Foto: Jirsak - shutterstock.com
Laut einer Studie des Marktforschungsunternehmens IDC von 2018 führte der Weg vieler Unternehmen unweigerlich in die Cloud. Für 90 Prozent der Befragten war sie ein Bestandteil der Unternehmens- und/oder IT-Strategie. Als größte Herausforderung identifizierten sie hier die Nutzung von Multi-Clouds – also die parallele Verwendung verschiedener Cloud-Dienste.
Eine weitere, aktuelle Studie von Fortinet und IHS-Markit zeigt, dass fast drei Viertel der befragten Unternehmen zum Teil Anwendungen aus der Public Cloud wieder in ihre eigenen Infrastrukturen zurückgeholt haben.
Dass sie Anwendungen aus der Cloud zurückholen, bedeutet jedoch nicht, dass sie die Public Cloud nicht mehr einsetzen. Vielmehr geht der Trend dahin, verschiedene Umgebungen parallel zu nutzen und ganz nach Bedarf zwischen Public Clouds, Private Clouds und On-Premises-Installationen hin und her zu wechseln.
Bidirektionale Bewegung
Unternehmen führen verschiedene Gründe an, warum sie mit der Cloud keine Einbahnstraße fahren, sondern bei Bedarf eine Rückhol-Aktion starten. Mit jeweils 52 Prozent stehen Sicherheitsbedenken und mangelnde Performance in der Cloud an erster Stelle für den Rückzug auf lokale Infrastrukturen.
40 Prozent der Befragten gaben an, dass sie die Cloud-Installation von vornherein nicht langfristig angelegt hatten. In Fällen von Fusion oder Übernahme kann das der Fall sein, etwa um eine temporäre Infrastruktur während dieser Zeit einzurichten. Darüber hinaus spielen viele weitere Faktoren eine Rolle, wie Kosten-Management, neue Regularien, die Entwicklung neuer Anwendungen und Änderungen der zugrunde liegenden Technologien.
Unternehmen, die Applikationen in der Cloud betreiben sowie Technologieanbieter, die sie dabei mit Infrastruktur, Management und Security unterstützen, müssen hier weiterdenken.
So müssen sie ihre Produkte und Dienstleistungen so gestalten, dass sie sich reibungslos verschieben lassen und in unterschiedlichen Umgebungen parallel laufen können. Ihre Tools und Technologien sollten in verschiedenen Public Clouds, Private Clouds sowie lokalen Infrastrukturen konsistent funktionieren. Mehr noch: Optimalerweise laufen Vorgänge in der Cloud automatisiert. Was bei Applikationen und DevOps Standard ist, gestaltet sich in der Security aber deutlich komplizierter.
Cloud-Security ist komplex
Eine der größten Herausforderungen in einem solch dynamischen Umfeld besteht darin, zu wissen, wer für welches Element der Sicherheitskette verantwortlich ist. Häufig herrscht hier Unklarheit. So wusste nur etwa die Hälfte der befragten Unternehmen, wer für eine Schwachstelle in der Virtualisierungs-/Cloud-Plattform zuständig ist. In diesem Fall wäre das der Anbieter, der die Plattform entwickelt oder implementiert hat.
Umgekehrt gingen viele Studienteilnehmer davon aus, dass ihr Cloud-Provider in der Verantwortung steht bei Bedrohungen, die sich auf ihre in der Cloud eingesetzten, verwundbaren Systeme auswirken, beispielsweise Advanced Persistent Threats (APTs). Für diese sind sie aber selbst verantwortlich.
Hier herrscht das Prinzip der geteilten Verantwortung: Der Cloud-Provider ist für die Absicherung der Cloud-Infrastruktur zuständig, der Kunde für die Sicherheit der Daten und Anwendungen, die er in dieser Infrastruktur betreibt. Die Trennlinie ist jedoch häufig unscharf, insbesondere im Bereich Platform-as-a-Service (PaaS) und Function-as-a-Service (FaaS). Für Unternehmen lohnt es sich daher, für jeden Cloud Service, den sie nutzen, auf erprobte Best Practices zurückzugreifen. Erwartungen an ihren Cloud-Anbieter in puncto Security sollten sie herunterschrauben. Dieser stellt lediglich die Arbeitsumgebung bereit, um diese Services zu betreiben.
Security über Cloud-Grenzen hinweg
Unternehmen stoßen häufig auch dann an ihre Grenzen, wenn sich Security Tools, -Funktionen, -Richtlinien und -Protokolle nicht problemlos von einer Umgebung in die andere übertragen lassen. Doch eine Sicherheitslösung neu zu implementieren und zu überprüfen, bedeutet erhöhten Aufwand für das IT-Personal, der oft kaum allein zu stemmen ist. Insbesondere dann, wenn Arbeitsabläufe, Anwendungen und Daten validiert und gesichert werden müssen, während sie sich zwischen verschiedenen Umgebungen bewegen.
Um diese Herausforderung zu bewältigen, sollten Unternehmen ihre Security-Lösungen standardisieren und integriert von einem erfahrenen Anbieter beziehen. Der Hersteller der Wahl sollte Tools anbieten, die konsistent in möglichst vielen Public Clouds, Private Clouds und physikalischen Umgebungen funktionieren. Um keine Einbußen an Effektivität zu erleiden, sollten diese Lösungen nativ in den verschiedenen Public-Cloud-Umgebungen laufen. Eine Art Cloud-Objekte-Abstraktions-Schicht hilft dabei, Richtlinien, Funktionen und Protokolle nahtlos zwischen den verschiedenen Umgebungen zu übersetzen. Auf diese Weise funktioniert das bestehende Security-Modell auch in einer vielfältigen und dynamischen Umgebung.
Den Weg in die dynamische Multi-Cloud sichern
Die dynamische Multi-Cloud hat sich durchgesetzt. Ökonomisches Kalkül, Regularien, Übernahmen oder Performance-Unterschiede sind nur einige der Gründe, die nach flexiblen Cloud-Modellen verlangen. Einer der größten Faktoren ist unter anderem die Security. Die dynamische Multi-Cloud stellt Unternehmen hier vor Herausforderungen, denn die Zuständigkeiten sind komplex und mit neuartigen As-a-Service-Anwendungen unscharf geworden. Der Wechsel zwischen Public Clouds, Private Clouds und On-Premises ist eine Herausforderung, da sich viele Elemente nicht einfach von einer Umgebung in die andere übertragen lassen. Hier lohnen sich standardisierte Security-Lösungen aus einer Hand, die nativ in verschiedenen Cloud-Umgebungen laufen, Policies konsistent umsetzen und sich nahtlos an Veränderungen anpassen, wenn sich das Netzwerk weiterentwickelt.