Webcast

So sichern CIOs hybride Clouds ab

25.03.2020
Anzeige  Wer hybride Cloud-Umgebungen nutzt, muss diese effektiv absichern. Informationen dazu liefert ein Webcast der Computerwoche.
Cloud-Umgebungen sind immer auch ein Sicherheitsthema.
Cloud-Umgebungen sind immer auch ein Sicherheitsthema.
Foto: bestfoto77 - shutterstock.com

Den vielen Vorteilen hybrider Clouds steht die große Herausforderung Sicherheit gegenüber. Wie CIOs diese meistern, zeigt ein Webcast der Computerwoche. Markus Leberecht, Senior Cloud Solutions Architect bei Intel Deutschland, stellt die nötigen technischen und organisatorischen Maßnahmen vor. Er skizziert die Absicherung hybrider Cloud-Infrastrukturen und erklärt, welche Technologien die größte Rolle spielen.

Fachjournalist Thomas Hafen von der Computerwoche moderiert den Webcast und steigt mit einer Zahl des Branchenverbandes Bitkom ein. Demnach nutzen rund drei Viertel der deutschen Unternehmen Cloud Computing, und das ruft Cyber-Kriminelle auf den Plan. Dazu kann Leberecht eine Umfrage seines Unternehmens beisteuern: Sicherheit zählt für die Anwender heute zu den Top drei Kriterien bei der Auswahl des Cloud-Services-Providers. Die anderen beiden sind Standfestigkeit der Dienste und Technische Expertise. "Das heißt für die Anbieter: Sicherheit ist ein Mehrwert", schließt Leberecht.

Erweiterte Angriffsflächen durch Skalierung der Cloud

Eine Ad-hoc-Umfrage unter den Webcast-Zuschauern bestätigt: 22 Prozent nutzen bereits Security-Premium-Services, weitere 39 Prozent planen das. Leberecht ist nicht überrascht: "Dieses Bild deckt sich mit meiner Erfahrung der Professionalisierung beim Thema Cloud", sagt er. Als wesentliche aktuelle Herausforderungen im Rechenzentrum nennt der Experte erstens die erweiterten Angriffsflächen durch die Skalierung der Cloud, zweitens industrialisierte Angriffe im Zuge der Professionalisierung von Cybercrime und drittens das Bestehen fragmentierter Produkt- und Lösungslandschaften. "Die einzelnen Sicherheitslösungen spezialisieren sich auf ihr Gebiet", erklärt Leberecht, "das führt zu Koordinierungsaufwand und Schwierigkeiten mit der Interoperabilität."

Was also können Entscheider tun? Eine Möglichkeit liegt darin, Anbieter mittels einer Scorecard zu vergleichen, um herauszufinden, wer am Besten zum eigenen Sicherheitskonzept passt.

An dieser Stelle will Moderator Hafen von den Zuschauern wissen, welche Kriterien sie bei der Provider-Auswahl anlegen. Seine Umfrage zeigt Sicherheitsmaßnahmen (93 Prozent der Nennungen), Standorte der Datenzentren (86 Prozent) und Datenschutzvorkehrungen (65 Prozent) vorn. "Gucken Leute nicht mehr so auf den Preis?", kommentiert Hafen. Dazu Leberecht: "Die Kosten spielen schon eine Rolle, es muss effizient bleiben, aber beide Seiten haben verstanden, dass es eine langfristige Geschäftsbeziehung sein sollte." Faktisch gibt es hier je nach as-a-Service-Modell eine geteilte Verantwortung zwischen Provider und Kunde. "Es sind schon noch Verantwortlichkeiten des Kunden da, zum Beispiel beim Umgang mit Daten", betont der Intel-Manager. Besonders bei hybriden Strukturen dürfen keine Brüche entstehen.

Architektur unter allen Sicherheits-Perspektiven betrachten

Eine weitere Umfrage zeigt, dass 66 Prozent der Webcast-Zuschauer den Status ihrer Sicherheitsarchitektur messen. "Können Unternehmen solche Assessments selbst durchführen?", fragt der Moderator. Grundsätzlich ja, so Leberecht. Er fügt jedoch an: "Es kann schon sehr komplex sein, eine Architektur unter allen Perspektiven der Sicherheit zu betrachten. Die regelmäßige Anpassung und Weiterentwicklung Sicherheitsarchitektur können Entscheider agil von Schwellenwerten abhängig machen.

Nach Intels Sicherheitsstrategie für Rechenzentren gelten die Daten in ihrem Lebenszyklus als Kern der zu schützenden Assets. Die Plattform, auf der diese Daten liegen, muss entsprechend abgesichert sein und eine vertrauenswürdige Basis darstellen.

Konkret heißt das Dreierlei: erstens das Verankern essenzieller Technologien in der Plattform, zweitens ein Partner-Ecosystem für optimierte ISV-Sicherheitslösungen, und drittens die Umsetzung von Grundfunktioenen mit Intel Security Libraries. Datenschutz ist über den gesamten Lebenszyklus sichergestellt, das heißt, die Daten sind zu jedem Zeitpunkt verschlüsselt. "Die Intel Software Guard Extensions (SGX) implementieren das im Rechenzentrumsprozessor", so Leberecht. So können Daten in der Cloud bearbeitet werden, ohne dass der Provider Zutritt hat.

Nie denken, das eigene Unternehmen sei "nicht interessant"

Knapp zusammengefasst, zählen für hybride Cloud-Architekturen folgende Faktoren: zunächst ein Kernverständnis dessen, was zu schützen ist , danach konsistente Mess- und Kontrollpunkte über alle Dienste und Dienstanbieter hinweg und schließlich die gleiche Sorgfalt bei der Technologieauswahl beim Einsatz aller Produkte und Lösungen.

Zum Abschluss des Webcasts haben die Zuschauer das Wort. "Welche Quellen geben Auskunft über Wirtschaftsspionage?", lautet eine Frage. Leberecht verweist auf Verfassungsschützer, die teilweise auch Handlungsanleitungen geben. Und er stimmt dem Moderator Hafen zu: "Man sollte niemals denken, das eigene Unternehmen sei für Cyberkriminelle nicht interessant!"

Hier den Webcast ansehen