Jakub Jirsák - stock.adobe.com
Wie lässt sich Sicherheit in der Multi Cloud gewährleisten?
Die Nutzung von Multi-Cloud-Umgebungen wird immer mehr zum Normalfall. Das Durchsetzen von Sicherheitsrichtlinien bleibt dabei häufig eine Herausforderung.
Die größte Herausforderung bei der Umsetzung der Sicherheit für Multi-Cloud-Umgebungen liegt meist darin begründet, wie es in Unternehmen überhaupt zur Multi-Cloud-Nutzung gekommen ist. Die meisten Unternehmen begannen ihre ersten Cloud-Aktivitäten häufig zunächst nur mit einem einzigen Cloud-Anbieter. Oftmals handelte es sich dabei um einen IaaS-Anbieter (Infrastructure as a Service). Zu diesem wurden dann Anwendungen und gespeicherte Daten in die Cloud ausgelagert.
Mit wachsendem Angebot und dem gelernten Komfort der feil gebotenen Dienste wanderten immer mehr Anwendungen und Daten aus den unternehmenseigenen Rechenzentren in die Cloud. Dann haben sich auch immer SaaS- und PaaS-Angebote (Software as a Service, Platform as a Service) durchgesetzt. Und schon hat die IT-Sicherheit ein nicht unerhebliches Problem. Auf einmal befinden sich die Unternehmensressourcen in mehreren Cloud-Umgebungen von Drittanbietern. Und jede dieser Umgebungen hat meist ihre eigenen Spielregeln in Sachen Security. Insbesondere die Durchsetzung von Sicherheitsrichtlinien wird häufig unterschiedlich verwaltet. Und das macht es für Administratoren so schwierig, eine einheitliche Multi-Cloud-Sicherheitsrichtlinie durchzusetzen.
Dabei ist es vielen Unternehmen längst klar geworden, dass es in Sachen Ausfallsicherheit vermutlich nicht die beste Idee war, sich auf einen einzigen IaaS-Anbieter zu verlassen. Trotz Cloud-Infrastrukturen mit mehreren integrierten Redundanzschichten kann es zu Ausfällen kommen. Aus Sicht der Datenkontinuität entscheiden sich IT-Architekten daher für den Ansatz, die Anwendungen und Daten auf mehrere Cloud-Provider zu verteilen.
Eine durchgängige Sicherheitsrichtlinie durchsetzen ist schwierig
Diese Vorgehensweise veranlasst die IT-Sicherheitsteams dazu, die Sicherheitsrichtlinien so zu verwalten, als ob jeder Cloud Provider eine eigene Einheit wäre. Das macht es jedoch nahezu unmöglich, einen umfassenden Sicherheitsansatz umzusetzen, der sowohl interne als auch Cloud-Ressourcen abdeckt.
Die stückweise Zusammenstellung einer Ende-zu-Ende-Sicherheitsrichtlinie, die mehrere Cloud-Umgebungen umfasst, kann für einige Unternehmen durchaus funktionieren. Das mag für einen begrenzten Zeitraum klappen, ideal ist diese Lösung aber meist nicht. Zum einen ist es schwierig, bei einem solchen Multi-Cloud-Ansatz die Skalierbarkeit zu erhalten. Irgendwann wird es sehr unübersichtlich, dies zu realisieren. Zudem birgt die Wahrscheinlichkeit, dass sich in einigen Cloud-Umgebungen Sicherheitslücken auftun, ein enormes Risiko für die Gesamtsicherheit.
Der effizientere Ansatz ist die Entwicklung beziehungsweise Nutzung eines Frameworks, dass es dem Sicherheitsteam erlaubt, separat kontrollierte Umgebungen, so einheitlich zu verwalten, als wäre es eine einzige. Neue Tools entstanden zur Verwaltung von Multi-Cloud-Umgebungen sowie Analyseplattformen in Sachen Netzwerksicherheit.
Diese Lösungen bieten Administratoren die Möglichkeit, Sicherheit effizient zentral zu verwalten und erlauben ihnen dennoch tiefe Einblicke in die Konfigurationen. Und zwar unabhängig davon, wo sich die kritischen Anwendungen und Daten befinden.
Unternehmen, die erst jetzt in Sachen Multi Cloud aktiv werden, können diese Tools von Anfang an einsetzen. So lässt sich die notwendige Sicherheitsgrundlage von Beginn an umsetzen. Für Unternehmen, die bereits seit längerem das Thema Multi Cloud leben, besteht die Chance, ihre Sicherheitsrichtlinien und Frameworks auf die neuen Tools zu migrieren, um die Verwaltung effizienter zu gestalten.