Darauf sollten Unternehmen bei Multi-Cloud-Umgebungen achten

Datenklassifizierung in Multi-Cloud-Umgebungen

Wenn es darum geht, mehrere Cloud-Anbieter unter einen Sicherheitshut zu bekommen, müssen Unternehmen einige Punkte beachten. Und da ist die Klassifizierung von Daten ein ganz entscheidender Faktor. Dies ist für jede Cloud-Umgebung wichtig, aber ganz besonders wenn unterschiedliche Cloud-Anbieter zum Einsatz kommen. Es bedarf eindeutiger Richtlinien, welche Daten wie in der Cloud genutzt werden dürfen. Das ist in Multi-Cloud-Architekturen umso bedeutsamer, da hier Daten zwischen verschiedenen Anbietern mit unterschiedlichen Sicherheitsregularien verschoben werden. Dabei muss stets die eigene Compliance beachtet werden.

Das gilt zum einen natürlich für die Handhabung, aber selbstverständlich auch für den Transport der Daten in und zwischen den Cloud-Lösungen. Viele Multi-Cloud-Implementierungen nutzen Netzwerkverbindungen, die TLS für Anwendungskomponenten verwenden oder IPSec für entsprechende Subnetze. Es gilt sicherzustellen, dass alle Verbindungen die sensible Daten transportieren verschlüsselt sind.

Authentifizierung und Zugriffsrechte

Im Idealfall lässt sich für alle Plattformen eine gemeinsame Regelung der Authentifizierung und Autorisierung nutzen. Und zwar sollte diese sowohl für die Endbenutzerzugriffe als auch für die administrativen Zugänge gelten. Dies kann durch das bereits vorhandene Single-Sign-On-Konzept im Unternehmen realisiert werden, oder aber auch über einen IDaaS-Provider (Identity as a Service). Letztere bieten gerade für gemischte Cloud-Verbindungen fertige Ansätze.

Anwender, Gruppen und Rollen sollten im Hinblick auf die Multi-Cloud-Umgebung sorgfältig definiert werden. Die Verwaltung sollte zentral über eine entsprechende Plattform erfolgen. Unabhängig davon, ob diese selbst dann auch in der Cloud oder im eigenen Rechenzentrum läuft.

Und natürlich muss das SIEM (Security Information and Event Management) entsprechend auf die Cloud-Umgebung ausgedehnt werden. Die entsprechenden Angebote der Anbieter umfassen häufig nur dessen Plattform. Idealerweise sollten alle Protokolldaten an ein einzelnes internes oder Cloud-basiertes SIEM wie etwa Splunk Cloud oder Loggly übergeben werden.

Wer mit mehreren Cloud-Umgebungen jongliert, sollte berücksichtigen, dass eventuell nicht alle vorhandenen Sicherheitslösungen von Drittanbietern mit allen Cloud-Lösungen gleich gut umgehen können oder Lösungen dafür bereitstellen. So ist es nicht ungewöhnlich, dass der ein oder andere Anbieter seine Lösung im AWS-Marketplace feil bietet und nicht im Azure-Marketplace – und umgekehrt. Legt man sich auf einen Anbieter fest, kann dies unter Umständen beim Wechsel zum Multi-Cloud-Ansatz Kosten nach sich ziehen.

Apropos Kosten, unter diesem Aspekt sollte man auch alle eingesetzten Tools, etwa zur Verschlüsselung, Überwachung, Anwendungskonfiguration oder Monitoring, auf den Prüfstand stellen. Benötigt man alles für mehrere Umgebungen, gilt es dies im Budget zu berücksichtigen.

Einer der Vorteile von Multi-Cloud-Ansätzen ist, dass man die jeweilige Plattform gezielt in Sachen Sicherheit für den jeweiligen Einsatzzweck auswählen kann. So findet man bei Microsoft Azure beispielweise optimiere Plattformen für Windows und Anwendungen, die vielleicht denen von anderen Anbietern überlegen sind. Hingegen findet sich bei AWS ein Denial-of-Service-Abwehrdienst namens AWS Shield, dessen Verteidigung etwas stärker sein mag als andernorts, da DNS und Routing innerhalb von AWS stattfinden. Daher sollte das Thema Sicherheit bei der Auswahl des Cloud-Angebotes eine primäre Rolle spielen, was bedauerlicherweise häufig nicht der Fall ist.

Der Trend zu Multi-Cloud-Umgebungen wird zunehmen, schon aus Anwendungs- und Kostensicht und im Hinblick auf die Flexibilität der Unternehmen. Die Verantwortlichen sollten sich aber zumindest der Risiken bewusst sein, die damit verbunden sind.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!