Sicherheitsstrategien für die Hybrid Cloud

Im Rahmen einer Digitalisierungsstrategie nehmen Public Cloud-Infrastrukturplattformen eine zentrale Rolle ein. Sie bieten die idealen Vorraussetzungen für einen unkomplizierten Zugriff auf IT-Ressourcen zu jeder Zeit, von jedem Ort und das je nach Bedarf. Public Clouds sind die Brutstätte vieler neuer, zum Teil disruptiver Geschäftsmodelle. Sie bieten zahlreiche Chancen, können gut situierte Unternehmen damit aber auch zunehmend in Schwierigkeiten bringen. Unternehmenslenker und IT-Entscheider sind somit gefordert, eindeutige Akzente in Richtung des digitalen Unternehmens zu setzen. Hierzu gehört das Überdenken des bestehenden Geschäftsmodells und die Anpassung und Neugestaltung sämtlicher Prozessketten. Die IT-Organisation muss sich hierbei in der Rolle des Impulsgebers und Enablers sehen und anhand von Technologien die notwendigen Vorraussetzungen für die Transformation und digitale Geschäftsideen schaffen.

Eine moderne IT-Infrastrukturumgebung ist hybrid

Ein Ergebnis der digitalen Evolution ist die Erkenntnis, dass in den Unternehmen nicht mehr nur eine IT existieren kann. Stattdessen gehen IT-Organisationen dazu über zwei IT-Welten zu betreiben: die Dynamic-IT und die Static-IT. Dies aus gutem Grund. Zwar suchen IT-Organisationen nach der notwendigen Skalierbarkeit und Flexibilität, um ihre neuartigen Lösungen und Services zu unterstützen. Allerdings spielen die Vermeidung von Datensilos, der Wunsch nach dem Erhalt von Kontrolle und das Thema Sicherheit eine übergeordnete Rolle. Moderne IT-Infrastrukturumgebungen zur Unterstützung einer Digitalisierungsstrategie müssen daher zunächst voneinander losgelöst betrachtet werden.

Dynamic-IT Infrastrukturen für die Entwicklung und den Betrieb digitaler Geschäftsmodelle und neuartiger Applikationen werden heutzutage bevorzugt auf Public Cloud-Infrastrukturen implementiert, um unter anderem von deren Skalierbarkeit, Flexibilität und globalen Reichweite zu profitieren. Sie dienen u.a. als Infrastruktur-Umgebungen für

  • Internet of Things Backends
  • E-Commerce-Lösungen
  • Hochfrequentierte Webseiten
  • Big Data Analytics
  • Web-Applikationen

Static-IT Infrastrukturen beherbergen vorwiegend bestehende Enterprise Applikationen oder Anwendungen, die auf Grund von rechtlichen Regularien, Datenschutz- und Compliance-Richtlinien oder wegen technischer Beschränkungen weiterhin auf Private Clouds betrieben werden. Hierzu gehören:

  • Applikationen, die regulierte oder große Daten verarbeiten
  • Applikationen, die eine geringe Latenz fordern
  • Applikationen mit einer konstanten Auslastung
  • Applikationen mit einem hohen Anspruch an Festplatten I / O
  • Applikationen, die bestimmte Hardwareanforderungen haben bzw. Hardwareabhängigkeit besitzen

unterschiede-privatepublic-01
Ungeachtet der unterschiedlichen Wirkungskreise einer Dynamic-IT und der Static-IT, ist es notwendig, beide Welten miteinander zu vereinen, um zum einen die rechtlichen Rahmenbedingungen und notwendigen Schutzmaßnahmen sicherzustellen und gleichzeitig die Innovationsfähigkeit des Unternehmens nicht zu vernachlässigen. Während des Aufbaus einer Hybrid Cloud geht es vor allem darum, die Static-IT – in Form einer Private Cloud – mit den Ressourcen aus der Dynamic-IT – auf Basis einer Public Cloud – flexibel zu erweitern. Mögliche Vorteile einer Hybrid Cloud Integration ergeben sich durch:

  • Schnellere Adaption neuer Technologien
  • Agilität, durch eine schnellere Bereitstellung weiterer Ressourcen
  • Nahtlose Erweiterung der Private Cloud-Infrastruktur
  • Verschiebung von Workloads in die Public Cloud nach Bedarf
  • Kontrolle: Daten verbleiben in der Private Cloud, Services aus der Public Cloud greifen lediglich zur Verarbeitung darauf zu

Eine zentrale Herausforderung einer Hybrid Cloud ist die Sicherheit. Die Private und Public Cloud dürfen hierbei keinesfalls lediglich einzeln betrachtet werden. Stattdessen muss ein einheitlicher Sicherheitsrahmen geschaffen werden. Das bedeutet, dass auch hier die Integration beider Cloud-Infrastrukturen zum entscheidenden Erfolgsfaktor wird. Eine hybride Sicherheitsstrategie umfasst hierfür unter anderem:

  • Festlegen einer Cloud-übergreifenden und allgemeingültigen Sicherheitsrichtlinie
  • Implementation einer Ende-zu-Ende Sicherheitsarchitektur
  • Schutz der Datenverbindungen
  • Absicherung des Datenverkehrs
  • Ende-zu-Ende Verschlüsselung der Daten

Abgerundet wird diese Sicherheitsstrategie aber schlussendlich durch den richtigen Einsatz entsprechender Sicherheitslösungen. Für einen ganzheitlichen Ansatz sollte zwingend darauf geachtet werden, Toolsets und Services einzusetzen, die sowohl die Private als auch die Public Cloud-Infrastruktur ganzheitlich – Ende-zu-Ende – schützen und nicht an den Grenzen der jeweiligen Infrastruktur aufhören.

Sicherheit in der Hybrid Cloud

Die Sicherheitsstrategie einer hybriden Cloud-Umgebung lässt sich nicht auf Basis eines Silo-Konzepts umsetzen. Stattdessen ist hierfür ein Ende-zu-Ende Ansatz erforderlich. Das bedeutet, ganz gleich, ob die eigene Private Cloud- oder die Public Cloud-Infrastruktur geschützt werden soll, eine zentrale Plattform erforderlich ist, um eine ganzheitliche Sicherheit zu gewährleisten und einen Infrastruktur-übergreifenden Überblick zu behalten.

Für die Umsetzung hybrider Cloud-Szenarien kommen immer häufiger Security-as-a-Service (SECaaS) Lösungen zum Einsatz. Hierbei werden die Services aus einer Cloud-Umgebung eines Sicherheitsanbieters bereitgestellt und nahtlos in die Private Cloud- bzw. Public Cloud-Infrastruktur integriert. Die Sicherheit wird somit als Service bereitgestellt, ohne dass ein Kunde die dafür normalerweise erforderliche Hard- und Software einkaufen muss. Der Vorteil: Unternehmen jeder Größe haben damit Zugriff auf hochentwickelte Sicherheitstechnologien, die normalerweise nur Großkonzernen vorbehalten bleiben. Immer mehr Unternehmen setzen Security-as-a-Service Lösungen bevorzugt ein, um von den folgenden Vorteilen zu profitieren:

  • Schnelle Bereitstellung: In einem SECaaS-Modell werden die entsprechenden Sicherheitslösungen und die dafür notwendige Hard- und Software von dem Sicherheitsanbieter betrieben und dem Kunden als Service bereitgestellt. Dadurch bestehen für den Kunden im Hinblick auf die Bereitstellung keine langen Vorlaufzeiten mehr und er kann direkt mit der Integration und Konfiguration beginnen.
  • Geringere Wartungsaufwände: Der SECaaS-Anbieter ist zu 100 Prozent für den Betrieb und die Wartung der Service-Infrastruktur zuständig, über welche dem Kunden die Sicherheitslösungen zur Verfügung gestellt werden. Das bedeutet, dass der Kunde sich nicht mehr um die Produkt-Updates oder das Einspielen von Virensignaturen und anderweitigen Aktualisierungen kümmern muss.
  • Konzentration auf das Wesentliche: Mit dem Einsatz einer SECaaS-Lösung muss sich die IT-Organisation nicht mehr um den Aufbau und Wartung der Sicherheitsinfrastruktur kümmern und erhält damit mehr Freiheit für die Umsetzung strategisch wichtiger Projekte. Das erhöht die Produktivität der gesamten IT-Organisation.
  • Geringere Kosten: Mit dem Bezug von SECaaS-Lösungen verlagert sich das Ausgabenverhältnis von Capex (Investitionskosten) zu Opex (Betriebskosten). Das bedeutet, dass ein Kunde nur noch für die Sicherheitslösung bezahlt, die er in Anspruch nimmt (Pay per use). Gleichzeitig ist der Kunde nicht mehr für die Wartung und Produktpflege seiner Sicherheitsinfrastruktur zuständig und profitiert davon, dass potentielle Angriffe direkt in der Cloud abgefangen werden, bevor diese das Unternehmensnetzwerk erreichen.
  • Unmittelbarer Schutz: Die Sicherheitsmannschaften von SECaaS-Anbietern arbeiten in einem 24x7-Modell. Das bedeutet, dass Updates und Signaturen auf den Cloud-basierten Sicherheitsplattformen rund um die Uhr aktualisiert werden und dem Kunden damit unmittelbar automatisch zur Verfügung stehen.

Ob kleines Unternehmen, Mittelständler oder globaler Konzern – Unternehmen jeder Größe können es sich heutzutage nicht mehr leisten zu viel eigene Energie für Sicherheit aufzubringen und damit die Konzentration auf das Kerngeschäft zu schwächen. SECaaS-Lösungen bieten hierfür eine ausgereifte Alternative zu lokal betriebenen Sicherheitsumgebungen, um die Sicherheit von hybriden IT-Infrastrukturen nach Bedarf zu erhöhen, ohne direkt hohe Investitionskosten zu verursachen und unmittelbar von Sicherheitsinnovationen zu profitieren.

Handlungsempfehlungen für den CIO

Mit der zunehmenden Vernetzung und Digitalisierung sämtlicher Geschäftsprozesse verändert sich ebenfalls der Charakter vollständig abgeschlossener IT-Landschaften hin zu miteinander integrierten und hybriden IT-Infrastrukturumgebungen. Dieser Wandel führt insbesondere auf Sicherheitsebene zu neuen Herausforderungen, die CIOs und CISOs im Rahmen ihrer Sicherheitsstrategie berücksichtigen müssen. Hierzu gehören:

  • Selbstverantwortung übernehmen: Ein maßgeblicher Anteil einer hybriden Cloud-Umgebung besteht aus der Public Cloud. Trotz der weit verbreiteten Annahme übernehmen Public Cloud-Anbieter, wie Amazon Web Services, Microsoft Azure oder VMware vCloud Air, nicht die gesamte Verantwortung für den Cloud-Stack ihrer Kunden. Stattdessen ist Selbstverantwortung gefragt! Das gilt von der Infrastruktur- bis zur Applikationsebene – sowohl für den Betrieb als auch die Sicherheit der Cloud-Umgebung.
  • Ende-zu-Ende Verschlüsselung der Daten: Im Rahmen hybrider Cloud-Umgebungen spielt die Verschlüsselung der Daten und deren Übertragungswege eine wichtige Rolle. Hierbei darf ausschließlich nicht nur das „Data-at-Rest“-Konzept (reine Verschlüsselung auf Datenträgerebene) in Betracht gezogen werden. Stattdessen muss ein ganzheitlicher Ansatz verfolgt werden, bei dem sich die Daten auf allen Ebenen ihres Verarbeitungszyklus in einem verschlüsselten Zustand befinden. Hierzu gehört der Schutz auf Client- und (virtueller) Serverebene innerhalb der On-Premise-Infrastruktur, über die Datenverbindungen, bis hin zu den virtuellen Systemen auf der Public Cloud-Infrastruktur.
  • Implementierung einer Ende-zu-Ende Sicherheitsarchitektur: Systeme, Plattformen, Services und Applikationen werden heute nicht mehr nur innerhalb der eigenen IT-Infrastruktur betrieben. Folglich muss der Schutz dieser Ressourcen ganzheitlich über alle verwendeten IT-Umgebungen hinweg erfolgen und dabei sowohl physikalische, virtuelle als auch Cloud-basierte Architekturen berücksichtigen. Das schließt sowohl alle selbst betriebenen Systeme als auch diejenigen ein, die auf Infrastrukturen von Public Cloud-Anbietern ausgelagert sind. Schlussendlich dürfen Hybrid- und Multi-Infrastruktur-Szenarien unter keinen Umständen vernachlässigt werden. Die Sicherheitskonzepte dürfen nicht an den Grenzen einer Infrastruktur oder Architektur enden, sondern müssen vom IT-Back-End bis zum Endgerät eines IT-Nutzers reichen.

Cloud-Services haben einen bedeutenden Einfluss auf die digitale Evolution von Unternehmen. Die Vernetzung mit Partnern, Lieferanten und Kunden anhand von nahtlos integrierten Prozessen auf Basis von hybriden und Public Cloud-Umgebungen sind heute ein Muss, um auf die sich ständig verändernden Marktbedingungen zu reagieren. Diese Veränderungen bringen neue Bedrohungsszenarien mit sich, die Unternehmen im Rahmen Ihrer Sicherheitsstrategie auf allen Ebenen ganzheitlich berücksichtigen sollten und dabei ein Silo-Denken unter allen Umständen vermeiden müssen.