Aufrufe
vor 2 Wochen

Netzwoche 10/2019

38 XXXXXXXXXXX

38 XXXXXXXXXXX XXXXXXXXXXXX Illustration: a-image / shutterstock FOCUS MULTI-CLOUD Wo die Multi-Cloud einen Schatten wirft jor. Cloud-Anbieter wetteifern derzeit mit zwei Ansätzen um die Gunst ihrer Unternehmenskunden. Jene, die auch Hardware verkaufen, werben mit der Hybrid Cloud, also mit einer Mischung aus On-Premise-Systemen und Cloud-Diensten. Wer hingegen auf die Multi-Cloud setzt, will die Angebote mehrerer Cloud-Provider unter einen Hut bringen. Die Idee dahinter ist simpel: Wer mehr als einen Cloud-Dienst im Angebot hat, ist sicherer unterwegs. Denn so vermeidet man einen Vendor Lock-in und hat mehr Optionen für Back-ups. Allerdings sind Hybrid- und Multi-Cloud-Umgebungen komplex. Deswegen hat jede Multi-Cloud-Strategie auch ihre Schattenseite. Das Risikomanagement in solchen Systemen ist anspruchsvoller als in einer Single-Cloud. Es braucht neue Methoden zur Absicherung der Netzwerke, wie Markus Limacher von Infoguard auf Seite 39 schreibt. Wer auf Multi-Cloud setzt, muss zudem mit multiplen Datenschutzherausforderungen rechnen: Je mehr Beteiligte, desto schwieriger wird die Löschung von Daten, wie Datenschutzexpertin Ursula Uttinger auf Seite 40 erklärt. Matthias Oswald, Geschäftsführer von iWay, räumt auf Seite 41 mit den falschen Vorstellungen auf, die in den Pitches für die Multi-Cloud mitschwingen. Unternehmen sollten sich bewusst sein, dass sie mit einer Multi-Cloud-Umgebung keine IT-Kosten sparen können. Denn mit mehreren Clouds brauchen Unternehmen nicht weniger, sondern mehr Fachwissen. Trotz aller Tücken: Hybrid- und Multi-Cloud-Ansätze setzen sich durch. Schon in wenigen Monaten gälten diese Ansätze als Standard, sagt Oliver Gilbert, Informatikdozent an der HSLU, im Interview ab Seite 42. Gilbert erläutert, für wen sich der Schritt lohnen könnte und was es bei der Umsetzung zu beachten gilt. 10 / 2019 www.netzwoche.ch © netzmedien ag

Technology Focus 39 Sicherheitsherausforderung «Hybrid Cloud» Eine Multi-Cloud-Strategie kann einen wichtigen Beitrag zur Innovation und Wertschöpfung leisten. Dazu müssen Unternehmen jedoch sicherstellen, dass die richtigen Massnahmen ergriffen werden und die Kontrolle über die Cloud bewahrt bleibt. Unternehmen setzen zunehmend auf Multi-Cloud- und Hybrid-Cloud-Strategien. Gemäss dem «2019 State of the Cloud Survey» von Rightscale nutzen 84 Prozent der Unternehmen eine Multi-Cloud-Strategie. Die Nutzung mehrerer Cloud-Plattformen kann dabei erhebliche betriebliche und wirtschaftliche Vorteile bringen. Jedoch darf die Sicherheit nicht ausser Acht gelassen werden. Bei der Cybersecurity in der hybriden Cloud geht es in erster Linie um das Management von Risiken. Cloud Computing (insbesondere Hybrid Cloud) nutzt Application Programming Interfaces (APIs), neue Datenflüsse, komplexe Netzwerkkonfigurationen etc. Diese Faktoren führen zu neuen Arten von Bedrohungen. Hybrid- und Cloud-Umgebungen sind aber nicht mehr oder weniger sicher als interne Infrastrukturen. Jedoch muss ein komplexes System wie eine Hybrid Cloud bewirtschaftet werden, was neue Werkzeuge und Verfahren erfordert. Die klassische Absicherung der Netzwerkumgebung reicht dabei nicht aus. Multi-Cloud-Sicherheit geht nur gemeinsam Für Sicherheitsverantwortliche bedeutet dies neue Herausforderungen, zumal auch die Compliance-Anforderungen immer strenger werden. Diese Aufrechterhaltung und der Nachweis der Compliance kann mit einer hybriden Cloud schwierig sein. So gilt es nicht nur sicherzustellen, dass On-Premise, Public Cloud und Private Cloud Compliance-konform sind. Es muss auch nachgewiesen werden, dass die Koordinationsmöglichkeiten zwischen den beiden Clouds gewährleistet und sicher sind. Um Multi-Cloud-Umgebungen effektiv abzusichern, ist ein plattformunabhängiger und standardisierter Sicherheitsansatz erforderlich. Dabei gilt ein wichtiges Prinzip: die gemeinsame Verantwortung. Bewährt hat sich hier das Shared-Responsibility-Modell, wonach der Cloud-Service-Provider für die «Sicherheit der Cloud» zuständig ist und der Kunde für die «Sicherheit in der Cloud». Der Provider und der Kunde teilen sich dabei die Zuständigkeiten auf, wobei der Provider für den Betrieb sowie die Sicherheit der physischen Umgebung zuständig ist und der Kunde für die logische Umgebung. Herausforderung Workload-Portabilität und Mandantenfähigkeit In der Cloud sind nicht nur die klassischen Angriffsszenarien relevant, sondern auch die Herausforderungen durch die Workload-Portabilität sowie die Mandantenfähigkeit. Insbesondere Workloads erfordern dabei Sicherheitsstrategien, die den sich ständig weiterentwickelnden und wachsenden Bedrohungen gerecht werden. Das einfache Starten neuer Workloads stellt einen wesentlichen Vorteil der Hybrid Cloud dar, birgt aber auch sicherheitstechnische Herausforderungen. So ist es problemlos möglich, Workloads auf verschiedene Plattformen und Umgebungen – von lokalen bis hin zu privaten und öffentlichen Infrastrukturen – zu verschieben und zu betreiben. Traditionelle Sicherheitsansätze stossen dabei an ihre Grenzen; nicht zuletzt durch die Nutzung von Containern und Mikroservices. Für Unternehmen, die DevOps einsetzen, kann dies besonders schwierig sein. Sicherheit in einen Ansatz zu integrieren, der sich auf schnelle Entwicklung und Bereitstellung konzentriert, ist eine Herausforderung. Viel zu schnell wird dabei die Sicherheit «übersehen», wenn es darum geht, enge Zeitpläne einzuhalten. Der Schlüssel hier lautet Defense-in-Depth Security: Diese bietet einen Überblick über den gesamten Lebenszyklus der Anwendung, des Workloads oder der Software. Darüber hinaus sind bei der gemeinsamen Nutzung von Clouds zusätzliche Anforderungen bezüglich Cybersecurity und Datenschutz zu beachten. So müssen die Daten der verschiedenen Nutzer getrennt bleiben, auch wenn die IT-Ressourcen wie Speicherkapazitäten und Rechenleistung gemeinsam genutzt werden. Konkret umsetzen lässt sich dies mit einem entsprechend fein gegliederten Berechtigungssystem und einer jeweils getrennten Verschlüsselung. Zudem dürfen sich Verfügbarkeitsprobleme wie beispielsweise ein Datenverlust oder Sicherheitsmängel bei einem anderen Mandanten nicht auf das eigene Unternehmen auswirken. Unternehmen sollten sich jedoch nicht abschrecken lassen von den vielen Herausforderungen. Werden diese berücksichtigt, bieten Hybrid- und Multi-Cloud-Umgebungen grosses Potenzial, die Unternehmen nutzen sollten. DER AUTOR Markus Limacher Head of Security Consulting, Infoguard Um Multi-Cloud-Umgebungen effektiv abzusichern, ist ein plattformunabhängiger und standardisierter Sicherheitsansatz erforderlich. www.netzwoche.ch © netzmedien ag 10 / 2019

Archiv