattformen rund um die Uhr aktualisiert werden und dem Kunden damit unmittelbar automatisch zur Verfügung stehen.

Ob kleines Unternehmen, Mittelständler oder globaler Konzern - Unternehmen jeder Größe können es sich heutzutage nicht mehr leisten, zu viel eigene Energie für Sicherheit aufzubringen und damit die Konzentration auf das Kerngeschäft zu schwächen. SECaaS-Lösungen bieten hierfür eine ausgereifte Alternative zu lokal betriebenen Sicherheitsumgebungen, um die Sicherheit von hybriden IT-Infrastrukturen nach Bedarf zu erhöhen, ohne direkt hohe Investitionskosten zu verursachen. Trotzdem profitieren sie unmittelbar von Sicherheitsinnovationen.

Handlungsempfehlungen für den CIO

Mit der zunehmenden Vernetzung und Digitalisierung sämtlicher Geschäftsprozesse verändert sich ebenfalls der Charakter vollständig abgeschlossener IT-Landschaften hin zu miteinander integrierten und hybriden IT-Infrastruktur-Umgebungen. Dieser Wandel führt insbesondere auf Sicherheitsebene zu neuen Herausforderungen, die CIOs und CISOs im Rahmen ihrer Sicherheitsstrategie berücksichtigen müssen. Hierzu gehören:

  • Selbstverantwortung übernehmen: Ein maßgeblicher Anteil einer hybriden Cloud-Umgebung besteht aus der Public Cloud. Trotz der weit verbreiteten Annahme übernehmen Public-Cloud-Anbieter wie Amazon Web Services, Microsoft Azure oder VMware vCloud Air nicht die gesamte Verantwortung für den Cloud-Stack ihrer Kunden. Stattdessen ist Selbstverantwortung gefragt! Das gilt von der Infrastruktur- bis hin zur Applikations-Ebene - sowohl für den Betrieb, als auch die Sicherheit der Cloud-Umgebung.

  • Ende-zu-Ende Verschlüsselung der Daten: Im Rahmen hybrider Cloud-Umgebungen spielt die Verschlüsselung der Daten und deren Übertragungswege eine wichtige Rolle. Hierbei ist nicht ausschließlich das "Data-at-Rest"-Konzept (reine Verschlüsselung auf Datenträgerebene) in Betracht zu ziehen. Stattdessen sollte ein ganzheitlicher Ansatz verfolgt werden, bei dem sich die Daten auf allen Ebenen ihres Verarbeitungszyklus in einem verschlüsselten Zustand befinden. Hierzu gehört der Schutz auf Client- und (virtueller) Server-Ebene innerhalb der On-Premise-Infrastruktur, über die Datenverbindungen bis hin zu den virtuellen Systemen auf der Public-Cloud-Infrastruktur.

  • Implementierung einer Ende-zu-Ende Sicherheitsarchitektur: Systeme, Plattformen, Services und Applikationen werden heute nicht mehr nur innerhalb der eigenen IT-Infrastruktur betrieben. Folglich muss der Schutz dieser Ressourcen ganzheitlich über alle verwendeten IT-Umgebungen hinweg erfolgen und dabei sowohl physikalische und virtuelle, als auch Cloud-basierte Architekturen berücksichtigen. Das schließt alle selbst betriebenen Systeme ein und auch diejenigen, die auf Infrastrukturen von Public-Cloud-Anbietern ausgelagert sind. Schlussendlich dürfen Hybrid- und Multi-Infrastruktur-Szenarien unter keinen Umständen vernachlässigt werden. Die Sicherheitskonzepte dürfen nicht an den Grenzen einer Infrastruktur oder Architektur enden, sondern müssen vom Backend bis zum Endgerät des Nutzers reichen.

Cloud-Services haben einen bedeutenden Einfluss auf die digitale Evolution von Unternehmen. Die Vernetzung mit Partnern, Lieferanten und Kunden anhand von nahtlos integrierten Prozessen auf Basis von Hybrid- und Public-Cloud-Umgebungen sind heute ein Muss, um auf die sich ständig verändernden Marktbedingungen reagieren zu können. Diese Veränderungen bringen neue Bedrohungsszenarien mit sich, die Unternehmen im Rahmen Ihrer Sicherheitsstrategie auf allen Ebenen ganzheitlich berücksichtigen sollten. Dabei sollten sie ein Silo-Denken unter allen Umständen vermeiden. (fm)