Kaum eine Organisation kommt an der Cloud heute noch vorbei. Die Vorzüge liegen auf der Hand: mehr Agilität und Flexibilität zu niedrigeren Kosten. Allerdings gehen Cloud-Architekturen mit zusätzlichen potenziellen Bedrohungen einher, da sie Schwachstellen für Cyber-Angriffe öffnen können.
Das Für und Wider der Cloud wurde lange und sehr ausführlich diskutiert. Neben der mangelnden Cloud-Expertise in Unternehmen waren es vor allem Sicherheitsvorbehalte und Herausforderungen für die Compliance, die Unternehmen zwangen, die (Public) Cloud als Sourcing-Modell sehr kritisch zu prüfen. Mittlerweile hat sich das Blatt nicht nur aufgrund der anhaltenden Corona-Pandemie zugunsten der Cloud gewendet: Schweizer Unternehmen nutzen vermehrt Cloud Services in verschiedener Ausprägung – angefangen von IaaS über PaaS bis hin zu SaaS. Geschäftslogiken werden in Form von SaaS-Anwendungen aus der Cloud konsumiert, Infrastrukturen und Software-Plattformen werden dynamisch und elastisch als IaaS und PaaS in die Cloud verlagert. Die ökonomischen Vorteile der Cloud sind zu gross, um sie weiterhin zu ignorieren. Durch das Pay-per-use-Prinzip können IT-Services bedarfsgerecht genutzt werden, ohne dass dazu Investitionen nötig wären. Diese bedarfsgerechte Verfügbarkeit reduziert Business-Risiken und erlaubt das schnelle Testen neuer Geschäftsideen. Darüber hinaus hat die Cloud eine weitere hochattraktive Eigenschaft für Unternehmen: Skalierbarkeit. Cloud-Ressourcen und -Services verschaffen Unternehmen damit ein Maximum an Agilität.
Der sichere Weg in die Cloud
Die Cloud ist in unserem Alltag angekommen und ihren Kinderschuhen schon längst entwachsen. Der hohe Reifegrad im Umgang mit Cloud Services zeigt sich daran, dass sich gegenwärtig die Diskussion um die Cloud verlagert. Aktuell gehen Anwenderunter-nehmen den nächsten Schritt und etablieren aktiv Multi-Cloud- und Hybrid-Landschaften. Sie wollen sich bewusst plattformunabhängig aufstellen, Risiken und Vendor-Lockin reduzieren und die spezifischen Vorteile der Plattformen nutzen. Die Rolle der Cloud als Enabler digitaler Geschäftsmodelle sollte dabei nicht unterschätzt werden. Auch wenn die Diskussion um Sicherheit und Compliance zugunsten der Business-Mehrwerte in den Hintergrund gerückt ist – kein Unternehmen, das Cloud Services einsetzt, kommt umhin, ein ganzheitliches Sicherheitskonzept für den Einsatz der Cloud vorzusehen. Dieses Sicherheitskonzept muss ein integraler Bestandteil der Cloud-Strategie sein. Zwar haben die Cloud Service Provider in den letzten Jahren kontinuierlich an der Sicherheit ihrer Plattformen geschraubt und bieten zusätzlich eine Vielzahl von Sicherheitsfunktionen an. Jedoch in der Realität zeigt sich, dass damit mitnichten eine umfassende Sicherheit aus einer Hand entsteht. Denn mit der Cloud-Nutzung geht einher, dass auch sensible, unternehmenskritische und besonders schützenswerte Daten die Unternehmensdomäne verlassen. Die Verantwortung für die Sicherheit der Daten und Anwendungen in der Cloud kann nicht auf den Cloud Service Provider übertragen werden, sondern liegt weiterhin beim Anwenderunternehmen. Um es auf den Punkt zu bringen: Das Anwenderunternehmen muss Sorge dafür tragen, dass auch in Multi- und Hybrid-Cloud-Ansätzen einheitliche Regelwerke und Compliance-Richtlinien durchgesetzt werden. Erst wenn Sicherheit und Digitalisierung Hand in Hand gehen, ist der Weg für das zukünftige Geschäft frei.
Eine umfassende Cloud-Security-Strategie
Unternehmen, die die Cloud auch im Hinblick auf ihre IT-Security optimal einsetzen wollen, sollten vier Gesichtspunkte bei der Etablierung einer umfassenden Cloud-Security-Strategie berücksichtigen:
- Grundlegend sind auf der strategischen Ebene Konzepte für Risikomanagement, Business Continuity Management und eine langfristige Planung des System Development Lifecycle zu etablieren. Ebenfalls wichtig ist das Design passender Metriken für die Cloud Security.
- Auf der Ebene der Prozesse müssen Schwachstellen identifiziert und ein Compliance Management etabliert werden. Dieses umfasst u. a. Cloud Incident Response, die Einbindung von Sicherheitsfragestellungen innerhalb der DevOps-Ansätze und ein proaktives Cloud Threat Modelling.
- Eine Auseinandersetzung mit Cloud-Architekturen ist eine weitere wichtige Komponente der Cloud-Security-Strategie. Neben der Kenntnis der Spezifika der verschiedenen Service-Modelle (IaaS, PaaS und SaaS) müssen gerade bei Cloud-Migrationsvorhaben wie «Lift & Shift» oder «Re-Architect» Sicherheitsaspekte integriert werden.
- Der richtige Einsatz der passenden Tools und Technologien muss dieses Rahmenwerk flankieren. Dabei müssen zunächst die von Cloud Service Providern bereitgestellten nativen Sicherheitslösungen adäquat eingesetzt werden. Bestehende Lücken lassen sich mit zusätzlichen Sicherheitslösungen spezialisierter Hersteller schliessen, insbesondere bei Herausforderungen im Multi- und Hybrid-Cloud-Umfeld. Zuletzt sollten Cloud-Anwender auch Machine-Learning-Mechanismen und automatisierte Response vorsehen.
Fazit
Am Markt sind schon heute verschiedene spezifische Lösungen verfügbar, die einzelne Aspekte der Cloud-Nutzung mit wirksamen Sicherheitsmechanismen unterstützen können. Doch im Einzelfall sollten Unternehmen genau prüfen, welche die für sie passende Lösung ist. Cloud Security ist aber mehr als nur die Implementierung von spezifischen Sicherheitslösungen. Bereits beim Design der Cloud-Lösungen müssen alle Security-Aspekte ganzheitlich betrachtet werden. Dazu zählen die Architektur, Benutzer-, Rollen- und Berechtigungsverwaltung, Kommunikationsregeln, Einsatz von Verschlüsselung und zugehörigem Key Management, Überwachung und (automatisierte) Remediation. Der Austausch mit einem erfahrenen Security Provider kann helfen, eine ganzheitliche, effiziente und plattformunabhängige Security-Strategie für das Zeitalter der Cloud zu entwickeln. ■