Sicherheit zwischen Cloud und On-Premises

Sicherheitsrichtlinien für hybride IT-Strukturen

| Autor / Redakteur: Mav Turner* / Peter Schmitz

Egal ob eine IT-Abteilung die Cloud erst testet, oder schon mit einer hybriden IT-Umgebung arbeitet, die Sicherheitsrichtlinien und Kontrollen müssen darauf abgestimmt sein.
Egal ob eine IT-Abteilung die Cloud erst testet, oder schon mit einer hybriden IT-Umgebung arbeitet, die Sicherheitsrichtlinien und Kontrollen müssen darauf abgestimmt sein. (Bild: Pixabay / CC0)

Die hybride IT ist in ihrem Kern komplex – IT-Infrastruktur und Anwendungen werden lokal ausgeführt - im eigenen oder einem gehosteten Rechenzentrum in Verbindung mit den Komponenten in der Cloud. Es ist eine Mischung aus Diensten, die komplett dem internen Team gehören und von diesem verwaltet werden, sowie Diensten, deren Besitz und Verwaltung vollständig bei einem Drittanbieter liegen.

Im jüngsten SolarWinds IT Trends Report (2016), gaben 85 Prozent der befragten IT-Experten an, dass der Einsatz von Cloud-Technologien für den langfristigen Geschäftserfolg ihres Unternehmens wichtig sei. Das mag darauf hinweisen, dass einmal alles in der Cloud stattfinden wird. Die Realität sieht jedoch eher so aus, dass die Cloud nur ein Bestandteil der IT-Gesamtstrategie sein wird, ohne dass man in naher Zukunft – oder jemals – seine ganze Infrastruktur in die Cloud verlagern wird. In dem genannten Bericht hielten es auch 80 Prozent für unwahrscheinlich, dass die gesamte Infrastruktur ihres Unternehmens jemals in die Cloud migriert werden würde.

Unklare Sicherheitsrichtlinien für hybride IT

Daher sollten IT-Administratoren ihre Sicherheitsrichtlinien analysieren und dahingehend weiterentwickeln, dass sie einer Umgebung mit gemischten Besitzverhältnissen Rechnung tragen. Eine der Schlüsselkomponenten dieses Modells mit gemischten Besitzverhältnissen ist Software-as-a-Service (SaaS). SaaS ist eine Methode zur Bereitstellung von Software, bei der sich der Benutzer der Software keine Gedanken über die zugrundeliegenden Details der Anwendung oder Infrastruktur machen muss. Er nutzt lediglich den angebotenen Dienst, wie E-Mail oder CRM. Auf ähnliche Weise stellt normalerweise die IT im Unternehmen Anwendungen als Dienst bereit, und oft werden diese mit der Abteilung oder dem Geschäftsbereich, die bzw. der sie nutzen, monatlich oder vierteljährlich abgerechnet. In den vergangenen 10 Jahren ist das öffentliche SaaS zum Massenmarkt geworden. Somit müssen wir uns in der IT nun noch weniger Gedanken machen, wie wir unsere Anwendungen dem Benutzer nahebringen. Es liegt auf der Hand, dass hierbei auch Herausforderungen entstehen.

Falls ein Problem mit der Infrastruktur oder den Anwendungen auftritt, die der IT-Administrator für die Bereitstellung seines Dienstes benötigt, in deren Besitz er aber nicht ist, bleibt ihm nichts anderes übrig, als ein Ticket zu öffnen und auf Support zu warten, genau wie jeder andere. Einige Maßnahmen kann er zwar ergreifen –sicherstellen, dass die interne Infrastruktur funktioniert oder der ISP im nächsten Hop keine Probleme hat –, aber das war's dann auch.

Die größte Herausforderung der hybriden IT: Verantwortung ohne Kontrolle

Und natürlich ist das nicht nur ein Problem, wenn es darum geht, die Verfügbarkeit sicherzustellen. Das klassische Sicherheitsmodell von Vertraulichkeit, Integrität und Verfügbarkeit stellt sich in einer hybriden IT-Welt ganz anders dar. Per Definition greift die hybride IT auf Daten zu, die sich im eignen Rechenzentrum befanden, und gibt sie über das Internet weiter. Wie kann der IT-Administrator die Vertraulichkeit sicherstellen, wenn die Daten in die Anwendung eines Anbieters eingegeben und dann weltweit an Datencenter mit unterschiedlichen lokalen Bestimmungen zur Datensicherheit gesendet werden? Eine Verschlüsselung auf Anwendungsebene bei der Übertragung, in der Regel TSL, kann hilfreich sein. Doch nur, weil die Daten sicher übertragen wurden, heißt das noch nicht, dass sie auch sicher aufbewahrt werden.

Dasselbe gilt für die Integrität der eigenen Daten. Wie kann man sicherstellen, dass die Daten, über die man keine Kontrolle mehr hat, nicht geändert werden? Selbst bei durchweg lokalen Bereitstellungen ist es selten so, dass IT-Abteilungen über ein Programm verfügen, mit dem sie die Integrität der von ihnen gespeicherten Daten sicherstellen und überwachen können. Fairerweise muss gesagt werden, dass es wesentlich einfacher ist, Meldungen zu Datenverletzungen bei lokalen Bereitstellungen zu finden als bei einer öffentlichen Cloud oder SaaS-Anbietern. Es geht jedoch nicht um die Argumentation, dass privat sicherer ist als öffentlich oder hybrid, sondern darum, dass das IT-Team als Lieferant oder Verbraucher dieser Dienste wissen muss, wie die Vertraulichkeit und Integrität ihrer Daten gehandhabt wird.

Bereitstellungsmerkmale von cloudbasierten Diensten

Ein weiteres Sicherheitsproblem bei der hybriden IT hängt damit zusammen, an welchem Ort bestimmte Komponenten einer Anwendung in der Cloud bereitgestellt werden. Zum Beispiel in einem Datenbankdienst oder Nachrichten-Warteschlangendienst. Damit beginnen viele IT-Abteilungen, wenn sie ihre vorhandenen Anwendungen in die Cloud migrieren möchten, insbesondere Webdienste. Auch neue Netzanwendungen folgen diesem Pfad.

Bei dieser Vorgehensweise muss sichergestellt werden, dass die internen Sicherheitsprozesse einhalten werden. Zudem müssen diese Prozesse aktualisiert werden, sodass sie die besonderen Bereitstellungsmerkmale von cloudbasierten Diensten berücksichtigen. Es ist zum Beispiel einfach, eine DBaaS-Instanz (Database-as-a-Service) einzuführen und sofort einzusetzen. Aber genau so, wie man seinen Datenbankserver nicht direkt ins öffentliche Internet stellen würde, muss man sicherstellen, dass die Netzwerkrichtlinien dafür sorgen, dass nur die erforderlichen Server auf diesen Dienst zugreifen können.

An diesem Punkt geraten die meisten ins Stolpern. Bei DBaaS handelt es sich zum Beispiel nur um eine Komponente. Doch die Konnektivitäts- und Sicherheitsprobleme müssen auch weiterhin behoben werden, genau wie bei der Bereitstellung einer Datenbank im eigenen Rechenzentrum. Was die Dinge bei allem rund um „as-a-Service“ noch verkompliziert, ist die Tatsache, dass häufig eine sehr schnelle Bereitstellung erwartet wird, was meist zulasten der Sicherheit geht. Obwohl das Thema „Geschwindigkeit oder Sicherheit“ schon immer ein Problem war, wird es noch verschärft durch die spezielle Natur der Cloud: einfache Bereitstellung und Standort außerhalb des vorhanden Sicherheitsbereichs.

Mav Turner
Mav Turner (Bild: Solarwinds)

Unabhängig davon, ob sich eine IT-Abteilung gerade an die Cloud herantastet oder schon voll und ganz mit einer hybriden IT-Umgebung beschäftigt ist, die Sicherheitsrichtlinien und Kontrollen sollten klar auf eine IT-Umgebung mit verteilten und gemischten Besitzverhältnissen abgestimmt sein. Auf jeden Fall ist es an keinem Punkt je zu früh oder zu spät, um sicherzustellen, dass einen die Pläne für eine hybride IT in die Lage versetzen, sichere und zuverlässige Dienste bereitzustellen. Man sollte nur darauf achten, genau zu wissen, wie sich die eigene Infrastruktur, das Team und das Sicherheitskonzept dadurch ändern.

* Mav Turner ist Director Business Strategy, Security bei SolarWinds.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44543880 / Head Geeks Speech)