Viele denken an die Cloud als eine nützliche, aber sicherheitstechnisch unreife Technologie, die daher in Großunternehmen mit komplexen Security- und Compliance-Vorgaben nicht eingesetzt werden kann. Diese Gedanken sind - aufgrund des relativ neuen Funktionsprinzips der Cloud - auch völlig nachvollziehbar. Denn in einem reinen public Cloud-Szenario werden Daten und Applikationen zwischen physischen Servern und möglicherweise mehreren Standorten des jeweiligen Anbieters hin- und hergeschoben. Das hört sich tatsächlich alles andere als sicher an.
IBM Cloud Pak for Security - Quelle: IBM Seismic
Doch es gibt eine Reihe von Tools, die es möglich machen, auch Cloud-Umgebungen mit den höchsten Sicherheitskapazitäten zu bewaffnen. Die wichtigsten Aspekte der Security, die dabei zu beachten sind:
- Die Sicherheit der Daten und Systeme
- Laufendes Monitoring der Security-Systeme
- Echtzeitbenachrichtigungen über ungewöhnliche Aktivitäten und Zugriffe (Events)
- Tools zur Behandlung und Nachverfolgung solcher Events
Auch wenn diese Tools zur Verfügung stehen, gibt es zusätzliche Sicherheitsmaßnahmen, die man anwenden sollte, um umfassenden Schutz in seinen Cloud-Umgebungen zu gewährleisten. Da die Cloud auf dem Prinzip der Vernetzheit beruht, müssen Daten nicht nur innerhalb der "eigenen vier Wände" (also des sogenannten Perimeters) geschützt werden, sondern auch außerhalb dieser. Und das gilt gleichermaßen in einem private Cloud-Szenario wie in einer public Cloud.
Schwachstellen sind oft unzureichende Identity and Access Konzepte und unverschlüsselte Daten. Mit den entsprechenden Tools, wie beispielerweise Multi-Factor Authentifizierung sowie dem Einsatz der neuesten Verschlüsselungstechnologien können diese Lücken aber schnell und sicher geschlossen werden.
Wenn es um Sicherheit geht, liegt die Antwort aber eigentlich in der Wahl der richtigen Cloud-Strategie. Denn sowohl die public, als auch die private Cloud haben ihre eigenen Vorteile (und Nachteile). Um sicherzustellen, dass Ihre Daten und Applikationen immer dann und dort zur Verfügung stehen, wo Sie sie haben wollen, und dass Zugriffssysteme auch ganz nach Ihren unternehmerischen Vorgaben gehandhabt werden, ist in den meisten Fällen eine Hybrid-Multicloud Strategie die zielführende Lösung.
In solch einer Aufstellung bleiben Ihre sensitiven Daten immer in Ihrem eigenen Rechenzentrum, also in der private Cloud. Weniger sensitive Daten und Applikationen können Sie jederzeit in die public Cloud schieben, womit Flexibilität und Compliance gewahrt bleiben.
Dafür müssen aber Ihre Workloads zwischen den verschiedenen Cloud-Anbietern portabel sein. Obwohl jeder Cloud Provider Informationen zur Handhabung sicherheitstechnischen Anforderungen und zu seinem SLA öffentlich zugänglich machen muss, können diese Policies über die Zeit durchaus geändert werden. Falls eigene Applikationen in der Cloud gehalten werden sollen, ist eine cloud-native Architektur sinnvoll, um diese langfristig portabel halten zu können und dadurch auch Vendor Lock-in zu vermeiden.
Mehr zum Cloud-Native Ansatz erahren Sie in einem späteren Blogbeitrag.
Wie unser Blogbeitrag auch zeigt, ist die Cloud nur in dem Fall unsicher, wenn ihr Einsatz nicht entsprechend geplant wird. Die Kenntnis der regulatorischen und unternehmenseigenen Sicherheitsvorgaben, die Anwendung der richtigen Tools zur Einhaltung dieser, eine entsprechende Anwendungsarchitektur sowie laufendes Monitoring sind nötig, die Cloud vollständig sicher und flexibel nutzen zu können.
Wollen Sie mehr über die Cloud erfahren? Folgen Sie uns auf Social Media und verpassen Sie nicht die kommenden Folgen unserer "Cloud-Myths Uncovered" Reihe!