Hindernisse bei der Cloud-Migration

Der Dreipunktgurt für die IT-Sicherheit in der Cloud

| Autor / Redakteur: Klaus Gheri* / Florian Karlstetter

Herkömmliche Rechenzentrums-Mentalität behindert die Migration in die Cloud.
Herkömmliche Rechenzentrums-Mentalität behindert die Migration in die Cloud. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Die Cloud bietet viele Vorteile, und die meisten Unternehmen stecken bis zu einem gewissen Grad im andauernden Prozess, Daten und Anwendungen in die Cloud zu migrieren. Technologische Hindernisse auf dem Weg in die Cloud gibt es sicherlich viele, und für IT-Teams gilt es, diese zu identifizieren und zu überwinden, um für ihr Unternehmen das Beste aus den Möglichkeiten der Cloud herauszuholen.

Ein Hindernis der Cloud-Migration ist jedoch weder technologisch noch organisatorisch zu lösen: Die jahrzehntelange Verwendung von traditionellen Rechenzentren hat bei IT-Teams eine tief verwurzelte „Rechenzentrumsmentalität“ hinterlassen. Diese Mentalität behindert nicht nur die Migration, sondern birgt in puncto Sicherheit auch Gefahren, wenn IT-Teams Security in der Cloud genauso wie in der herkömmlichen IT behandeln.

In der Praxis setzen sich die IT-Teams bei der Cloud-Migration einen Stichtag und versuchen dann eine System- und Architektur-Komponente nach der anderen in die Cloud zu übertragen – man spricht hier von einem „lift-und-shift“ Ansatz. Dass es dabei dann hie und da hakt, ist vorhersehbar, weil die Cloud eben doch in einigen Punkten anders als ein gemietetes traditionelles Rechenzentrum ist.

Security ist das größte Problem bei der Cloud-Migration

Sicherheitsarchitekturen sind zum größten Reibungspunkt beim Wechsel in die Cloud geworden. Im eigenen Rechenzentrum waren es Sicherheitsteams gewohnt, jedes Detail zu überwachen und zu kontrollieren. Dabei kamen meist spezielle Security-Appliances zum Einsatz, die der IT halfen, die Sicherheit zu gewährleisten.

Wer dies über Jahre erfolgreich getan hat, möchte seine liebgewonnene Gewohnheit auch weiterhin in der Cloud nutzen. In der Cloud funktioniert dies jedoch nicht, da Cloud-Provider ihren Kunden auf die meisten Netzwerkströme keinen Zugriff gewähren. Dadurch haben Sicherheitsteams mit ihrer traditionellen Herangehensweise nur sehr eingeschränkte Möglichkeiten, die Sicherheit wie bisher gewohnt einzurichten und fortan zu kontrollieren und stellen fest: Rechenzentrums-Sicherheit lässt sich nicht eins zu eins auf Cloud-Sicherheit übertragen.

Wer also versucht in der Cloud die vollkommene Kontrolle zu übernehmen und jeden Netzwerkdatenfluss zu analysieren, kommt schnell an seine Grenzen. Dennoch versuchen Unternehmen fast immer zuerst, ihre bisherige Sicherheitsarchitektur in die Cloud zu portieren, anstatt aktiv an der Erhöhung der Cloud-Sicherheit zu arbeiten. Ein besserer Weg wäre es natürlich, Cloud-spezifischen Sicherheitsproblemen von Beginn an mit Cloud-spezifischen Sicherheitslösungen zu begegnen.

Doch es gibt Hoffnung für IT-Sicherheits-Manager, die während des Umzugs in die Cloud nicht aus der Sicherheitskurve fliegen wollen. Der folgende „Dreipunktegurt“ kann in puncto Cloud-Sicherheit Nerven retten.

1. Manche Probleme gibt es in der Cloud gar nicht

Beim Versuch, ihre Sicherheitslösungen auch in der Cloud zu nutzen, vergessen IT-Teams oft, dass sie Probleme lösen wollen, die es in der Cloud nicht einmal gibt. Man nehme zum Beispiel Web-Application-Firewalls: Im Rechenzentrum stellen Unternehmen ihre Firewall vor alle ihre Web-Properties und Anwendungen und konzentrieren sich dann auf die Pflege eines einzigen, monolithischen Regelsatzes. In der Cloud funktioniert das so natürlich nicht. Die Sicherheit sollte spezifisch für die jeweilige Anwendung sein und zusammen mit der Applikation bereitgestellt, vollständig getestet und aktualisiert werden. Dies bedeutet zwar häufigere Regeländerungen, aber die Unternehmen haben es mit einem deutlich kleineren und überschaubareren Regelwerk zu tun.

2. „Security as Code“ ist die bessere Alternative in der Cloud

Eine Migration in die Cloud bedeutet oft, dass ein ganz neuer Satz von Tools und Services eingeführt werden muss. Eine primäre Überlegung sollte hier sein, anbieterspezifische Produkte und Dienstleistungen zu vermeiden. Denn Produkte, die speziell für den Sicherheitsservice von Azure entwickelt wurden, müssen komplett überarbeitet werden, wenn das Unternehmen beispielsweise zu Amazon Web Services wechseln will. Beim Umstieg von einem auf einen anderen Cloud-Provider sollten nicht die Tools gewechselt werden müssen, egal, ob ein Unternehmen AWS, Google, Microsofts Azure oder einen der anderen Anbieter nutzt.

Da zudem viele Cloud-Bereitstellungen mit DevOps und anderen agilen Entwicklungsmethoden verbunden sind, kann die Verwendung des Konzepts "Security as Code" sowie die Forderung, dass die entsprechenden Sicherheitstools dieses Konzept unterstützen, einen großen Schritt in Richtung einer schnelleren und einfacheren Cloud-Umstellung bedeuten. „Security as Code“ meint, dass Sicherheitskontrollen von Entwicklern spezifiziert und aktualisiert werden, während Sicherheitsdesign und -architektur vom Sicherheitsteam in Verbindung mit Entwicklung und Betrieb festgelegt werden. Dies reduziert einerseits den Umfang des Sicherheitsproblems, macht aber andererseits auch die Sicherheit zur Voraussetzung für den Einsatz.

3. Alte Lizenzmodelle sind oft das Problem, nicht die Lösung

Anwendungen in der Cloud müssen agil sein und sich ständig den sich ändernden Umständen anpassen lassen. Softwarelizenzen stehen einem Wechsel in die Cloud häufig im Wege. Lizenzen sind ein Überbleibsel aus den Tagen von Softwareprodukten für lokale Rechner und als solche oft ein Zeichen dafür, dass ein Unternehmen versucht, die falsche Art von Technologie in die Cloud zu migrieren. Die Abrechnung für jede Einheit einer Web Application Firewall (WAF) beispielsweise macht es unerschwinglich teuer, eine WAF mit jeder Anwendung zu implementieren. Stattdessen kann hier ein Application-Security-as-a-Service- oder Runtime-Sicherheitsschutz für Anwendungen die Lösung sein.

Mentalitätswechsel zugunsten der Cloud

Klaus Gheri, VP & GM Network Security bei Barracuda Networks.
Klaus Gheri, VP & GM Network Security bei Barracuda Networks. (Bild: JOHANNES PLATTNER FOTOGRAFIE, A-6020 INNSBRUCK / Barracuda Networks)

IT-Teams, und speziell die IT-Sicherheits-Teams, haben es bei der Migration in die Cloud beileibe nicht einfach. Ein Großteil ihrer langjährigen Erfahrung aus dem Rechenzentrum lässt sich partout nicht auf die Cloud übertragen. Die Tatsache, dass viele Security-Teams es dennoch versuchen, die ihnen bekannten Konzepte auf die Cloud zu übertragen, beweist, dass es nicht nur ausreicht, neue Konzepte zu lernen, sondern es darüber hinaus notwendig erscheint, herkömmliche Konzepte gedanklich über Bord zu schmeißen.

Anstatt den gesamten Datenverkehr über das Netzwerk zu kontrollieren, könnten sie sich darauf konzentrieren, jede Anwendungsinstanz zu schützen, Benutzer zu überwachen und Sicherheitsanforderungen in ein allumfassendes Regelwerk zu verwandeln, das Teil des Entwicklungs- und Bereitstellungsprozesses ist.

Der Autor: Klaus Gheri, VP & GM Network Security bei Barracuda Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45400888 / Risk Management)