Die Sicherheit von Daten und Anwendungen in der Cloud beschäftigt aktuell viele Unternehmen. Entsprechend versuchen mittlerweile einige DevOps-Teams, ihre eigene Sicherheitslösung aus einer Kombination von Cloud-basierten und unterschiedlichen Open-Source-Produkten zusammenzustellen. Bevor sie zu viel Zeit und zu viele Ressourcen in ein eigenes Sicherheitsprojekt investieren, raten Experten dringend wesentliche Aspekte zu beachten.
Geld sparen – wenn dies das dringlichste Ziel eines Unternehmens ist, , muss man sich fragen, ob der Einsatz von Silo- und Basis-Sicherheitsmonitoring-Produkten die notwendige Breite und Tiefe an Sicherheit bietet, um die Cloud-Umgebungen sicher zu halten. Datenschutzverletzungen kosten Unternehmen heute im Durchschnitt über vier Millionen Dollar. Allein diese Kosten übersteigen bei weitem den Preis für den Kauf einer produktionsreifen, unternehmenserprobten Lösung.
Auch die Betriebskosten einer Doit-Yourself-Lösung werden wahrscheinlich höher sein. Bevor man eine eigene Lösung baut, gilt es die Kosten für den Betrieb aller benötigten Komponenten zu kalkulieren. Wer alles zusammenrechnet, der sollte Datenbankdienstkosten, Web- und App-Server, Benachrichtigungen etc., einschließlich Entwicklungs- und Supportkosten einrechnen. Das wird in Summe höchstwahrscheinlich die einer schlüsselfertigen Lösung bei weitem übersteigen.
Zeit ist Geld
Die technischen Ressourcen eines Unternehmens sind in der Regel kostbar und knapp. Wer seine eigene Cloud-Sicherheitslösung entwickeln möchte, sollte zunächst über die hohen Opportunitätskosten nachdenken, die durch die Bereitstellung von Entwicklungsressourcen für den Aufbau eines Tools entstehen, während man das eigene Produkt weiterentwickelt.
Ehe man diesen Weg einschlägt, sind die folgenden Fragen zu überlegen: Erweitern es das geistige Eigentum des eigenen Unternehmens? Wird das Tool dem Unternehmen einen differenzierten Mehrwert bieten? Sind die Kosten für das Tool höher als das, was man verdienen könnten, wenn man die Ressourcen für die Integration neuer Funktionen in das eigentliche Geschäft steckt? Verfügt das Team über alle notwendigen Fähigkeiten, um eine komplexe Sicherheitsüberwachungs- und Warnlösung erfolgreich aufzubauen?
Langfristiger Support und Wartung
Es scheint, dass Cloud Service Provider jedes Jahr mehrere neue Sicherheits-Tools und -funktionen veröffentlichen. Einfach ausgedrückt, erfordert es ein Vollzeit-Team, nur um zu verstehen, was jeder einzelne tut, und die richtigen API-Integrationen zu erstellen.
Dann benötigen man das zugrundeliegende Cloud-Sicherheitswissen, um zu wissen, welche Arten von Richtlinien erstellt werden müssen und wie die Cloud-Flow-Protokolle verarbeitet werden können. Wie lange dauert es, das eigene Tool zu aktualisieren, wenn Cloud-Anbieter ihre APIs aktualisieren oder neue Dienste einführen, die Ihre Teams nutzen?
Dauerhafte Eignung der Technologie
Zu oft werden interne Tools überstürzt und schnell zusammengefügt, was zu technischen Problemen führt, die nachträglich behoben werden müssen. Wenn sich entschieden hat, den Weg der Entwicklung eines neuen Tools einzuschlagen, sollte daran denken, dass das Entwicklungsteam die richtigen Designentscheidungen treffen muss, um sicherzustellen, dass das Tool über die notwendigen Funktionen verfügt, um kontinuierlich verfügbar, belastbar und sicher zu bleiben.
Dazu sollte man gut vorbereitet sein, um zu vermeiden, aus zeitlichen Gründen Kompromisse einzugehen, die technische Probleme verursachen oder begünstigen. Die Herausforderungen der Skalierung werden sich in selbst entwickelte Tools einschleichen, da die Arbeitsbelastung an Größe und Komplexität zunimmt.
Multi-Cloud-Unterstützung bedenken
Heutzutage ist es selten, dass ein Unternehmen bei nur einem Cloud-Anbieter bleibt. Regulatoren und Entwickler äußern oft ihren Wunsch, in mehrere Public Clouds zu wechseln. Wird Ihr selbst entwickeltes Tool in der Lage sein, alle Clouds zu unterstützen, die von den verschiedenen Teams innerhalb Ihres Unternehmens genutzt werden, und in welchem Zeitrahmen?
Zudem darf man einen gewissen Grad an Realismus in Bezug auf Cloud-Sicherheitsziele nicht aus den Augen verlieren. Auf den ersten Blick bieten Cloud Service Provider ein attraktives Angebot an Services, die sich mit genügend Zeit und Ressourcen zu einer ziemlich umfassenden Sicherheitslösung zusammenfassen lassen. Hat ein Unternehmen jedoch die Zeit, das Fachwissen und die zuverlässige Unterstützung, die erforderlich sind, um mit einem solchen Projekt zu starten? Kann man Monate bis Jahre warten, bis die eigene Lösung gebaut ist?
Unabhängig davon, welchen Weg Sie wählen – „Do-It-Yourself“ oder „Ready-to-Launch“ – ist die Sicherstellung einer vollständigen, kontinuierlichen Transparenz entscheidend für die effektive Verwaltung Ihrer Sicherheitsaufgaben in der Public Cloud. (rhh)