Sicherheitsanforderungen bei Colocation

Die eigene Cloud im externen Datacenter

| Autor / Redakteur: Oliver Schonschek / Stephan Augsten

Bei Colocation bzw. Server-Housing greift wie in anderen Cloud-Szenarien auch das Modell der geteilten Verantwortung.
Bei Colocation bzw. Server-Housing greift wie in anderen Cloud-Szenarien auch das Modell der geteilten Verantwortung. (© blackboard - stock.adobe.com)

Anstatt ein eigenes Rechenzentrum zu betreiben, nutzen immer mehr Unternehmen die Dienste von Colocation-Anbietern. Doch wenn die eigene Cloud und Hardware in den Räumlichkeiten Dritter betrieben wird, hat dies Folgen für die Anforderungen an die Cloud-Sicherheit.

Auf dem Weg zu Colocation

Laut der Marktforscher von Gartner werden bis 2025 ganze 80 Prozent der Unternehmen ihre eigenen Rechenzentren schließen. Jedes zehnte Unternehmen hätten dies sogar bereits getan, so Gartner. Die Alternativen zum eigenen Datacenter reichen von Colocation (Server-Housing) bis hin zur Public Cloud.

Colocation ist heute längst Bestandteil moderner Data-Center-Architekturen, sagen die Marktforscher von IDC. Die Angebote beschränken sich dabei nicht mehr auf die Core-Komponenten „Space, Power und Netzwerk“, sondern sie wurden um Plattformen für den Betrieb hybrider Infrastrukturen erweitert.

53 Prozent der Befragten nutzen Colocation-Services oder planen eine Nutzung, wie eine IDC-Umfrage ergab. Lediglich 37 Prozent der befragten Unternehmen gaben an, dass Colocation derzeit kein Thema für sie sei.

Die Frage nach der Sicherheit muss geklärt sein

Eine Umfrage von maincubes ergab, dass die Sicherheit bei der Wahl eines Colocation-Betreibers nicht die Rolle für die befragten Unternehmen spielt, die sie eigentlich haben müsste. Auf Platz 1 von 15 Auswahlkriterien liegt demnach die Stromversorgung, das Thema Sicherheit landete nur auf Platz 7, Ausfallsicherheit sogar nur auf 12.

Zweifellos ist die Stromversorgung wichtig, auch für die Ausfallsicherheit. Doch sollten Unternehmen nicht den Fehler machen, das Thema Sicherheit einfach als gegeben vorauszusetzen, wenn sie ihre Hardware in die Räume eines Colocation-Betreibers stellen. Umfragen zeigen regelmäßig, dass viele Cloud-Nutzer immer noch meinen, die Cloud-Provider seien alleine für die Cloud-Sicherheit verantwortlich. Nun könnte die Gefahr bestehen, dies auch im Fall von Colocation zu denken.

In Wirklichkeit aber gilt bei Cloud-Services das Modell der geteilten Verantwortung, wonach der Cloud-Provider für den Schutz der Infrastruktur verantwortlich ist. Diese Infrastruktur besteht aus der Hardware, Software, dem Netzwerk und den Einrichtungen, auf und in denen die Cloud-Services ausgeführt werden. Die Kundenverantwortlichkeit betrifft die „Sicherheit in der Cloud“, insbesondere also die Sicherheit der Daten in der Cloud.

Die Frage der Aufteilung der Sicherheit muss bei Colocation aber neu gestellt werden, denn bei Colocation oder Server-Housing werden die Systeme des Kunden in den Räumen des Anbieters betrieben. Sprich: die Hardware und die Software darauf stammen von dem Kunden selbst.

Die Cloud-Sicherheit im Fall von Colocation

Wenn also ein Unternehmen die beim Colocation-Betreiber stehende Hardware nutzt, um eine eigene Cloud zu betreiben, wird die Colocation-Sicherheit zu einem Teil der Cloud-Sicherheit. Professionelle Anbieter von Colocation-Services bieten eine Reihe von Sicherheitsfunktionen, angefangen bei der Gebäudesicherheit über Bewachung, Videoüberwachung und Brandschutz bis hin zu Klimatisierung und Notstromversorgung.

Daneben bieten die Colocation-Betreiber auch einen Zugangsschutz zu der bei ihnen untergebrachten Hardware. So stehen die Server dann in speziellen Käfigen oder Räumen, mit abschließbaren Racks und Zutrittskontrollsystemen zu den Cages und Räumen. Im Gegensatz zu der Nutzung von Cloud-Diensten muss der Kunde aber bei Colocation auch die Sicherheit rund um die Hardware, die Software, den Speicher und die „interne“ Vernetzung bis hin zum Übergabepunkt an die Vernetzung des Betreibers sicherstellen.

Sicherheitszertifikate auch bei Colocation wichtig

Bei der Suche nach einem Colocation-Anbieter ist es nicht nur sinnvoll, auf Sicherheitszertifizierungen für den Rechenzentrumsbetrieb zu achten. Aus Compliance-Gründen ist es sogar zwingend erforderlich. Je nach gebuchten Colocation-Services wird der Anbieter zwar keine Auftragsverarbeitung im Sinne des Datenschutzes durchführen.

Doch die Datenschutz-Grundverordnung (DSGVO) zum Beispiel fordert Sicherheitsmaßnahmen von jedem Unternehmen, das personenbezogene Daten verarbeitet, die im Fall von Colocation zum Teil durch den Colocation-Betreiber erbracht werden. Dazu gehören teilweise die von der DSGVO geforderten Maßnahmen, wie ...

  • „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“ sowie
  • „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“.

Hier sind Colocation-Services entscheidend, die die Belastbarkeit, Verfügbarkeit, Integrität und Vertraulichkeit schützen sowie die Wiederherstellbarkeit unterstützen. Dazu gehören dann zum Beispiel die zuverlässige Stromversorgung ebenso wie die Zutrittskontrolle durch das Wachpersonal des genutzten Datacenters.

Wenn also die eigene Cloud in einem Colocation-Rechenzentrum betrieben wird, ändert sich die Aufteilung der Aufgaben für die Cloud-Sicherheit, doch es bleibt eine geteilte Verantwortung zwischen Anwenderunternehmen und Colocation-Provider. Was der Colocation-Anbieter für die Sicherheit leistet und vertraglich zusichert, kann von Anbieter zu Anbieter variieren.

Anwenderunternehmen tun gut daran, sich hier genau zu informieren und detaillierte vertragliche Regeln aufzustellen. Andernfalls könnte die Cloud-Sicherheit mangels richtiger Aufgabenteilung gefährliche Löcher aufweisen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46150809 / Hosting und Outsourcing)