Sergey Nivens - stock.adobe.com

Eine Sicherheitsstrategie für die Multi Cloud entwickeln

Aus Security-Sicht ändert sich einiges beim Umstieg von einer singulären Cloud-Umgebung zu einer Multi-Cloud. Die Teams müssen sich mit vielen neuen Mechanismen auseinandersetzen.

Viele Unternehmen beginnen ihren Weg in die Cloud mit einer einzelnen größeren Cloud-Plattform wie AWS (Amazon Web Services), Microsoft Azure oder der Google Cloud Platform. Meist kommt aber dann irgendwann der Punkt, an dem zumindest die größeren Firmen realisieren, dass dieses singuläre Cloud-Modell einige Einschränkungen für sie mit sich bringt. Ein paar Beispiele:

  • Bedenken wegen Ausfallzeiten: Wenn ein größeres Problem bei einem einzelnen Cloud-Provider auftritt, kann sich das schnell zu einem ernsthaften Risiko für das gesamte Unternehmen auswirken, das auf den Zugang zu seinen Daten und Ressourcen angewiesen ist.
  • Sicherheit und Privatsphäre: In einer singulären Cloud-Umgebung gibt es viele Bedenken wegen der Sicherheit der Daten und ihrem Schutz. Das führt dazu, dass sie verschlüsselt werden müssen und dass die vorhandenen Sicherheitskontrollen genauer überprüft werden sollten.
  • Gefährdungen durch Cyberangriffe: Wenn eine singuläre Cloud-Umgebung Schwachstellen hat, hat das Auswirkungen auf jeden, der seine Daten oder Anwendungen dort untergebracht hat.

Andere Schwierigkeiten mit dem Single-Cloud-Modell basieren auf den reduzierten Möglichkeiten, um die eigenen Daten zu kontrollieren und um flexible Lösungen aufzubauen. Das liegt vor allem an den begrenzten Ressourcen und der Abhängigkeit von der jeweiligen Plattform. Diese und andere Probleme führen dazu, dass sich eine Reihe von Unternehmen verstärkt für Multi-Cloud-Strategien interessieren. Dabei können sie die jeweiligen Vorteile mehrerer unterschiedlicher Cloud-Anbieter nutzen und miteinander kombinieren. Die Frage ist aber, was ein solcher Schritt für die bisherige Sicherheitsstrategie bedeutet?

Eine Security-Strategie für die Multi Cloud

Die knappe Antwort auf die gestellte Frage ist, dass sich nahezu alles ändert, wenn Sie bisher auf traditionelle Netzwerkplattformen und Cloud-eigene Kontrollmechanismen vertraut haben, die von den jeweiligen Anbietern bereitgestellt werden. Aus Sicherheitsperspektive ändern sich zudem einige Kontrollmöglichkeiten. Manche der bislang genutzten Cloud-eigenen Techniken werden dabei vermutlich für Probleme sorgen.

Eine der größten Schwierigkeiten, wenn sich Unternehmen sehr stark auf einen einzigen Cloud-Anbieter konzentrieren, ist im Prinzip sehr einfach zu verstehen, aber trotzdem ein erhebliches Problem: Der sogenannte Vendor Lock-in, also die Festlegung auf einen einzelnen Anbieter. Wenn sich Unternehmen zu sehr auf die Nutzung bestimmter Cloud-spezifischer Sicherheitskontrollen wie die Security Groups in AWS oder die Network Security Groups in Azure verlassen, fällt es ihnen erheblich schwerer, zu einem Multi-Cloud-Modell zu wechseln. Das liegt daran, dass zwar dieselbe Art von Zugangskontrollen benötigt wird – aber eben in unterschiedlichen Cloud-Umgebungen.

Beziehen Sie deswegen folgende Überlegungen in Ihre Planungen mit ein, wenn Sie in Zukunft auf die Multi-Cloud setzen wollen.

  • Aufteilung der Aufgaben: Wer kümmert sich um das Design und den Aufbau der Cloud-Umgebung für jeden einzelnen Provider? In den meisten Unternehmen ist ein einziges Team für die gesamte Cloud-Infrastruktur verantwortlich. Das trifft aber nicht immer auf heterogene Firmen zu, die geografisch oder in anderer Form von Geschäftseinheiten stark unterteilt sind. Hier gibt es möglicherweise mehrere Abteilungen, die sich mit dem Thema Cloud befassen. In einer solchen Situation lässt sich nur schwer eine zentrale Steuerung erreichen. Das führt dazu, dass sich die traditionelle Verteilung von Rollen in diesen Unternehmen ändern sollte. Darüber hinaus stellt sich die Frage, wer für die Administration der unterschiedlichen Cloud-Lösungen verantwortlich ist? Wird sich später ein einzelnes Team oder werden sich mehrere Gruppen um die Verwaltung kümmern, nachdem die benötigte Cloud-Infrastruktur erst einmal eingerichtet wurde?
  • Deployment-Tools und -Prozesse: Wie werden die Prozesse aussehen, um die einzelnen Cloud-Lösungen in der Praxis umzusetzen? Im Idealfall wird ein einziges Deployment-Modell für die gesamte Infrastruktur erstellt, das eine Reihe von vordefinierten Abläufen und Werkzeugen bietet. Diese Aufgabe ist aber in der Regel besonders herausfordernd, weil die benötigten Kontrollmechanismen nicht immer gleich gut in allen beteiligten Umgebungen funktionieren.
  • Netzwerksicherheit: Welche Möglichkeiten zur Absicherung des Netzwerks bestehen in den einzelnen Cloud-Umgebungen? Auch wenn es meist einige Überschneidungen in diesem Bereich bei den IaaS-Anbietern (Infrastructure as a Service) gibt, hat doch jeder Provider im Laufe der Zeit einzigartige Dienste und Fähigkeiten entwickelt. So bietet zum Beispiel AWS einfache Stateful Security Groups und gleichzeitig zustandslose Access Control Lists (ACLs) an, um den Datenverkehr zwischen verschiedenen Subnetzen sowie von und zu den Workloads zu steuern. Auf der anderen Seite nutzt Microsoft Azure mit seinen Network Security Groups eher traditionell ausgerichtete Regelwerke für Firewalls. Diese verschiedenen Sicherheitsmechanismen sind nicht vollständig zueinander kompatibel und erfordern in der Praxis unterschiedliche Kenntnisse und Werkzeuge. Dazu kommt, dass sich Risikoprofile für das Netzwerk in der Regel auch von Cloud-Umgebung zu Cloud-Umgebung unterscheiden. Beispielsweise blockieren die AWS Security Groups standardmäßig viele eingehende Verbindungen, während die Microsoft Network Security Groups manchen Traffic zwischen einem Subnetz und der Azure-Umgebung erlauben.
  • Sicherheitskenntnisse: Verfügt das mit der Absicherung der Umgebungen befasste Team bereits über ausreichende Kenntnisse der verschiedenen Cloud-Infrastrukturen? Kennen und verstehen die Mitarbeiter wirklich die diversen Schichten der Sicherheitskontrollen in jeder einzelnen Umgebung? Die verschiedenen Cloud-Lösungen auf dem Markt unterscheiden sich unter anderem beim Management der Identitäten, beim Logging, den verfügbaren Monitoring-Tools, bei der Konfiguration und beim Verwalten der Patches.

In Anbetracht all dieser Punkte ist die Frage berechtigt, ob der Umstieg auf eine Multi-Cloud-Strategie tatsächlich eine gute Idee ist? Aus Security-Sicht ist dieser Schritt weder als prinzipiell gut noch prinzipiell schlecht einzuordnen. Es kommt dagegen auf die Umsetzung an. Ein Umstieg auf die Multi Cloud sorgt aber in jedem Fall für zusätzliche Arbeit, um sich auf die komplexeren Umgebungen vorzubereiten und um Security-Werkzeuge zu finden, die sich in mehr als einer einzigen Cloud-Umgebung nutzen lassen. Darüber hinaus werden neue Kenntnisse benötigt, um alle Kontrollen und Sicherheitsprozesse umzusetzen, die in jeder der zusätzlichen Cloud-Umgebungen funktionieren.

Nächste Schritte

Gratis-eBook: Multi-Cloud-Umgebungen sicher verwalten

Multi-Cloud-Umgebungen im Griff behalten

Den Herausforderungen der Multi Cloud richtig begegnen

Erfahren Sie mehr über Cloud-Sicherheit