Mit Blick auf das Thema IT-Security erweist sich ein Hybrid-Cloud-Konzept als geeignete Strategie: Denn auf diese Weise verteilen Unternehmen ihre Daten und Prozesse neben den eigenen Systemen auf verschiedene Public-Cloud-Plattformen – und somit auch das Sicherheitsrisiko.
Allerdings stellt sich in der Praxis gerade die Heterogenität einer Hybrid-Cloud-Umgebung als außerordentlich komplex und kostenintensiv dar, wenn es um das Thema IT-Sicherheit geht. Das richtige Know-how und die entsprechende Erfahrung holen aber auch in Sachen Sicherheit das Beste aus der Hybrid Cloud heraus.
Viele Unternehmen setzen heutzutage auf die Cloud, insbesondere Hybrid-Cloud-Ansätze sind in diesem Zusammenhang populär. Dies gilt umso mehr in Zeiten einer Pandemie, in der Unternehmen die Digitalisierung kritischer Business-Prozesse noch weiter intensivieren und mit hoher Geschwindigkeit in Richtung Cloud vorantreiben. Diese stellt allerdings ein spezielles IT-Szenario dar: Denn ihre Vorteile, etwa die Flexibilität und ihre Fähigkeiten zur Verarbeitung großer Datenmengen, bergen auch neue Risiken – beispielsweise in Bezug auf IT-Security.
Dass IT-Systeme von Unternehmen angegriffen werden ist keine Frage der Theorie, sondern des Zeitpunktes. Da erscheint es nur sinnvoll, sensible Daten und Workloads auf verschiedene Plattformen zu verteilen, um einem Angriff nicht komplett ausgesetzt zu sein. Schließlich lagert auch eine Privatperson nicht den Monatslohn in Scheinen unter der Matratze, sondern verteilt ihr Vermögen auf Girokonten, Sparbücher, Aktienfonds – und eben als Barschaft im Portemonnaie. Ähnlich verhält es sich mit der Hybrid Cloud. Schließlich kombiniert sie Private Cloud, On-Premise, Drittanbieter- und Public Cloud-Service miteinander und verteilt auf diese Weise das Risiko auf mehrere Schultern.
Es stimmt: Unternehmen können so ihre Daten und Prozesse entsprechend Security-Wert und Computing-Prozess unterschiedlich aufteilen. Hochsensible Informationen wie persönliche Daten oder produktionsrelevante Details behält man vielleicht lieber komplett im Haus, andere Workloads wandern zu den Plattformen unterschiedlicher Anbieter. Tatsächlich geht die Systematik des verteilten Risikos im Angriffsfall zwar auf – nur bringt die heterogene Struktur auch mit sich, dass die Angriffsoberfläche potenziell größer wird und Sicherheitslücken an den Schnittstellen entstehen. Laut Gartner werden 75 Prozent der mittleren und großen Unternehmen bis 2021 eine Hybrid- oder Multi-Cloud-Strategie eingeführt haben. Und somit wird IT-Security in der Cloud zum Problem der Vielen.
Kontinuierliche Entwicklung
Ganz grundsätzlich erfordert Cloud Computing entsprechendes Know-how, um die Vorteile der Technologie auch wirklich nutzen zu können. Noch mehr trifft das auf den Aspekt der Sicherheit zu: Schutzmaßnahmen für klassische IT-Strukturen können mit der Agilität und Geschwindigkeit der Cloud nicht mithalten. Selbstverständlich verfügen AWS, Azure und Co. über eine native Sicherheitsstruktur. Allerdings nutzt jeder Anbieter sein eigenes System. In der Hybrid Cloud müssen sie aber alle gleich stark funktionieren und zusammenzuspielen.
Das setzt die genaue Kenntnis der und Erfahrung zu den jeweiligen Cloud-Security-Strukturen voraus. Zudem sind die Plattformen dynamisch gestaltet und entwickeln sich durch zahlreiche Updates kontinuierlich weiter. In der Cloud kommen Security-Maßnahmen zum Einsatz, die in erster Linie von den Bestimmungen der jeweiligen Anbieter abhängen und sich damit unterscheiden.
Hinzu kommt: Die in der Cloud installierten Workloads sichert der Anwender selbst. Ungesicherte APIs können vor diesem Hintergrund zu einem der größten Risiken in der Cloud werden. Hinzu kommen Gefahren wie fehlerhaftes Identity- und Access-Management. Noch problematischer: Gerade gewachsene, und somit oft unübersichtliche IT-Infrastrukturen, die eigene Elemente mit denen verschiedener Player kombinieren, erweisen sich als besonders komplex in der Absicherung. Denn wer nicht weiß, was er hat, kann es auch nicht schützen.
Auf Expertenrat setzen
Wer eine Hybrid-Cloud-Plattform absichern will, muss ganz unterschiedliche Aspekte im Blick behalten und gleichzeitig managen. Ein klarer Fall für den Profi also. Hinzu kommen hohe Kosten, die für das IT-Security-Management von Hybrid Clouds anfallen. Ein Managed Service Provider kann Aufwand und Kosten für Unternehmen minimieren, da er über das notwendige Fachwissen verfügt, Clouds auf effiziente Weise zu schützen.
Hingegen ist die Kostenbelastung für Unternehmen, die die Hybrid Cloud selbst absichern wollen, hoch: Sie müssen sowohl Budget für die Technologie als auch das Personal einplanen. Ein externer Berater ist an dieser Stelle eine interessante Alternative: Er unterstützt schon bei der Auswahl der passenden Cloud, um Sicherheit, Leistung und Zuverlässigkeit zu optimieren. Darüber hinaus bietet er das Fachwissen für den Aufbau und das Management der Cloud-Umgebung gemäß der erforderlichen Sicherheits- und Compliance-Richtlinien.
Das Ganze im Blick
Mit einem erfahrenen Partner lassen sich die komplexen Herausforderungen, die sich vor allem bei der Absicherung von Hybrid- und Multi-Cloud-Umgebungen bieten, meistern und gleichzeitig die Wertschöpfung beschleunigen. Denn jedes Unternehmen verfolgt eine individuelle Cloud-Strategie und folglich auch ganz eigene Bedürfnisse beim Thema Sicherheit. Der Bedarf nach externer Unterstützung ist groß. Fokussierte Managed Service Provider wie Rackspace bieten heute deshalb bereits eigene flexible und modulare Service-Pakete für Cloud-IT-Security sowie Managed Security für Cloud-native Umgebungen „as a Service“ an.
Diese umfassen einen Beratungsservice, ein 24/7- Monitoring und die schnelle Behebung von Sicherheitslücken in Cloud-Umgebungen durch zertifizierte Sicherheitsexperten. Ein Ziel darüber hinaus sollte sein, so viele Sicherheitsmaßnahmen wie möglich zu automatisieren. Eine komplette Automatisierung wird aber nicht gelingen – ebenso wenig, wie ein einzelner Verantwortlicher alles im Blick behalten kann. Jetzt ist die Zeit umzudenken und in den Dialog zu gehen, um die Möglichkeiten von Security „as a Service“ für sich zu nutzen. So gewinnen Unternehmen mehr Kompetenz bei der Absicherung ihrer IT gegen die Bedrohungen von heute und morgen.
Heinz Bruhn ist Solution Director Cloud & Managed Services bei Rackspace.
