Maksim Kabakou - stock.adobe.com
Die Sicherheitsrisiken in Multi-Cloud-Umgebungen minimieren
Immer mehr Firmen setzen heutzutage auf Multi-Cloud-Umgebungen. Aber nur wenn die benötigten Workloads an der richtigen Stelle platziert werden, kommt es zu keinen neuen Risiken.
In den vergangenen Jahren wurden zahlreiche neue Cloud-Angebote entwickelt, um die zunehmende Nachfrage nach professionellen Cloud-Infrastruktur-Lösungen zu decken. Heutzutage nutzen die meisten Unternehmen bereits externe Cloud-Dienste, um darin rund 60 Prozent ihrer Workloads unterzubringen.
Ein relativ neuer Trend ist jedoch, dass sich sehr viele Firmen bewusst für Multi-Cloud-Umgebungen entschieden. Das heißt, sie nutzen also mindestens zwei oder mehr Anbieter nebeneinander. Dadurch ergeben sich viele neue Herausforderungen für die Sicherheit ihrer Umgebungen.
Um eine Multi-Cloud-Infrastruktur sicher betreiben zu können, muss die IT-Abteilung verschiedene Prioritäten beim Implementieren der Workloads setzen. Dazu gehört ein formalisierter Prozess, um entscheiden zu können, welche Workload bei welchem Provider untergebracht werden soll.
Zur Wahl stehen interne oder externe Umgebungen und Angebote wie IaaS (Infrastructure as a Service), PaaS (Platform as a Service) oder SaaS (Software as a Service). Unternehmen, die sich für Multi-Cloud-Umgebungen entschieden haben, sind nach Erkenntnissen der Marktforschungsgesellschaft Nemertes um 42 Prozent erfolgreicher mit ihren Cloud-Aktivitäten als ihre Konkurrenten, die darauf verzichten.
Wenn es um das Thema Sicherheit geht, dann sollte beim Einrichten jeder neuen Workload genau festgelegt werden, welche Risiken für die darin gespeicherten und verarbeiteten Daten und für den Betrieb allgemein herrschen. Dazu kommen spezifische Sicherheitsanforderungen und weitere Faktoren wie Kosten, Beziehungen zwischen verschiedenen Workloads und ihre Architektur. Erfahren Sie im Folgenden, wie Sie dabei am besten vorgehen.
Platzierung der Workloads und das Risiko für die darin gespeicherten Daten
Mit Hilfe des Risikomanagement-Teams des Unternehmens muss kontinuierlich festgelegt werden, wie viel Gewicht auf die Sicherheitsmaßnahmen zum Schutz der Daten in den Workloads gelegt werden soll. Das erfordert eine genaue Kenntnis des gesamten Risikoprofils eines Unternehmens. Dabei handelt es sich um eine äußerst herausfordernde Aufgabe.
Viele Firmen, die Risikoprofile erstellen, versuchen gleichzeitig auch die monetären Auswirkungen einzuschätzen. Manchmal ist dies möglich, wenn es etwa um das Begleichen von hypothetischen Strafen und anderen finanziellen Schäden geht, die ein Unternehmen treffen können, wenn es erst einmal das Opfer eines Datenverlusts geworden ist.
Darüber hinaus gehende Aufwendungen hängen mit Änderungen der Bestandswerte, verlorenen Investitionen durch einen Vertrauensverlust bei möglichen Finanzgebern oder auch durch sinkende Einnahmen wegen einem Verlust an Kunden zusammen.
Begrenzen des operativen Risikos in Multi-Cloud-Umgebungen
Wenn es um das Sichern der Workloads geht, sollte sich die IT-Abteilung auch mit möglichen finanziellen Verlusten durch Probleme bei der operativen Integrität auseinandersetzen. Das erfordert eine enge Zusammenarbeit mit der Unternehmensführung.
Bedenken Sie, was geschehen wird, wenn sich die Performance einer unternehmenskritischen Workload verschlechtert oder sie überhaupt nicht mehr erreichbar ist. Da sich diese Fälle negativ auf das Unternehmen auswirken können, sollten solche Situationen mit in die Überlegungen einfließen, wenn es um die konkrete Planung der Workloads geht.
So können sich zum Beispiel etwaige Probleme negativ auf den Firmenumsatz oder die Kunden auswirken. Außerdem kann es zu unerwarteten Kosten durch eine Beschädigung von Daten kommen oder weil ein Versorgungsauftrag nicht zu einem bestimmten Preis durchgeführt werden kann.
Beim Einrichten neuer Workloads muss die IT-Abteilung also die gesamte operative Logistik berücksichtigen. Nur wenn auch Themen wie Sicherheit, Verfügbarkeit und Verlässlichkeit mit einbezogen werden, kann der Prozess erfolgreich sein. Außerdem sollten Sie sich damit auseinandersetzen, wie sich bestimmte Sicherheitsfeatures in einer vorgegebenen Umgebung auf die Kosten auswirken.
Multi-Cloud-Umgebungen und die Herausforderung Compliance
Neben den verschiedenen Risiken, die bedacht werden müssen, sollte sich die IT-Abteilung auch mit den besonderen Anforderungen an die Absicherung der Workloads beschäftigen. Wenn es etwa um die Erfüllung von Compliance-Vorgaben geht, müssen einige Workloads vermutlich verschlüsselt werden. In anderen Fällen müssen die Daten möglicherweise nicht nur im ruhenden Zustand, sondern auch bei der Übertragung speziell gesichert werden. Auch kann eine Voraussetzung sein, dass der Schlüssel für die Daten außerhalb der Cloud abgelegt werden muss. Gerade in der europäischen Union kann es zudem sein, dass sich eine Workload nur innerhalb eines geographischen Gebietes befinden darf.
In vielen Fällen kommt es allerdings vor, dass die Compliance-Anforderungen erst berücksichtigt werden, wenn die Entscheidung für eine bestimmte Multi-Cloud-Umgebung bereits gefällt wurde. Das kann im schlimmsten Fall dazu führen, dass die Entscheidung neu überdacht oder sogar revidiert werden muss.
Diese Situation wird dadurch noch verschlimmert, dass manche Umgebungen bestimmte Vorgaben schlicht nicht erfüllen können. So könnte die vom Unternehmen offiziell akzeptierte SaaS-Umgebung nicht in der Lage sein, alle Datenübertragungen auf bestimmte Regionen zu beschränken. Dadurch kann es nötig werden, dass ein Produkt oder ein Dienst eines Drittanbieters hinzugezogen werden muss, um die Sicherheitslücke innerhalb der Umgebung zu schließen. Solche Ausgaben führen aber zu zusätzlichen Kosten. Außerdem nimmt in diesem Fall die Komplexität und mit ihr wiederum das Risiko zu.
