
sheelamohanachandran - Fotolia
Darauf sollten Unternehmen bei Multi-Cloud-Umgebungen achten
Werden im Unternehmen Cloud-Plattformen unterschiedlicher Anbieter genutzt, dann gilt es im Hinblick auf die IT-Sicherheit einige Punkte zu beachten.
Eine Multi-Cloud-Umgebung kann je nach Unternehmen sehr unterschiedlich aussehen. Meist werden unterschiedliche Cloud-Dienste in Kombination betrieben, dabei geht es dann um Daten, Anwendungen und Konnektivität sowie eine Verbindung aller drei Faktoren. Für viele Unternehmen ist das einfach der hybride Betrieb unterschiedlicher Cloud-Umgebungen, sei es einerseits IaaS (Infrastructure as a Service) oder PaaS (Platform as a Service) – beispielsweise auf Basis von Docker oder Azure. Oder auch ganz klassische Anwendungslösungen, will heißen SaaS, die sich dann noch nahtlos in On-Premise-Anwendungen integrieren.
Datenklassifizierung in Multi-Cloud-Umgebungen
Wenn es darum geht, mehrere Cloud-Anbieter unter einen Sicherheitshut zu bekommen, müssen Unternehmen einige Punkte beachten. Und da ist die Klassifizierung von Daten ein ganz entscheidender Faktor. Dies ist für jede Cloud-Umgebung wichtig, aber ganz besonders wenn unterschiedliche Cloud-Anbieter zum Einsatz kommen. Es bedarf eindeutiger Richtlinien, welche Daten wie in der Cloud genutzt werden dürfen. Das ist in Multi-Cloud-Architekturen umso bedeutsamer, da hier Daten zwischen verschiedenen Anbietern mit unterschiedlichen Sicherheitsregularien verschoben werden. Dabei muss stets die eigene Compliance beachtet werden.
Das gilt zum einen natürlich für die Handhabung, aber selbstverständlich auch für den Transport der Daten in und zwischen den Cloud-Lösungen. Viele Multi-Cloud-Implementierungen nutzen Netzwerkverbindungen, die TLS für Anwendungskomponenten verwenden oder IPSec für entsprechende Subnetze. Es gilt sicherzustellen, dass alle Verbindungen die sensible Daten transportieren verschlüsselt sind.
Authentifizierung und Zugriffsrechte
Im Idealfall lässt sich für alle Plattformen eine gemeinsame Regelung der Authentifizierung und Autorisierung nutzen. Und zwar sollte diese sowohl für die Endbenutzerzugriffe als auch für die administrativen Zugänge gelten. Dies kann durch das bereits vorhandene Single-Sign-On-Konzept im Unternehmen realisiert werden, oder aber auch über einen IDaaS-Provider (Identity as a Service). Letztere bieten gerade für gemischte Cloud-Verbindungen fertige Ansätze.
Anwender, Gruppen und Rollen sollten im Hinblick auf die Multi-Cloud-Umgebung sorgfältig definiert werden. Die Verwaltung sollte zentral über eine entsprechende Plattform erfolgen. Unabhängig davon, ob diese selbst dann auch in der Cloud oder im eigenen Rechenzentrum läuft.
Und natürlich muss das SIEM (Security Information and Event Management) entsprechend auf die Cloud-Umgebung ausgedehnt werden. Die entsprechenden Angebote der Anbieter umfassen häufig nur dessen Plattform. Idealerweise sollten alle Protokolldaten an ein einzelnes internes oder Cloud-basiertes SIEM wie etwa Splunk Cloud oder Loggly übergeben werden.
Wer mit mehreren Cloud-Umgebungen jongliert, sollte berücksichtigen, dass eventuell nicht alle vorhandenen Sicherheitslösungen von Drittanbietern mit allen Cloud-Lösungen gleich gut umgehen können oder Lösungen dafür bereitstellen. So ist es nicht ungewöhnlich, dass der ein oder andere Anbieter seine Lösung im AWS-Marketplace feil bietet und nicht im Azure-Marketplace – und umgekehrt. Legt man sich auf einen Anbieter fest, kann dies unter Umständen beim Wechsel zum Multi-Cloud-Ansatz Kosten nach sich ziehen.
Apropos Kosten, unter diesem Aspekt sollte man auch alle eingesetzten Tools, etwa zur Verschlüsselung, Überwachung, Anwendungskonfiguration oder Monitoring, auf den Prüfstand stellen. Benötigt man alles für mehrere Umgebungen, gilt es dies im Budget zu berücksichtigen.
Einer der Vorteile von Multi-Cloud-Ansätzen ist, dass man die jeweilige Plattform gezielt in Sachen Sicherheit für den jeweiligen Einsatzzweck auswählen kann. So findet man bei Microsoft Azure beispielweise optimiere Plattformen für Windows und Anwendungen, die vielleicht denen von anderen Anbietern überlegen sind. Hingegen findet sich bei AWS ein Denial-of-Service-Abwehrdienst namens AWS Shield, dessen Verteidigung etwas stärker sein mag als andernorts, da DNS und Routing innerhalb von AWS stattfinden. Daher sollte das Thema Sicherheit bei der Auswahl des Cloud-Angebotes eine primäre Rolle spielen, was bedauerlicherweise häufig nicht der Fall ist.
Der Trend zu Multi-Cloud-Umgebungen wird zunehmen, schon aus Anwendungs- und Kostensicht und im Hinblick auf die Flexibilität der Unternehmen. Die Verantwortlichen sollten sich aber zumindest der Risiken bewusst sein, die damit verbunden sind.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!



Checkliste: Rückkehr aus dem Home-Office
Wenn Mitarbeiter aus dem Home-Office an den Arbeitsplatz zurückkehren, kann das Folgen für die IT-Sicherheit haben. Diese Checkliste hilft ihnen dabei, Schritt für Schritt die Sicherheit im Unternehmen zu bewahren.