Oleksandr - stock.adobe.com

Tipp

Cloud-Sicherheit: Vor- und Nachteile verschiedener Ansätze

Public Cloud, Private Cloud, Multi Cloud und hybride Ansätze: Die unterschiedlichen Bereitstellungsmodelle haben ihre eigenen Vor- und Nachteile in Sachen Security – ein Überblick.

von
Zuletzt aktualisiert:25 Nov. 2024

Unabhängig davon, ob die Infrastruktur eines Unternehmens in einer privaten, öffentlichen oder hybriden Cloud oder in mehreren Clouds betrieben wird, ist die Cybersicherheit eine entscheidende Komponente. Einige Cloud-Architekturen vereinfachen Sicherheitsaufgaben und Tool-Integrationen erheblich, was jedoch oft auf Kosten der Flexibilität geht.

Betrachten wir die Vorteile und Herausforderungen, mit denen Unternehmen konfrontiert werden, wenn sie die Sicherheit von Private und Public Clouds sowie von Hybrid- und Multi-Clouds vergleichen.

Private-Cloud-Sicherheit

Wie der Name schon sagt, gewähren private Clouds einem Unternehmen privaten Zugang zu dedizierten Infrastrukturressourcen innerhalb einer Cloud. Diese Infrastruktur hat sowohl Vorteile als auch Nachteile.

Sicherheitsvorteile der privaten Cloud

Private Clouds sind für Unternehmen attraktiv, die eine genauere Kontrolle über die zugrunde liegende Infrastruktur wünschen. Dazu gehört in der Regel der Zugriff des Kunden auf die Konfiguration des Netzwerks, der Betriebssysteme und der Virtualisierungsplattform der Server.

Aus der Sicherheitsperspektive bietet die Private Cloud unter anderem folgende Vorteile:

  • Bessere Kontrolle. Interne Administratoren haben mehr Flexibilität, wenn es um die Implementierung von und den Zugriff auf Sicherheits-Tools geht.
  • Vollständige Transparenz. Mit einer privaten Cloud erhält das Unternehmen die volle Kontrolle und Transparenz über seine Cybersicherheitslage und kann sie an seine spezifischen Bedürfnisse anpassen.

Die Nachteile der Sicherheit einer privaten Cloud

Die Flexibilität der privaten Cloud hat ihren Preis in zwei Bereichen: Preisgestaltung und Verwaltung.

  • Finanzielle Folgen. Der Betrieb privater Clouds ist oft ein teureres Unterfangen als Public-Cloud-Optionen. Unternehmen zahlen einen Aufpreis für granulare Cloud-Kontrolle und Transparenz.
  • Kosten für die Verwaltung. Die Entwicklung und Wartung von Cybersicherheits-Tools innerhalb privater Clouds erhöht die Verantwortung des Managements erheblich.

Aus diesen beiden Gründen ist es wichtig, dass IT-Entscheidungsträger die Vorteile der Cybersicherheit von Private Clouds sorgfältig gegen die zusätzlichen finanziellen Aufwendungen und den Verwaltungsaufwand abwägen.

Abbildung 1: Private und öffentliche Cloud-Modelle haben unterschiedliche Sicherheits-, Kosten- und Verwaltungsaspekte.
Abbildung 1: Private und öffentliche Cloud-Modelle haben unterschiedliche Sicherheits-, Kosten- und Verwaltungsaspekte.

Sicherheit der öffentlichen Cloud

Unternehmen können Drittanbieter von Cloud-Diensten (CSP, Cloud Service Provider) mit der Verwaltung von Anwendungen und Daten innerhalb ihrer Rechenzentrumsinfrastruktur beauftragen. Viele CSPs bieten auch integrierte Sicherheitstools, um geschäftskritische Daten zu schützen.

Sicherheitsvorteile der öffentlichen Cloud

Für Unternehmen sind Public-Cloud-Infrastrukturen aus einer Reihe von Gründen attraktiv, etwa wegen der geringen Investitionskosten, der Skalierbarkeit der Dienste und der Verringerung des Verwaltungsaufwands für interne IT-Mitarbeiter.

Die Sicherheitsvorteile des Public-Cloud-Modells umfassen folgende Punkte:

  • Entlastung der eigenen IT. Größere Cloud-Anbieter investieren oft stark in erstklassige Cybersicherheits-Tools und in Mitarbeiter, die sich auf ihrem Gebiet bestens auskennen. Dies macht die Auslagerung von Cybersicherheits-Tools und -Aufgaben vom eigenen Unternehmen an einen Dritten attraktiv.
  • Behebung der Qualifikationslücke im Bereich der Cybersicherheit. Die Möglichkeit, auf das Sicherheitsprogramm eines CSP zurückzugreifen, verringert die Notwendigkeit, teure und kaum vorhandene interne Sicherheitskräfte einzustellen.

Die Sicherheitsnachteile der Public Cloud

Für andere Unternehmen, insbesondere für größere Unternehmen mit umfangreichen IT-Infrastrukturen, ist die Sicherheit einer öffentlichen Cloud möglicherweise nicht die richtige Lösung.

Zu den potenziellen Herausforderungen für die Sicherheit der öffentlichen Cloud gehören die folgenden:

  • Die Sicherheit eines Cloud Providers entspricht nicht den Anforderungen. In manchen Situationen könnten Unternehmen feststellen, dass die Cybersicherheits-Tools, -Prozesse und -Methoden eines CSP nicht ausreichen, um hochsensible Daten zu schützen.
  • Unzureichende Transparenz. Größere Unternehmen benötigen oft die Möglichkeit, Protokolle, Warnmeldungen und andere Daten bis auf Paketebene zu erhalten und zu analysieren. Bei vielen Cloud-Anbietern, insbesondere bei denen, die das SaaS-Modell offerieren, sind viele dieser Sicherheitsinformationen für die Kunden nicht zugänglich. Der Grund dafür ist, dass die meisten der zugrunde liegenden Technologien abstrahiert wurden, um die Verwaltung aus Kundensicht zu vereinfachen.

Sicherheit in der Hybrid Cloud

In hybriden Cloud-Umgebungen befinden sich einige Geschäftsanwendungen und Daten in öffentlichen Clouds, während andere in privaten Clouds oder privaten Rechenzentren verwaltet werden.

Sicherheitsvorteile der Hybrid Cloud

Bei der Hybrid Cloud kann das Gesamtbild größer sein als die Summe seiner Teile. Zu den Sicherheitsvorteilen der hybriden Cloud-Infrastruktur gehören die folgenden:

  • Das Beste aus beiden Welten. Hybride Cloud-Unternehmensarchitekturen, die die besten Eigenschaften von öffentlichen und privaten Clouds kombinieren, können ein Höchstmaß an Sicherheit bieten.
  • Flexibilität. Hybride Modelle geben Administratoren die Möglichkeit zu entscheiden, wo Anwendungen und Daten gespeichert werden, zum Beispiel in einer Cloud oder einem Unternehmensrechenzentrum.

Herausforderungen der Sicherheit in hybriden Cloud-Umgebungen

Wie bei einer privaten Cloud hat die Flexibilität einer hybriden Cloud-Infrastruktur auch ihre Schattenseiten. Zum Beispiel sind Entscheidungen darüber, wo Anwendungen und Daten gespeichert werden, eine große Verantwortung und erfordern Bedacht.

Unternehmen sollten die folgenden potenziellen Sicherheitsnachteile des Hybrid-Cloud-Modells berücksichtigen:

  • Herausforderungen bei der Durchsetzung von Richtlinien. Die Duplizierung und Erweiterung von Cybersicherheitsrichtlinien in öffentlichen und privaten Clouds sowie in lokalen Rechenzentren kann schwierig sein. In einigen Cloud-Architekturen, wie zum Beispiel SaaS, kann es unmöglich sein, eine Sicherheitsrichtlinie zu duplizieren, die in anderen Teilen der Unternehmensinfrastruktur gilt.
  • Unstimmigkeiten bei der Sicherheit. Aufgrund von Problemen bei der Durchsetzung von Richtlinien sind einige Anwendungen und Daten möglicherweise nicht so sicher wie andere.
  • Mehr Fachkenntnisse erforderlich. Sicherheitsadministratoren müssen mit unterschiedlichen Methoden und Werkzeugen zur Überwachung und Bekämpfung von Bedrohungen umgehen, je nachdem, wo sich die gefährdeten Ressourcen befinden.

Multi-Cloud-Sicherheit

Wie der Name schon sagt, nutzt ein Unternehmen in einer Multi-Cloud-Umgebung zwei oder mehr Cloud-Plattformen oder -Anbieter. So könnte ein Unternehmen beispielsweise AWS für IaaS, Google App Engine für PaaS und Microsoft 365 und Salesforce SaaS-Anwendungen nutzen.

Sicherheitsvorteile der Multi Cloud

Wie in hybriden Umgebungen ermöglichen Multi-Cloud-Implementierungen den Administratoren, Anwendungen und Daten in den Dienst mit den am besten geeigneten Sicherheitsstandards zu stellen. Ebenso können sie die sichersten Cloud-Angebote verschiedener Cloud Provider nutzen.

Multi-Cloud-Umgebungen bieten außerdem die folgenden Sicherheitsvorteile:

  • Cyberresilienz. Multi-Cloud-Bereitstellungen ermöglichen es Unternehmen, Daten über mehr als eine Cloud zu verteilen. Wenn ein Ereignis bei einem Dienst eintritt, zum Beispiel ein Ausfall oder ein Sicherheitsvorfall, kann der Betrieb in eine andere Cloud verlagert werden, so dass Daten und Anwendungen weiterhin zugänglich sind. Auf diese Weise lassen sich einzelne Fehlerquellen ausschalten und die Sicherheit bleibt auch bei Problemen mit einem Dienst erhalten.
  • Disaster Recovery und Geschäftskontinuität. Eine verbesserte Cyberresilienz trägt zur Verbesserung der DR/BC-Prozesse bei. Da Daten, Anwendungen und andere Vorgänge über verschiedene Clouds hinweg zugänglich sind, wird der Geschäftsbetrieb nicht unterbrochen.

Sicherheitsnachteile von Multi-Cloud-Umgebungen

Wie bei den Herausforderungen im Bereich der hybriden Cloud-Sicherheit müssen auch bei Multi-Cloud-Umgebungen Anwendungen und Daten sorgfältig verwaltet und geprüft werden, um zu entscheiden, wo sie gespeichert werden sollen. Es kann schwierig sein, eine einheitliche Sicherheitsrichtlinie auf mehrere Clouds anzuwenden, was zu Sicherheitslücken führen kann. Die Nutzung mehrerer Clouds erfordert außerdem, dass die Sicherheitsteams wissen, wie die einzelnen Clouds zu sichern sind und welche Tools am besten zu verwenden sind.

Multi-Cloud-Implementierungen sind mit den folgenden Sicherheitsproblemen konfrontiert:

  • Konfigurationsmanagement. Viele Sicherheitsverletzungen in der Cloud lassen sich auf Fehlkonfigurationen zurückführen. Das Konfigurationsmanagement über mehrere Clouds hinweg ist schwierig, vor allem wenn es mehrere, unterschiedliche Tools erfordert.
  • Transparenz. Eine einzelne öffentliche Cloud bietet nur unzureichende Transparenz. Multipliziert man dies mit der Gesamtzahl der genutzten Clouds, können die Herausforderungen für die Transparenz erheblich sein. Die Koordinierung der Überwachung und Alarmierung über verschiedene Clouds hinweg erfordert spezielle Fähigkeiten und Tools.
  • Erkennung von und Reaktion auf Vorfälle. Die Erstellung und Durchsetzung eines Vorfallreaktionsplans über mehrere Clouds hinweg kann mehrere Playbooks, Abläufe und Tools sowie Spezialisten mit Kenntnissen über jeden Cloud-Dienst erfordern.
  • Einhaltung gesetzlicher Vorschriften. Organisationen in bestimmten Branchen könnten Schwierigkeiten haben, die Compliance-Anforderungen zu erfüllen, insbesondere angesichts der Aufgabentrennung mit CSPs im Modell der geteilten Verantwortung.
Sondieren Sie alle Optionen, bevor Sie sich für ein Cloud-Bereitstellungsmodell entscheiden.
Abbildung 2: Sondieren Sie alle Optionen, bevor Sie sich für ein Cloud-Bereitstellungsmodell entscheiden.

Die passende Option in Sachen Cloud-Sicherheit finden

In Anbetracht der genannten Herausforderungen sollten Sie bedenken, dass viele Sicherheits-Tools für die Infrastruktur inzwischen weitgehend virtualisiert sind. Das bedeutet, dass dieselben Tools und Richtlinienkonfigurationen, die in internen Rechenzentren und im Unternehmens-LAN eingesetzt werden, auch in privaten Clouds eingesetzt werden können, um eine hybride oder Multi-Cloud-Sicherheitsparität zu erreichen. Für viele Sicherheitsabteilungen bedeutet dies eine erhebliche Reduzierung der Sicherheitskomplexität unter dem Gesichtspunkt der Einheitlichkeit.

Wenn es um Cloud Computing und Cloud-Sicherheit geht, ist keine bestimmte Architektur für alle Unternehmen geeignet. IT-Architekten müssen die Cybersicherheitsanforderungen für alle Geschäftsanwendungen und Datenbestände ermitteln. Sobald diese definiert sind, können die Technologiedienste kategorisiert und für die Bereitstellung in der öffentlichen oder privaten Cloud vorgesehen werden - je nachdem, was aus Kosten- und Cybersicherheitssicht am sinnvollsten ist.

Erfahren Sie mehr über Cloud-Sicherheit