Foto: LeoWolfert - shutterstock.com
Die Cloud-Transformation ist bei vielen Organisationen in vollem Gang - dabei setzt ein Großteil der Unternehmen auf hybride Modelle: 42 Prozent der von uns Befragten nutzen aktuell eine hybride IT-Architektur, 15 Prozent befinden sich im Prozess der Implementierung einer solchen und weitere 15 Prozent planen, in Zukunft eine hybride Architektur einzusetzen. Unternehmen, die bislang auf Cloud-Dienste verzichten, tun dies aufgrund von Sicherheitsbedenken. Wie gelingt also die sichere Einführung der Cloud?
Cloud Provider sichert die Infrastruktur, Kunde sorgt für Daten-Verschlüsselung
Anbieter von Cloud-Diensten kennen die Anforderungen, die an Sicherheitsteams gestellt werden, und wissen, dass die Sicherheit oft ein Hindernis für die Einführung der Cloud darstellt. Beliebt ist daher der Ansatz der geteilten Verantwortung. Hierbei werden die Verantwortlichkeiten auf Kunde und Dienstleister aufgeteilt. Dabei trägt der Anbieter des jeweiligen Cloud-Dienstes beispielsweise die Verantwortung für die Infrastruktur und der Kunde verantwortet die Erkennung riskanter Konfigurationen.
Lesetipp: Die 5 häufigsten Multi-Cloud-Mythen
Die Annahme, dass sich der Cloud Provider komplett um die Sicherheit kümmert, trifft nicht vollständig zu. Er kümmert sich zwar um den Betrieb und die Instandhaltung der Infrastruktur und richtet hierbei wichtige Security-Funktionen ein, allerdings ist der Kunde für die Daten und Systeme in der Cloud selbst verantwortlich. Erfahrene Teams wissen, dass der Bereich Identitätsmanagement einschließlich Multi-Faktor-Authentifizierung und Verschlüsselung im Aufgabenbereich des Unternehmens selbst liegt.
Gefordert ist dediziertes Cloud-Security-Wissen
Im Zuge der Motivation von Sicherheitsteams, Cloud-Transformations-Projekte besser unterstützen zu wollen, wächst auch das Verständnis, dass diese Teams ihre Fähigkeiten und ihr Fachwissen zu Cloud-Plattformen und Anwendungssicherheit erweitern müssen. Viele Organisationen fordern dieses Wissen innerhalb der bestehenden Team-Strukturen ein, anstatt neue Teams zu bilden. Das ermöglicht es ihnen, Cloud-Sicherheit als eine weitere Domäne in bestehende Prozesse wie Risikomanagement, Reaktion auf IT-Sicherheitsvorfälle und Sicherheitsarchitektur aufzunehmen. Der Schwerpunkt liegt hier verstärkt auf dem Identitäts- und Zugriffsmanagement, auf der Verschlüsselung und auf Compliance-Aspekten.
Organisationen, die ihre Cloud-Transformation absichern wollen, sollten sich überlegen, eine Vielzahl von Initiativen auf verschiedenen Ebenen innerhalb der Organisation und über mehrere technische und organisatorische Dimensionen hinweg in Betracht zu ziehen:
Betrachten Sie die Cloud-Transformation als wichtige strategische Initiative und treiben Sie sie dementsprechend voran. Dazu gehören die Neuausrichtung von Anreizen und Risikomanagement-Verantwortlichkeiten zwischen den Teams sowie die Unterstützung der Beteiligten mit den erforderlichen Fähigkeiten und Tools.
Die Auswahl, welche Projekte oder Anwendungen Sie migrieren müssen, sollte als zentraler Aspekt des Applikationslebenszyklus und der zugrunde liegenden Abhängigkeiten betrachtet werden.
Es ist unbedingt notwendig, die Zusammenarbeit zwischen Sicherheits- und Ingenieurteams aufeinander abzustimmen, um Pläne, Fristen und Ziele entsprechend zu kommunizieren.
Sicherheitsteams sollten mit Cloud-Engineering- und Architektur-Teams zusammenarbeiten, um beispielsweise Bedrohungsmodelle zu implementieren und Sicherheitskontrollen in Engineering-Workflows zu integrieren.
Die sichere Cloud - technisch machbar
Die sichere Cloud-Transformation sollte im Rahmen bestehender Prozesse erfolgen, wobei die Bemühungen auf der Verbesserung bestehender Prozesse, Technologien und auch der Mitarbeiterskills ausgerichtet sein sollten - nur so können Organisationen schnell auf die aktuellen technologischen Anforderungen reagieren. Und wer nicht jetzt reagiert, wird abgehängt, denn Cloud-Lösungen bieten einen echten Wettbewerbsvorteil.
Lesetipp: Wie RSA digitale Zugänge absichert