Oleksii - stock.adobe.com
Durch die Cloud kommt die nächste Standardisierungswelle
Der Wunsch nach Skaleneffekten setzt Standardisierungsprozesse in Unternehmen in Gang und losgetreten durch die vermehrte Cloud-Nutzung ist eine neue Welle am Anrollen.
Durch die Pandemie wurde in vielen Unternehmen deutlich, dass IT-Entscheidungen heute vielfach in Silos getroffen werden, und dabei der Blick auf das „Große Ganze“ verloren geht. Die Einführung der Cloud trat an, um mehr Agilität und Flexibilität in die Unternehmens-IT zu bringen. Multi-Cloud-Infrastrukturen können allerdings zu einem komplexen Konstrukt ausufern und damit das Gegenteil der ursprünglichen Intention bewirken. Angesichts dessen wird der Ruf nach Standards für IT-Sicherheit von Cloud-Infrastrukturen lauter.
In der Vergangenheit waren es IT-Verantwortliche gewohnt, Entscheidungen aufbauend auf ihren eigenen Anforderungen und Einschätzungen eigenverantwortlich zu fällen. Im Zuge der letzten großen Standardisierungswelle von IT-Infrastrukturen in der ersten Dekade des neuen Jahrtausends standen Skaleneffekte im Mittelpunkt, von denen gerade große Unternehmen profitieren wollten. Es galt, weltweit einheitliche Standards bei der Anschaffung von Hardware in global operierenden Unternehmen einzuführen und umzusetzen, die das Procurement und die Verwaltung vereinfachen sollten.
Diesem Wunsch nach Simplifizierung folgend, wurden zum Beispiel Proxies am Internet-Gateway, Lösungen für den Fernzugriff und Arbeitsplatzausstattung der Mitarbeiter nach weltweit einheitlichen Vorgaben angeschafft.
Im Zeitalter der Cloud werden IT-Entscheidungen im Gegensatz dazu durch eine Vielzahl an Interessensgruppen herbeigeführt und nicht mehr ausschließlich durch die IT-Abteilung bestimmt. Nicht selten stehen dabei die Anwenderbedürfnisse im Mittelpunkt der Entscheidungsfindung einzelner Fachbereiche, so dass sich im Unternehmen Silos unterschiedlichster Technologien bilden, welche durch ihre verschiedenartigen Anforderungen die Administration komplexer gestalten.
So wird beispielsweise die Entscheidung für einen bestimmten Cloud Service Provider (CSP) von einer Fachabteilung gefällt, aufbauend auf den Anforderungen der Applikation. Während für Office-Anwendungen auf einen Cloud-Anbieter zurückgegriffen wird, fordern Entwickler für ihre industriellen Anwendungen den Einsatz einer anderen Cloud-Umgebung und die nächste Abteilung setzt auf einen spezialisierten Nischenanbieter.
Daraus resultieren Multi-Cloud-Infrastrukturen mit unterschiedlichen Cloud Providern in den Unternehmen, wie auch die Ergebnisse des EMEA State of Digital Transformation Report 2020 belegen. Durchschnittlich gaben fast die Hälfte (49 Prozent) der befragten 600 IT-Entscheider in EMEA an, bereits zwei Cloud-Anbieter zu nutzen und ein Drittel der Unternehmen hatten Anwendungen bereits bei drei Providern ausgelagert.
Mit solchen Multi-Cloud-Szenarien gehen laut der Umfrage unterschiedliche Herausforderungen einher. Am dominantesten waren dabei Probleme bei der Absicherung des Zugangs zu Multi-Cloud-Netzwerken (36 Prozent), die Einrichtung solcher Multi-Cloud-Netzwerke (35 Prozent) und 32 Prozent der Unternehmen haderten mit den steigenden Kosten innerhalb ihrer MPLS-Netzwerke.
Anstatt IT-Entscheidungen in Silos fortzusetzen, sind Unternehmen gut beraten, das Gesamtbild ihrer Cloud-Strategie nicht aus den Augen zu verlieren, damit die Komplexität moderner Infrastrukturen nicht aus dem Ruder läuft und sich die genannten Herausforderungen leichter bewältigen lassen. Die Cloudifizierung einzelner Geschäftsbereiche sollte einer ganzheitlichen Digitalisierungsstrategie untergeordnet werden, die nicht nur die Anwendungsebene einbezieht, sondern dabei auch das Netzwerk sowie Konnektivität und Sicherheitsanforderungen berücksichtigen.
Die Komplexität nimmt zu – das Sicherheitsrisiko auch
In einigen Unternehmen hat die Pandemie die Komplexität der gewachsenen Cloud-Infrastrukturen und die damit einhergehenden Fallstricke ans Licht gebracht. Unterschiedliche Cloud-Umgebungen erfordern verschiedene Herangehensweisen bei der Implementierung. So ist für jeden Anbieter eigentlich ein Spezialist für das Einrichten notwendig, um gefährliche Sicherheitslücken zu umgehen. Ein verschachteltes Konstrukt von Multi-Cloud-Umgebungen und komplizierte Regelwerke sind anfällig für Fehler in der Administration oder führen mitunter zu Kompromissen in der Sicherheit.
Gartner gibt dazu eine düstere Prognose ab: 99 Prozent der Sicherheitsvorfälle in der Cloud werden bis im Jahr 2023 von Unternehmen selbst verschuldet sein. Die meisten Fehler werden demnach von den eigenen Mitarbeitern mit limitiertem Wissen über sichere Cloud-Konfiguration verursacht. Außerdem sind Sicherheitsvorfälle der Komplexität der Migration statischer, veralteter Sicherheitsarchitekturen in hochdynamische Cloud-Umgebungen geschuldet. Die gewachsenen Infrastrukturen drohen nicht nur aus dem Ruder zu laufen, sondern stellen ein Sicherheitsrisiko dar, wenn Ports zu Gunsten eines vereinfachten Zugriffs womöglich absichtlich offenstehen.
Die Verlagerung der Mitarbeiter ins Home-Office brachte die Herausforderung für Unternehmen mit sich zu überprüfen, wer von welchem Gerät aus sicher auf seine benötigten Anwendungen zugreifen darf. Da Unternehmen ihre Infrastrukturen vielfach in Silos aufgebaut hatten, war Enduser-Services nur für den Client zuständig, das Netzwerk-Team für die Connectivity, die Fachabteilung für den Zugriff auf Office-Anwendungen in der Cloud – und keiner der Bereiche hat beim Aufbau der Infrastrukturen wirklich eng zusammengearbeitet.
Letztlich hatten alle Security-Anforderungen zu erfüllen, wodurch für das IT-Team die Schwierigkeit entstand, jedem Mitarbeiter den performanten und sicheren Zugriff auf die benötigten Anwendungen einzurichten. Oftmals kam nicht einmal mehr ein einheitlicher Gerätebestand beim Endnutzer für den Fernzugriff zum Einsatz. Die Infrastruktur skalierte in diesem speziellen Szenario nicht mehr und öffnete darüber hinaus Sicherheitslücken für Angreifer, die beispielsweise direkt auf Services im internen Netzwerk (zum Beispiel via RDP) zugegriffen haben.
Durch Simplifizierung der Komplexität entgegenwirken
Die Komplexität resultiert nicht selten aus Infrastrukturen, die nicht Cloud-ready waren, bevor Applikationen in die Cloud abwanderten. Eine Kombination von herkömmlichen Netzwerkkonzepten mit Perimetersicherheit, die durch Stapel an Hardware im Rechenzentrum erreicht wird, trifft auf die modernen Anforderungen an die Agilität der Cloud und benutzerfreundlichen und performanten Zugriff auf Anwendungen.
Vor diesem Hintergrund der schnellen und sicheren Zugriffsberechtigungen fangen Unternehmen nun an, den Wildwuchs ihrer gewachsenen Infrastruktur aus Multi-Cloud-Umgebungen und On-Premises-Hardware zur Absicherung des Netzwerks zu hinterfragen. Gesucht ist die Rückkehr zu standardisierten Prozessen, die das ganzheitliche Konstrukt an Anwendungen, Netzwerk- und Konnektivitätsbedarf und zugleich Sicherheit mit einbezieht. Es gilt einen Ausweg zu finden, der Unternehmen nicht von einem komplexen Infrastruktur-Szenario ihrer traditionellen Architektur in das nächste abgleiten lässt, dass durch unterschiedliche Cloud-Anforderungen ausgelöst wird.
Wird die Cloud als Wendepunkt für die Vereinfachung von Infrastrukturen betrachtet, müssen sich Unternehmen nach einem Lösungsansatz umsehen, der alle geforderten Geschäftsszenarien abdeckt und dazu alle Abteilungen wieder an einem Tisch vereint. An die Stelle der Realisierung kurzfristiger individueller Ziele einzelner Fachabteilungen muss eine ganzheitliche Vision treten, für die der CIO den nötigen Weitblick einbringen sollte. Da kurzfristige Budgetierungszyklen für einzelne Projekte in den Fachabteilungen zum Entstehen eines schwer zu verwaltenden Molochs an Infrastruktur geführt haben, sollte die Führungsriege hinterfragen, wie ein Ausweg aussieht.
„Es gilt einen Ausweg zu finden, der Unternehmen nicht von einem komplexen Infrastruktur-Szenario ihrer traditionellen Architektur in das nächste abgleiten lässt.“
Kevin Schwarz, Zscaler
Die Problematik entsteht vielfach durch Mangel an Experten für Cloud-Infrastrukturen. Die Mitarbeiter, die als Netzwerkarchitekten aus der herkömmlichen, Hardware-geprägten Infrastrukturwelt kommen, müssen sich für Cloud-Umgebungen von ihren Schablonen lösen. Die traditionellen Hub&Spoke-Architekturen funktionieren für den Datenverkehr in Multi-Cloud-Umgebungen nicht mehr performant.
Der Denkansatz zur Absicherung eines Rechenzentrums darf nicht auf die Cloud übertragen werden, sondern muss durch eine neue Herangehensweise abgelöst werden. Die ZTNA-Architektur (Zero Trust Network Access) und das SASE Rahmenwerk von Gartner öffnen Möglichkeiten für eine disruptive Umgestaltung in Cloud-ready-Infrastrukturen.
Standardisierte Zugriffsberechtigungen von Usern und Workloads
Durch diese Frameworks wird die direkte und sichere Verbindung von einem Anwender zu seiner Applikation hergestellt. Unabhängig davon, in welcher Umgebung diese vorgehalten wird oder welches Gerät für den Zugriff verwendet wird – ohne Umweg über das traditionelle Rechenzentrum. Die Sicherheit wird dabei vom Perimeter ans Edge – also hin zum einzelnen Anwender oder Endpunkt - verlagert. Aufbauend auf dem Prinzip des „Least Privileged Access“ (oder auch POLP, Prinzip der minimalen Rechtevergabe) erhält jeder User ausschließlich Zugriff zu seinen benötigten Anwendungen, ohne dass das gesamte Netzwerk für ihn geöffnet wird.
Die Zugriffsrechte werden anhand der User-Identität und Authentifizierung überwacht. Durch die direkte Verbindung vom Anwender zur App über das Internet reduziert sich der kostentreibende MPLS-Netzwerkdatenverkehr und auch die Angriffsfläche für Malware-Akteure. Bei einem solchen Ansatz verschiebt sich das traditionelle Netzwerk-zentrierte Sicherheitsmodell zu User-basierter Sicherheit – womit die herkömmliche Vorgehensweise aus den Angeln gehoben wird. Der Zugriff des Anwenders auf seine Applikation läuft immer gleich ab, unabhängig davon, wo er sich befindet oder die Applikation vorgehalten wird, womit sich wieder eine Standardisierung erreichen lässt. Dieser beschriebene Zero-Trust-Ansatz funktioniert nicht nur für die Absicherung der Mitarbeiter, sondern ist auch für die Absicherung von Cloud-Umgebungen gültig. Auch hier sollte der Grundsatz zur Anwendung kommen, dass interne und externe Netzwerke nicht vertrauenswürdig sind und zuerst eine Verifizierung erfolgen muss, bevor Zugang erlaubt wird.
Parallel sollten Unternehmen sich der Standardisierung ihrer Cloud-Umgebungen annehmen. 95 Prozent der Security-Risiken kommt durch fehlerhafte Konfigurationen in komplexen Umgebungen zustande. Hier kann eine Lösung für das Cloud Security Posture Management (CSPM) zu einer sicheren Konfiguration beitragen und den größten Angriffsvektor dadurch ausschalten und gleichzeitig Compliance kontinuierlich gewährleisten. Da Fehlkonfigurationen automatisiert erkannt werden, lassen sich Sicherheitsrisiken vermeiden. Durch eine global einheitliche und automatisierte Umsetzung von Richtlinien über mehrere Clouds hinweg können Unternehmen nicht nur die gewünschte Standardisierung erzielen, sondern dadurch auch die Komplexität reduzieren.
Die Cloud ermöglicht darüber hinaus nicht nur eine standardisierte Vorgehensweise für den Zugriff von Usern auf Anwendungen in der Cloud oder im Rechenzentrum, sondern auch den Zugriff von Apps zu Apps oder Cloud zu Cloud-Umgebungen und hilft bei der sicheren Segmentierung.
Fazit: Ganzheitliche Visionen sind gefragt
Die Frameworks von Gartner bringen Connectivity, Netzwerk- und Applikationszugriff in einem neuen Ansatz in Einklang und schafft die Grundlage für eine neue Standardisierung. Unabhängig vom Standort der Applikation in Multi-Cloud-Umgebungen, dem Internet selbst oder im Rechenzentrum erhält der Anwender direkten Zugang und sicheren Zugriff. Wo also früher Hardware-Komplexität für die Sicherheit vorherrschte, kann sich im Zuge einer neuen Vereinheitlichung der Zugriffsverwaltung über einen Cloud-basierten Service die geforderte Transparenz und Standardisierung einstellen.
In einem solchen Szenario passt sich die Sicherheit an das Anwenderbedürfnis nach der geforderten Simplizität an. Den alten Mustern der Komplexität kann der Rücken gekehrt werden, wenn die Cloud nicht nur für die Vorhaltung der Applikationen genutzt wird, sondern auch als Sicherheits- und ganzheitliche Connectivity-Lösung zum Einsatz kommt. Durch die Corona-Krise wurde CIOs aufgezeigt, dass sie eingefahrene Vorgehensweisen hinter sich lassen müssen, um die Fortsetzung des Geschäftsbetriebs performant und sicher zu ermöglichen.
Über den Autor:
Kevin Schwarz ist Director Transformation Strategy bei Zscaler.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
