Herausforderung Multi Cloud: Sicherheit, Kosten und Vernunft

Cybersicherheit ist die größte potenzielle Herausforderung

Im Wettlauf um die Entwicklung und Innovation mithilfe von KI stehen Unternehmen unter dem Druck, alle Cloud-KI-Angebote zu prüfen, was zu einer komplexen Multi-Cloud-Umgebung führt. Der Mangel an ausgereiften IT- und Cybersicherheitsprozessen wird sich noch verschärfen, wenn Unternehmen von lokalen zu Cloud-basierten Lösungen übergehen. Ohne eine Cloud-Strategie könnten sich CIOs in einer schwierigen Situation wiederfinden, wenn sie versuchen, Risiken mit KI und Cloud zu minimieren.

Nachfolgend sind Bereiche aufgeführt, die im Rahmen einer übergreifenden Cloud-Governance- und Risikomanagementpraxis zu berücksichtigen sind.

• Erweiterte Angriffsfläche. Bei Multi-Cloud-Lösungen sind zentralisierte Kontrollpunkte nicht mehr anwendbar, sodass Eingangs- und Ausgangskontrollpunkte keine Rolle mehr spielen. Auf Cloud-Mandanten kann naturgemäß von überall im Internet zugegriffen werden. Die Konfigurationen unterscheiden sich auch zwischen den einzelnen Clouds, sodass für jede Cloud Fachwissen erforderlich ist – beispielsweise sind AWS-Spezialisten wahrscheinlich nicht mit der Google Cloud Platform vertraut und umgekehrt. Dadurch ist es nahezu unmöglich, nicht genehmigte Cloud-Nutzung aufzudecken.
• Fragmentierung der Identitäts- und Zugriffsverwaltung (IAM). Die Identität ist der Netzwerkperimeter, der unterschiedliche Identitäten, Zugriffsrichtlinien, Rollen und Berechtigungen umfasst, die verwaltet werden müssen. Das Fehlen einer zentralisierten Bereitstellung und Governance erhöht die Risiken durch Insider-Bedrohungen und die Ausweitung von Berechtigungen.
• Inkonsistente Sicherheitskontrollen und Support. Sicherheitstools sind nicht mit allen öffentlichen Clouds kompatibel, was zu Lücken in den Funktionen führt oder den Einsatz mehrerer Tools erforderlich macht. Dies ist ineffizient und kann die Anfälligkeit erhöhen. Die Sicherheitsstandards können sich je nach Cloud-Anbieter unterscheiden. Das Fehlen standardisierter Verschlüsselung, Protokollierung und Richtliniendurchsetzung erfordert einen höheren Aufwand für die richtige Abstimmung von Sicherheitstools wie SIEM.
• Komplexität der Reaktion auf Vorfälle. Die Verwaltung mehrerer Plattformen kann die Transparenz beeinträchtigen und die Cloud-übergreifende Forensik und Protokollkorrelation erschweren. Es ist auch schwierig, Bedrohungen einzudämmen, wenn es widersprüchliche Governance-Strukturen und inkonsistente Sicherheitsverantwortlichkeiten zwischen dem Abonnenten und dem Cloud-Anbieter gibt.
• Regulatorischer Druck. Ausfälle von Cloud-Anbietern können zu Geldstrafen für Ihr Unternehmen führen. Eine verstärkte Kontrolle der Datenresidenz, der Sicherheit der Lieferkette, der KI-Governance und der betrieblichen Ausfallsicherheit sollte ebenfalls berücksichtigt werden. Multi Cloud erschwert die Compliance, statt sie zu vereinfachen.

Multi Cloud kann problematisch und nicht nachhaltig sein

In der Vergangenheit trug eine Multi-Cloud-Strategie dazu bei, sich vor einer Bindung an einen bestimmten Anbieter zu schützen und Kostenverhandlungen zu erleichtern. Bei der Nutzung von Cloud Computing oder Cloud-Speicher funktionierte dies gut. KI verwandelt öffentliche Clouds in hochspezialisierte KI-Modelle und -Agenten, wobei KI-Ansätze wie das Model Context Protocol (MCP) zum Einsatz kommen. Dies stellt eine Belastung für Ihre bestehenden IT- und Cybersicherheitsteams dar, da sie versuchen, den täglichen Betrieb mit der Weiterbildung für jede neue Cloud-Umgebung in Einklang zu bringen.

Jede Plattform erfordert spezifische Fähigkeiten, was zu Qualifikationslücken führt, da die Vielzahl der Cloud-Plattform-Tools ständig zunimmt. Sicherheits- und Cloud-Experten können nicht über fundierte Fachkenntnisse für drei oder mehr Plattformen verfügen. Dennoch verteilen Unternehmen ihr Fachwissen oft weiterhin zu dünn, um effizient zu sein. Die durchschnittliche Zeit bis zur Erkennung und die durchschnittliche Zeit bis zur Reaktion nehmen mit der Anzahl der überwachten Stellen zu. Wenn ein Problem behoben wird, können andere Probleme auftreten, da Zeit damit verbracht wird, sie einzeln zu beheben.

Bestehende Tools bieten oft keine Unterstützung oder Funktionsgleichheit über alle Cloud-Plattformen hinweg, was dazu führt, dass mehrere SIEM-Lösungen, Datenplattformen und DevOps-Pipelines verwaltet werden müssen. Die Überschneidung der Funktionen und Wirkweise von Tools kann zu hohem Aufwand und uneinheitlicher Wirksamkeit führen.

Sicherheit durch Standardisierung

Vereinfachung bedeutet nicht zwangsläufig den Umstieg auf eine einzige Cloud. Es ist wichtig, die akzeptable Nutzung innerhalb der Cloud-Anbieter zu definieren. Das Ziel Ihres Unternehmens sollte lauten: Weniger Modelle, nicht unbedingt weniger Clouds. Sie müssen die Architektur rationalisieren, ohne die Auswahlmöglichkeiten einzuschränken.

Legen Sie Anwendungsmuster fest, anstatt einfach nur einen Cloud-Anbieter auszuwählen. Beispielsweise können sensible Anwendungsfälle bei Cloud-Anbieter A bereitgestellt werden, da dessen Sicherheitskontrollen die strengsten Vorschriften unterstützen. Im Gegensatz dazu werden weniger kritische Anwendungsfälle zur Steigerung der betrieblichen Effizienz bei Anbieter B eingerichtet, da weniger sensible Daten verarbeitet werden.

Konsolidieren Sie Ihre Kernplattformen. Suchen Sie beispielsweise für Standard-Workloads wie Speicher, Rechenleistung und VMs nach einer möglichst geringen Anzahl von Anbietern. Entscheiden Sie sich dann für spezialisierte Clouds, wenn Anwendungsfälle spezielle Anforderungen haben.

Wenn Sie sich mit Cybersicherheit befassen, sollten Sie Ihr IAM zentralisieren, was von entscheidender Bedeutung ist. Stellen Sie auf eine einheitliche Identitätsstrategie für Ihr Unternehmen um, um Single Sign-On (SSO) zu nutzen und andere Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung (MFA), Zero Trust, standardisierte Verschlüsselungsanforderungen und Protokollierungskonfigurationen durchzusetzen.

Bei der Festlegung, wie alle Clouds verwaltet werden sollen, erstellen Sie eine Cloud-Steuerungsebene (Cloud Control Plane) und wenden Sie diese auf alle bestehenden Plattformen an. Dadurch wird die Abhängigkeit von Cloud-Konsolen und benutzerdefinierten Integrationen verringert. Dies trägt dazu bei, eine Integrationsschicht für Governance, Beobachtbarkeit und Durchsetzung von Richtlinien zu schaffen.

Kosten als sekundäres Ziel

Die Kosten für die Sicherung und den Betrieb mehrerer Cloud-Plattformen werden oft übersehen, da sie sich über mehrere Kostenstellen des Unternehmens erstrecken. Wie bereits erwähnt, sind nicht alle Tools plattformübergreifend kompatibel, sodass mehrere Produkte mit ähnlichen Funktionen angeschafft werden müssen. Die Minimierung der Kontrollen auf der Grundlage von Plattform-Anwendungsfällen hat folgende Kostenvorteile:

• Redundante Dienste und Tools werden eliminiert.
• Der Personalbedarf wird durch die Reduzierung der Plattformvielfalt gesenkt.
• Genauere und umsetzbare buchhalterische Abbildung wird ermöglicht.
• Komplexitätsbedingte Vorfälle und Ausfallzeiten werden reduziert.

Roadmap zur Vereinfachung der Cloud

IT- und Security-Verantwortliche müssen zusammenarbeiten, um eine Strategie zur Vereinfachung der Cloud und KI für ihre Unternehmen zu entwickeln. Es müssen Leitplanken auf der Grundlage von Anwendungsfällen aus der Praxis festgelegt werden, anstatt einen Anything-goes-Ansatz zu verfolgen. Umgekehrt sollte eine definierte Strategie Unternehmen, die bisher auf den Einsatz von KI verzichtet haben und stattdessen einen Block-it-all-Ansatz verfolgen, in die Lage versetzen, KI zu nutzen.

• Den aktuellen Stand bewerten. Das Ausmaß des Multi-Cloud-Problems ermitteln. Clouds, Workloads, Datenflüsse und Tools identifizieren und inventarisieren. Sanktionierte und nicht sanktionierte Cloud-Nutzung definieren und Kontrollen einrichten, um nicht sanktionierte Nutzung zu ahnden.
• Vereinfachungsprinzipien definieren. Bestimmen Sie, was ohne zusätzliche Investitionen möglich ist. Legen Sie fest, welche Cybersicherheitstools in Ihren Cloud-Umgebungen eingesetzt werden, und standardisieren Sie Cloud-Plattformen, die den gesetzlichen und geschäftlichen Anforderungen entsprechen. Um die Angriffsfläche zu verringern, rationalisieren Sie Workloads, die keinen geschäftlichen Mehrwert bieten.
• Konsolidieren Sie Dienste, bei denen die Differenzierung gering ist. Legen Sie die Kosten für Standard-Cloud-Dienste fest.
• Sicherheits- und Cloud-Engineering-Teams aufeinander abstimmen. Cloud- und KI-Kompetenzzentren mit Cloud-Plattform-Teams einrichten, um die Effizienz zu maximieren und Überlastung zu reduzieren. Wiederverwendbare Cloud-Architekturmuster entwickeln, anstatt jede Arbeitslast als Einmaligkeit zu behandeln, und die IT- und Cybersicherheits-Governance konsolidieren.
• Implementieren Sie Cloud-übergreifende Schutzmaßnahmen. Konsolidieren Sie aus Gründen der Konsistenz nach Möglichkeit die Tools. Setzen Sie Policy-as-Code ein und automatisieren Sie die Bereitstellung der Plattform, einschließlich der Cybersicherheitstools. Implementieren Sie ein Programm zum Management der Cloud-Sicherheit, um Kontrollen zu überprüfen und kontinuierlich zu überwachen, die Identitätsbereitstellung und das Identitätsmanagement zu zentralisieren und zu automatisieren und überall, wo dies möglich ist, rollenbasierte Zugriffskontrollen (RBAC) und SSO zu verwenden.
• Neugestaltung für mehr Ausfallsicherheit. Um zu verhindern, dass zukünftige Ausfälle Ihr Unternehmen beeinträchtigen, sollten Sie standardisierte, plattformunabhängige Referenzarchitekturen entwickeln und dokumentieren. Dokumentieren und üben Sie Failover-, Business-Resiliency- und Return-to-Normal-Operations-Prozesse.
• Fokus auf den geschäftlichen Nutzen. Kommunizieren Sie Erfolge in einer Sprache, die der Vorstand versteht. Beschleunigen Sie die Einführung von Cloud und KI durch etablierte Anwendungsfälle für Plattformen. Verbessern Sie die Bereitschaft zur Einhaltung gesetzlicher Vorschriften, indem Sie Kontrollen nur auf relevante Plattformen anwenden, und verhindern Sie Cybersicherheitsvorfälle, indem Sie die Angriffsfläche reduzieren und Tools optimieren. Kommunizieren Sie unbedingt potenzielle Einsparungen sowohl in Bezug auf die erforderlichen Tools als auch auf die Mitarbeiterzahl.