Citrix Technology Exchange 2018

Aus Cloud Security wird User Centric Security

| Autor / Redakteur: Oliver Schonschek / Elke Witmer-Goßner

„Get Ready for Take Off“ – Tatsächlich gibt es einiges zu tun, bevor die Reise in die „Wolken“ beginnt, gerade im Bereich Security.
„Get Ready for Take Off“ – Tatsächlich gibt es einiges zu tun, bevor die Reise in die „Wolken“ beginnt, gerade im Bereich Security. (Bild: Oliver Schonschek)

Cloud Security muss neu gedacht werden, um der tatsächlichen IT-Nutzung in Unternehmen gerecht zu werden. Es geht nicht um sichere Clouds, sondern um Sicherheit bei der digitalen Arbeit. Was das bedeutet, zeigte die Konferenz Citrix Technology Exchange 2018 im World Conference Center in Bonn.

Viele Umfragen befassen sich damit, ob die Unternehmen in Deutschland und in der EU eher zur Public Cloud oder zur Private Cloud greifen oder ob sie doch lieber auf On-Premises setzen. Ebenso berichten viele Studien darüber, was bei der Absicherung von Clouds noch fehlt. So wichtig es ist, sich mit der Sicherheit und dem Datenschutz bei Cloud Computing zu befassen, so wichtig ist es auch, sich die wirkliche IT-Nutzung in den Unternehmen zu vergegenwärtig.

Genau hier setzte die Citrix Technology Exchange 2018 an, die das Motto „Get Ready for Take Off“ hatte. Wenn sich Unternehmen auf den Weg in die „Wolken“ machen, also Cloud Computing einführen und ausweiten wollen, müssen sie sich klarmachen, wohin die Passagiere und die Fracht dieses Fluges eigentlich „fliegen“. Das Ziel lautet weder Public Cloud noch Private Cloud, sondern Best of Clouds, wie Christian Reilly, Vice President & CTO bei Citrix, in seiner Keynote betonte.

Cloud Computing ist ganz anders

Unternehmen werden nicht ihre gesamte IT in die Cloud auslagern, wie es früher einmal vorhergesagt wurde. Stattdessen bleibt es bei Hybrid Cloud, als Mischung aus Cloud und On-Premises, und bei Multi-Clouds, als parallele Nutzung verschiedener Public Clouds, Private Clouds und auch Enterprise Clouds. Die meisten Unternehmen stecken mitten in der Digitalen Transformation und sind nicht in der „Mobile und Cloud Ära“ angekommen.

Wenn es um Cloud Security geht, muss die tatsächliche IT-Nutzung in den Unternehmen betrachtet werden, denn reines Cloud Computing findet so gut wie nicht statt.
Wenn es um Cloud Security geht, muss die tatsächliche IT-Nutzung in den Unternehmen betrachtet werden, denn reines Cloud Computing findet so gut wie nicht statt. (Bild: Oliver Schonschek)

Was aber bedeutet das für die Cloud Security? Typische Sicherheitskonzepte für die Cloud richten ihren Blick auf die Security beim Cloud-Anbieter, die Sicherheitsmaßnahmen beim Cloud-Nutzer, auf die Apps, auf die Daten und die Vernetzung. Hier muss auch überall Security herrschen. Doch für die Konzeption der Security-Maßnahmen gilt es, eine neue Blickrichtung einzunehmen.

Der Nutzer muss in den Fokus, aus der klassischen Cloud-Security wird dann eine User Centric Security. Das Ziel sollte nicht mehr lauten, dass der Nutzer nur mit sicheren IT-Systemen arbeitet, sondern dass die Security den Nutzer immer begleitet. Nicht die Cloud selbst braucht Sicherheit, sondern der Digital Workspace der Nutzer und Administratoren, so ein Kerngedanke der Citrix Technology Exchange. User Centric Security bedeutet dabei, dass es ein ausgewogenes Verhältnis zwischen User Experience und Security geben muss, keine Seite darf überwiegen oder übertrieben werden, sonst geht es zulasten der anderen Seite.

Auf zum Paradigmenwechsel!

Betrachtet man die Cloud-Sicherheit aus Nutzersicht, müssen alle Bestandteile des Digital Workspace sicher und verfügbar bereitgestellt werden, also alle Apps, Desktops und Files, ganz gleich, ob sie nun On-Premises, aus einer Cloud, aus verschiedenen Clouds oder aus dem Edge Computing stammen. Citrix spricht von Secure Digital Perimeter. Neben der sicheren und zuverlässigen Bereitstellung des Workspaces kommt es in der User Centric Security auf die Sicherheit rund um den Nutzer an: Es muss sichergestellt sein, dass es der legitime Nutzer ist und dass der Nutzer genau und nur die Apps, Desktops und Files im Zugriff hat, die er braucht und nutzen darf.

James Hsu, Senior Technology Architect bei Citrix, erklärt, wie der Zugang zu den verschiedenen IT-Ressourcen kontrolliert werden kann: Die Sicherheit beginnt beim Nutzer.
James Hsu, Senior Technology Architect bei Citrix, erklärt, wie der Zugang zu den verschiedenen IT-Ressourcen kontrolliert werden kann: Die Sicherheit beginnt beim Nutzer. (Bild: Oliver Schonschek)

Sicherheit für den Digital Workspace besteht deshalb zum einen aus Access Control, zum anderen aus User Analytics, um die beiden zentralen Bausteine zu nennen. User Analytics stellt dabei sowohl die Versuche unberechtigter Zugriffe fest als auch die ungewöhnlichen Aktivitäten legitimer Nutzer, hat also die internen und die externen Angreifer im Blick. Citrix rechnet zu Access Control Funktionen wie SSO (Single-Sign-On) für alle Apps, gleichgültig wo sie betrieben werden, MFA (Multi-Faktor-Authentifizierung), eine Kontrolle der App-Zugriffe auf Daten, den Schutz der Nutzer vor gefährlichen Webseiten und das White Listing von sicheren Webseiten sowie freigegebenen Apps.

Citrix Analytics dient neben der Security auch Performance und Operations. Für die Security werden die Zugriffe und Aktivitäten der Nutzer ausgewertet und unter Einsatz von Machine Learning (ML) bewertet und mit Risikofaktoren versehen. Abhängig von dem jeweiligen Risikoschwellwert können dann Aktivitäten zum Beispiel mit einer Warnung und einer Blockade beantwortet werden. Weitere Security-Funktionen für den Digital Workspace sind Sicherheit mobiler Endgeräte und Anwendungen, Sichere Zusammenarbeit (File Transfer) und Business Continuity (Ausfallsicherheit). Zu den Security Services, die Citrix für den Digital Workspace anbietet, zählen Monitoring as a Service (Event Delivery Control aaS), DDoS-Schutz as a Service und Web Application Firewall (WAF) as a Service. Dabei unterstützen die Services die Nutzung von IT-Ressourcen aus der Cloud ebenso wie aus dem Rechenzentrum des Unternehmens oder aus dem Edge-Bereich (Internet of Things, IoT).

Die Citrix Technology Exchange 2018 zeigte somit einen Weg, Cloud-Sicherheit anders, eben aus Sicht des Nutzers zu sehen. Hier besteht bei so manchem Unternehmen noch der Bedarf für ein Umdenken, dies ist eine Aufgabe und Herausforderung nicht nur für Security-Verantwortliche in Unternehmen, sondern auch für Citrix, da der Anbieter selbst einen Paradigmenwechsel vollzogen hat und nun den Markt entsprechend informieren und sensibilisieren muss.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45625748 / Networking)