dmshpak - stock.adobe.com
Auf sicherem Weg zum Cloud Computing
Damit bei einer Migration in die Cloud die Umgebungen sicher bleiben und die Verwaltungsprogramme auch sicher sind, sollten Unternehmen bei der Planung mit Bedacht vorgehen.
Die International Data Corporation (IDC) hat das Jahr 2021 als das Jahr der Multi Cloud bezeichnet – aus gutem Grund. Schon vor der Pandemie wurde der Markt für Cloud-Programme breiter und komplexer, darum hatten Unternehmer bezüglich der Digitalen Transformation einiges zu beachten. Vor allem für kleine und mittlere Unternehmen (KMU) kann der Weg in die Cloud oft wie eine Reihe entmutigender Hürden erscheinen, bei denen in jeder Phase schwierige Fragen zu beantworten sind.
Zum Beispiel: Die Verwendung eines Open-Source-Programms mag ein erschwinglicher Einstieg sein, aber was passiert, wenn dieses Tool veraltet ist und keine Updates mehr erhält? Welche Schritte sollte ein wachsendes Unternehmen gehen, um sicherzustellen, dass seine Cloud-Lösung angesichts der zunehmenden Cyberkriminalität sicher bleibt? Welche sind die Vor- und Nachteile von Public-Cloud-, Private-Cloud- und Hybrid-Cloud-Lösungen?
All diese Fragen müssen auf strategischer Ebene geklärt werden, bevor eine umfassende Verlagerung der Daten und Applikationen stattfindet. Der zusätzliche Druck der letzten Jahre, das Geschäft ins Internet zu schieben, hat kleine und mittlere Unternehmen, die viel zu planen haben, in die Bredouille gebracht. Einer der Gründe, der diese Unternehmen weiterhin schreckt, sind Sicherheitsbedenken.
In einer Umfrage stellte Gartner vor einiger Zeit bereits fest, dass der Hauptgrund für die Zurückhaltung dieser Unternehmen bei der Einführung der Cloud das mangelnde Vertrauen in die Sicherheit bezüglich der Daten ist. Das ist verständlich, wenn man bedenkt, dass im Oktober 2021 die Zahl der Vorfälle von Hacking-Angriffen im Vergleich zum Vorjahreszeitraum um 40 Prozent gestiegen ist. Viele wissen daher nicht, wo sie anfangen sollen.
Auswahl der richtigen Programme zur Verwaltung der Cloud-Infrastruktur
Die Open-Source-Community ist in der Regel der Ort, an dem große Innovationen und Durchbrüche stattfinden. Viele der heute erhältlichen Cloud-Tools für Unternehmen würden ohne die Beiträge der Open-Source-Gemeinschaft nicht existieren, die sich mit Erbsenzählerei einen Weg zu einem besseren Produkt bahnen.
Open-Source-Tools sind leicht verfügbar, kostenlos und können sich als sehr nützlich erweisen – alles verlockende Vorteile für ein junges Unternehmen oder eine Neugründung. Aber was passiert, wenn das Open-Source-Projekt eingestellt wird und keine Patches und Updates mehr geliefert werden? Wie sieht es mit den Bedrohungen bei der Verwendung eines Open-Source-Tools mit Code aus, für dessen Verifizierung oder Prüfung oft niemand im Unternehmen über das Fachwissen verfügt?
Das ist der Zeitpunkt, an dem die Dinge in der Regel schief gehen, und der Grund, warum diejenigen, die ein Interesse an der Datensicherheit haben, sich lieber für ein kommerzielles Tool entscheiden sollten.
Hier gilt es eine gute Auswahl zu treffen, denn die Vielzahl der Optionen kann erdrückend sein. Es ist ratsam, einen Testplan mit Zielen zu erstellen, um zu prüfen, ob das Tool – und der Anbieter – halten, was sie versprechen. Konzentrieren sollte man sich auf Sichtbarkeit und Kontrolle bezüglich des Netzwerks. Bietet das Tool vollständige Einsicht in die Cloud-Umgebung und sämtliche Datenströme? Wie leicht ist die Benutzeroberfläche zu bedienen? Bietet es die Flexibilität, sowohl manuelle als auch automatische Korrekturen für die auftretenden Probleme durchzuführen? All diese Fragen sollten vor dem Kauf positiv beantwortet werden.
Wo man mit Cloud-Infrastruktur-Management beginnen sollte
Programme für das Cloud Security Posture Management (CSPM) gibt es schon seit einigen Jahren. Sie sind ein guter Ausgangspunkt für Unternehmen, um die Kontrolle über ihren Cloud-Bestand zu gewinnen.
Native Tools sind zwar mit grundlegenden Funktionen erhältlich und wie bei allen kommerziellen Tools gibt es auch umfassendere Angebote, je nachdem, wie viel die Unternehmer zu investieren bereit sind und welche Art von Kontrolle Sie benötigen.
Jedoch fehlen diesen oft die professionellen Funktionen. CSPM zielt darauf ab, Unternehmen einen umfassenden Überblick ihrer Cloud-Bereitstellungen zu geben, doch entscheidend ist, wie gut oder schlecht dieses konfiguriert ist. Branchenanalysten warnen seit Jahren, dass die meisten Zwischenfälle im Zusammenhang mit der Cloud nicht auf Fehler in den Diensten selbst zurückzuführen sind, sondern auf die Art und Weise, wie sie genutzt und konfiguriert werden.
Nehmen wir zum Beispiel Amazon S3 und Azure Storage Accounts: Diese Dienste sind eine zuverlässige, skalierbare und bequeme Möglichkeit zum Speichern und Freigeben von Daten. Aber sie werden oft mit einer oberflächlichen Mentalität implementiert, um sie so schnell wie möglich zum Laufen zu bringen, während die Sicherheit in den Hintergrund rückt. CSPM-Plattformen schaffen hier Abhilfe, weil sie Schwachstellen schnell und für Unternehmen unübersehbar erkennen, markieren und auswerten.
Öffentliche Cloud, private Cloud oder beides?
Unzählige CIOs und CTOs werden sich in den letzten zehn Jahren mit dieser Frage befasst haben, aber die Wahrheit lautet, dass es keine Entscheidung des Entweder/Oder sein muss. Schon vor der Pandemie zeigte ein Bericht mit dem Titel State of the Cloud, dass im Jahr 2019 mehr als 90 Prozent der Unternehmen eine öffentliche Cloud-Umgebung und mehr als 70 Prozent eine private Cloud-Umgebung nutzen. Die sich überschneidenden zwei Drittel der hier befragten Unternehmen haben sich sogar für eine Hybrid-Cloud-Umgebung aus beidem entschieden.
„Vor allem für kleine und mittlere Unternehmen kann der Weg in die Cloud oft wie eine Reihe entmutigender Hürden erscheinen, bei denen in jeder Phase schwierige Fragen zu beantworten sind.“
Christine Schönig, Check Point Software Technologies GmbH
Private Clouds bieten einige der Vorteile von Public Clouds bezüglich der Skalierbarkeit und Flexibilität, aber es bleiben die Kunden, also Unternehmen, für die Bereitstellung und Wartung der End-to-End-Umgebung verantwortlich. Das kann ein Vorteil sein, je nachdem, wie man zu einer gemeinsam genutzten Infrastruktur steht, oder es kann ein Nachteil sein, wenn man die interne Verantwortung für eher alltägliche Dinge wie Stromversorgung, Hosting und Netzwerke reduzieren möchte. Aus diesem Grund entscheiden sich immer mehr Unternehmen für einen Hybrid-Cloud-Ansatz, um einen Teil dieser Verantwortung und Arbeit auszulagern.
Die Nutzung einer solchen Hybrid Cloud ist nicht annähernd so kompliziert, wie es klingen mag. Es kann so einfach zu verwalten sein, wie eine Verbindung zwischen der vorhandenen physischen Infrastruktur und einem virtuellen Netzwerk einer öffentlichen Cloud herzustellen. Auf diese Weise können Unternehmen die Flexibilität von Public-Cloud-Lösungen nutzen, wo dies sinnvoll ist, und gleichzeitig die herkömmlichen Dienste im Rechenzentrum wie gewohnt unter eigener Aufsicht weiterführen. Dies bietet Unternehmen einen guten Weg, um bei Bedarf weitere Dienste in die Cloud zu migrieren, bei zeitgleicher Gewissheit, dass einige der wichtigsten Dienste vollständig selbst gestartet und verwaltet werden.
IT-Sicherheit konsolidieren
Damit der Weg zur Cloud nach der Auswahl der richtigen Verwaltungsprogramme auch ein sicherer ist und die Umgebungen sicher bleiben, sollte statt eines oft angesammelten Wildwuchses aus Sicherheitslösungen verschiedener Hersteller eine Konsolidierung stattfinden. Hier bietet sich die Einführung einer IT-Sicherheitsarchitektur an, die viele Bereiche abdeckt und aus einer Hand stammt. So wird sichergestellt, dass alle Programmteile unterstützt und aktualisiert werden – und miteinander kommunizieren können. Das eliminiert Sicherheitslücken, die wegen fehlender Abstimmung oder falscher Konfiguration der Komponenten entstehen, und sorgt dafür, dass Unternehmen gegen alle aktuellen Bedrohungen und sogar gefürchtete Zero-Day-Attacken, wie Apache Log4J in Java-Umgebungen, geschützt sind.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
