24.01.2018

Viele Unternehmen experimentieren seit längerer Zeit auf niedrigem Level mit Services aus der Public Cloud. Nach zumeist positiven Erfahrungen und der rasanten Weiterentwicklung der Angebote skalieren viele Firmen jetzt die Auslagerung von Daten, Anwendungen und Prozessen entsprechend hoch. Die großen Vorteile liegen in der Flexibilität bezüglich Skalierbarkeit und der agilen Weiterentwicklung der Produkte durch die Anbieter. Zudem sind die Public Cloud-Anwendungen aufgrund ihrer Herkunft aus dem Consumer-Bereich oftmals sehr anwenderfreundlich. Wenn die Services richtig implementiert und gepflegt werden, lässt sich außerdem eine signifikante Kostenersparnis realisieren.

Strategische Ansätze für sichere Migration und Nutzung 

Um diese Vorteile nutzen zu können, ist der Aufbau einer effizienten Sicherheitsstruktur für die Public Cloud notwendig. Vier strategische Ansätze haben sich als sinnvoll erwiesen: Cloud-fokussiertes Sicherheitsmodell. Wichtig ist die Ausrichtung der gesamten IT-Security auf die Cloud, nicht nur operativ sondern vor allem bezüglich des mentalen Mindsets. Dass heißt vor allem, sich von alten Denkstrukturen zu lösen. 

  • DevOps für die IT-Security. Auch hier ist die Zusammenarbeit der oftmals sehr unterschiedlichen Gewerke entscheidend für Effizienz und Effektivität des Prozesses. Optimalerweise gibt es im Unternehmen schon Erfahrungswerte auf anderen Gebieten. 
  • Individuelle Betrachtung der einzelnen Public Clouds. Festlegung von Parametern für die einzelnen Bereiche wie Zuständigkeiten und Sicherheitsstufen.
  • Interne Verantwortlichkeiten definieren. Bei der Nutzung von Public Clouds ist aufgrund der Komplexität ein Shared-Security-Ansatz notwendig, entsprechend müssen Unternehmen sehr genau definieren, für welche Bereiche sie selbst und für welche der Provider zuständig ist.

Neben diesen vier strategischen Ansätzen ist eine saubere operative Umsetzung wichtig. Hier liegt die Herausforderung zumeist beim Handling verschiedener Cloud Service Provider (CSP), der vorhandenen Private Cloud-Struktur, den verschiedenen Workloads, Unternehmensstandorten, regulatorischen Vorschriften und Sicherheitsstandards.

 

Die folgende Liste gibt einen Überblick über wichtige Einzelschritte in der Umsetzung von Public Cloud Security Projekten.

  • Welche Workloads sollen in die Public Cloud migriert werden? Meistens sind das eher kundenorientierte Anwendungen oder kollaborative Lösungen für den internen Einsatz. 
  • Priorisieren Sie eindeutig, welche Kontrollmechanismen Sie zuerst umsetzen wollen. Diese sollte sich nach der Reihenfolge der gewünschten Applikationen richten oder nach dem Sicherheitsmodell, in das sich die Anwendungen clustern lassen.
  • Stellen Sie sicher, dass die selektierten Cloud Service Provider den Sicherheitsrichtlinien entsprechen. Jeder Provider muss dabei individuell überprüft werden, um spätere Korrekturaufwände zu vermeiden.
  • Definieren Sie unterschiedliche Sicherheitslevel für die verschiedenen Workloads. Nicht jeder Workload verlangt beispielsweise nach einer aufwändigen Multifactor Authentication. So können Aufwände im Betrieb deutlich reduziert und die Akzeptanz der Anwender erhöht werden. 
  • Passen Sie die Lösung dem Workload an. Je nach Angebot des CSP´s bietet sich entweder On-Premise, eine individuelle Lösung des CSP oder eine  Drittanbieter-Lösung an. 
  • Unterscheiden Sie zwischen automatisierbaren und standardisierbaren Prozessen. Für Kontrollmechanismen, die standardisierbar aber nicht automatisierbar sind, lassen sich Checklisten entwickeln, anhand derer Entwickler geschult werden können. Setzen Sie bei allen Prozessen konsequent auf einen DevOps-Ansatz. 
  • Gehen Sie schrittweise und agil vor. So lassen sich Erfahrungen aus den vorangegangen Wellen nutzen und Prozesse korrigieren.