Suchen

Hybrid Cloud Security Infrastrukturen sicher aufstellen und nutzen

| Autor / Redakteur: Heinz Bruhn* / Peter Schmitz

Ein Hybrid-Cloud-Konzept scheint gerade für die IT-Sicherheit eine interessante Strategie. Schließlich verteilen Unternehmen ihre Daten und Prozesse – und somit auch das Sicherheitsrisiko – auf eigene Systeme und auf eine oder mehrere Public-Cloud-Plattformen. Aber gerade die Heterogenität einer Hybrid-Cloud-Umgebung erweist sich in der Praxis als außerordentlich komplex.

Firmen zum Thema

Mit entsprechendem Know-how lassen sich Hybrid Clouds gut absichern.
Mit entsprechendem Know-how lassen sich Hybrid Clouds gut absichern.
(Bild: gemeinfrei / Pixabay )

Ein Angriff auf IT-Systeme von Unternehmen ist keine Frage des Ob, sondern des Wann. Da erscheint es nur sinnvoll, sensible Daten und Workloads auf verschiedenen Plattformen vorzuhalten, um einem Angriff nicht komplett ausgesetzt zu sein. Schließlich packt auch ein Reisender nicht alle Wertgegenstände in einen Geldbeutel, sondern verteilt Bargeld, Kreditkarte und EC-Karte an verschiedenen Orten.

Das IT-Äquivalent dazu ist die Hybrid Cloud. Schließlich kombiniert sie Private Cloud, On-Premise, Drittanbieter- und Public Cloud-Service miteinander und verteilt auf diese Weise das Risiko auf mehrere Schultern.

Im Fall Hybrid Cloud verhält sich die Sache aber etwas anders als bei der Reisekasse. Sicher: Unternehmen können auf diese Weise ihre Daten und Prozesse entsprechend Security-Wert und Computing-Prozess unterschiedlich aufteilen. Hochsensible Informationen wie persönliche Daten oder produktionsrelevante Details behält man vielleicht lieber komplett im Haus, andere Workloads verschiebt man auf Infrastrukturen unterschiedlicher Anbieter.

Tatsächlich geht die Systematik des verteilten Risikos im Angriffsfall zwar auf – nur bringt die heterogene Struktur auch mit sich, dass potenziell die Angriffsoberfläche größer wird und Sicherheitslücken an den Schnittstellen entstehen. Laut Gartner werden 75 Prozent der Unternehmen bis 2020 Hybrid- oder Multi-Cloud-Lösungen eingeführt haben. Und somit wird IT-Security in der Cloud zum Problem der Masse.

Dynamik der Cloud

Selbstverständlich verfügen AWS, Azure und Co. über eine native Sicherheitsstruktur. Allerdings setzt jeder Anbieter sein eigenes System auf. In der Hybrid Cloud müssen sie aber alle im gleichen Takt schlagen. Das setzt die genaue Kenntnis der und Erfahrung zu den jeweiligen Cloud-Security-Strukturen voraus.

Hinzu kommt die Dynamik der Plattformen, die sich durch zahlreiche Updates kontinuierlich weiterentwickeln. Wer hier am Ball bleiben will, hat keine Zeit mehr für andere Themen. Die Cloud stellt hier ein spezielles Szenario dar. Ihre Vorteile, etwa die Flexibilität und ihre Fähigkeiten zur Verarbeitung großer Datenmengen, bergen auch neue Risiken.

Ganz grundsätzlich erfordert Cloud Computing entsprechendes Know-how, um die Vorteile der Technologie auch wirklich nutzen zu können. Noch mehr trifft das auf den Aspekt der Sicherheit zu: Schutzmaßnahmen für klassische IT-Strukturen können mit der Agilität und Geschwindigkeit der Cloud nicht mithalten. In der Cloud werden Security-Maßnahmen eingesetzt, die maßgeblich von den Bestimmungen der jeweiligen Anbieter abhängen und sich damit unterscheiden. Und: Die in der Cloud installierten Workloads sichert der Anwender selbst.

So entwickeln sich etwa ungesicherte APIs zu einem der größten Risiken in der Cloud. Hinzu kommen Gefahren wie fehlerhaftes Identity- und Access-Management. Noch gefährlicher: Gerade gewachsene, unübersichtliche IT-Infrastrukturen, die eigene Elemente mit denen verschiedener Akteure kombinieren, erweisen sich als besonders komplex in der Absicherung. Denn wer nicht weiß, was er hat, kann es auch nicht schützen.

Experten hinzuziehen

Wer eine Hybrid-Cloud-Plattform absichern will, muss Augen und Ohren an vielen Plätzen gleichzeitig haben und dabei noch mehrere Bälle jonglieren. Ein klarer Fall für den Profi also. Hinzu kommen hohe Kosten, die für das IT-Security-Management von Hybrid Clouds anfallen. Ein Managed Service Provider kann Aufwand und Kosten für Unternehmen minimieren, da er über das notwendige Fachwissen verfügt, Clouds auf effiziente Weise zu schützen.

Hingegen ist die Kostenbelastung für Unternehmen, die aus Eigenmitteln die Hybrid Cloud absichern, hoch: Sie müssen sowohl das Budget für die Technologie als auch das Personal einplanen.

Ein kompetenter Berater unterstützt schon bei der Auswahl der richtigen Cloud, um Sicherheit, Leistung und Zuverlässigkeit zu optimieren. Darüber hinaus bietet er das Fachwissen für den Aufbau und das Management der Cloud-Umgebung gemäß der erforderlichen Sicherheits- und Compliance-Richtlinien.

Der Blick aufs große Ganze

Ein Ziel sollte es deshalb sein, so viele Sicherheitsmaßnahmen wie möglich zu automatisieren. Eine komplette Automatisierung wird aber nicht gelingen – ebenso wenig wie ein einzelner Verantwortlicher alles im Blick behalten kann. Ein erfahrener Partner leistet an dieser Stelle Unterstützung, um die komplexen Herausforderungen, die sich vor allem bei der Absicherung von Hybrid- und Multi-Cloud-Umgebungen bieten, zu meistern und gleichzeitig die Wertschöpfung zu beschleunigen. Denn jedes Unternehmen hat eine individuelle Cloud-Strategie und folglich auch ganz eigene Bedürfnisse beim Thema Sicherheit. Der Bedarf für externe Hilfe ist groß. Kompetente Managed Service Provider bieten deshalb bereits eigene Service-Pakete für Cloud-IT-Security an.

*Über den Autor: Heinz Bruhn ist Solution Director Cloud & Managed Services bei Rackspace.

(ID:46404141)