Cloud braucht Cloud-native Entwicklung Ist On-Premises-Security noch zeitgemäß?

Ein Gastbeitrag von Wolfgang Kurz*

Viele Unternehmen sind in ihrer Cloud Journey bereits weit fortgeschritten. Doch während immer mehr Business-Applikationen in die Cloud wandern, ist das bei Security-Systemen nur bedingt der Fall. On-Premises-Security eignet sich zur Absicherung von Anwendungen in der Cloud jedoch nur bedingt.

Anbieter zum Thema

Entwicklung in der Cloud für die Cloud – der Cloud-native Ansatz sollte auch für Security-Lösungen gelten.
Entwicklung in der Cloud für die Cloud – der Cloud-native Ansatz sollte auch für Security-Lösungen gelten.
(Bild: peshkov - stock.adobe.com)

Laut einer aktuellen Studie von KPMG wollen deutsche Unternehmen bis 2025 mehr als die Hälfte ihrer produktiven Anwendungen in der Cloud betreiben. 31 Prozent unter den Befragten verfolgen bereits eine Cloud-First-Strategie und bevorzugen bei IT-Projekten Cloud-Technologie. Doch trotz zahlreicher Vorteile bringt das auch Herausforderungen mit sich.

Cloud Gateways schaffen und Zugänge absichern

Eine wichtige Frage ist beispielsweise, wie man On-Premises-Systeme und Cloud-Services miteinander verbindet. Hierfür sind sichere Cloud Gateways gefragt. Denn auch bei einer Cloud-First-Strategie arbeiten die meisten Unternehmen in den nächsten Jahren noch mit hybriden Umgebungen. Es wird immer Workloads geben, die man lieber im eigenen Rechenzentrum behält oder die man aus technischen Gründen nicht einfach in die Cloud migrieren kann.

Eine andere Herausforderung besteht darin, den Zugang zu den Services richtig abzusichern. Denn in der Cloud ist zunächst einmal vieles offen und aus dem Internet erreichbar. IT-Teams müssen selbst für Zugangskontrollen sorgen – am besten mit Multifaktor-Authentisierung (MFA), da statische Passwörter zu unsicher sind. Hier brauchen Unternehmen eine Lösung, die sowohl für die Nutzer als auch die IT-Abteilung einfach zu handhaben ist.

Denn die Zahl der Anwendungen, die Mitarbeiter einsetzen, wächst kontinuierlich. Dadurch sind Administratoren mit einem immer komplexeren Ökosystem aus On-Premises- und Cloud-Applikationen konfrontiert, in dem sie Zugriffsrechte verwalten müssen. Das ist aufwändig und kostet viel Zeit. Auch Nutzer werden in ihrer Produktivität ausgebremst, wenn sie sich mit komplizierten Anmeldeverfahren auseinandersetzen müssen. Am besten lassen sich diese Herausforderungen mit einer Cloud-nativen Plattform für Access Management lösen, die MFA, Single-Sign-On und eine zentralisierte Benutzerverwaltung bietet.

Integrierte Security der Cloud-Provider reicht nicht aus

Die meisten Unternehmen versuchen zunächst oft, Security-Anforderungen mit Bordmitteln ihrer Cloud-Anbieter zu lösen. Denn die großen Hyperscaler wie AWS, Microsoft Azure und Google Cloud Platform haben bereits zahlreiche Basis-Security-Funktionen in ihre Cloud-Services integriert. In der Regel stoßen sie jedoch bald an ihre Grenzen. So bietet Office 365 MFA nativ an. Sollen allerdings Supplier integriert werden, wird es schnell komplex. Wer mit vielen Partnern und Zulieferern zusammenarbeitet, ist daher mit der Cloud-nativen Remote-Access-Lösung eines Drittanbieters besser beraten.

Grundsätzlich sollten Unternehmen immer im Kopf behalten, dass Security nicht das Kerngeschäft der Hyperscaler ist. Zwar versuchen sie, auch diesen Bereich zu adressieren, bieten dafür aber meist nur minimalistische Ansätze an. Wer hohe Sicherheitsstandards umsetzen will, braucht in der Regel zusätzliche, spezialisierte Security-Lösungen von Drittanbietern.

Vorteile Cloud-nativer Security-Lösungen

Lange haben Unternehmen versucht, ihre Security-Systeme aus der On-Premises-Welt für die Cloud zu rüsten. Dabei ist es oft besser, sofort auf Cloud-native Security-Lösungen zu setzen. Sie werden ausschließlich für die Cloud entwickelt und basieren auf Microservices und Containern. Per API sind Lösungen schnell in den Software-Stack integriert.

Die Lösungen funktionieren plattformunabhängig, sind flexibel skalierbar und arbeiten problemlos mit den Services verschiedener Cloud-Provider zusammen. Auch das Management der Security-Lösungen wird einfacher und Hardware- sowie Rechenzentrums-Ressourcen müssen nicht mehr allokiert werden. Der Service ist ohne weitere Installationen schnell einsatzbereit und lässt sich bequem über eine Webkonsole managen.

Einladung zur CLOUD NATIVE Conference 2022

Digitalisierung und Cloud Computing waren die Schlüsselthemen der vergangenen beiden Jahre, um gegen Wettbewerber zu bestehen und gleichzeitig die digitale Benutzererfahrung der Mitarbeiter und Kunden aufzubauen und zu optimieren. „Cloud Native“ wurde damit für viele Unternehmen eines der zentralen Prinzipien, um Innovation und digitale Geschäftsprozesse Realität werden zu lassen.

Immer mehr Unternehmen haben deshalb den Schritt hin zu DevOps- bzw. DevSecOps-Strategien gewagt und ihre Cloud-Anwendungsarchitekturen aufgebaut. All dies geschieht mit dem Ziel, die Komplexität zu reduzieren; Container, Kubernetes und Microservices alleine werden diesem Anspruch allerdings nur bedingt gerecht. Schaut man sich die Entwicklungen im Cloud-Native-Ökosystem genauer an, verlagert sich die technische Komplexität einfach nur auf andere Bereiche. Das Entwickeln, Bereitstellen, Verwalten und Überwachen verteilter Anwendungen bringt neue, aber eben auch spannende Herausforderungen mit sich.

Im Rahmen der CLOUD NATIVE Conference 2022 sorgen wir am Mittwoch, 13. Juli, in Garching bei München einmal mehr für Durchblick. Anwenderunternehmen, IT-Dienstleister und Vertreter der Cloud-Native-Entwicklergemeinschaft unterstützen uns tatkräftig dabei, darunter AllCloud, claranet, SysEleven, Cloudflight, GitLab, die Public Cloud Group, PlusServer, Datacore, veeam und Nutanix.

Anmeldung zur CLOUD NATIVE Conference 2022

Wie finden Unternehmen den passenden Anbieter?

Der Anteil an Anwendungen, die in der Cloud für die Cloud entwickelt werden, nimmt immer weiter zu. So sollen Cloud-native Applikationen laut einer IDC-Umfrage bis in zwei Jahren knapp ein Drittel (29 Prozent) ausmachen. Doch wie sollen Unternehmen entscheiden, welche Security-Anwendungen für ihre Bedürfnisse die richtigen sind? Oft sind es noch neue, weitgehend unbekannte Security Services, die am besten geeignet sind. Sie sind von Grund auf Cloud-nativ aufgesetzt. Deshalb sollten Unternehmen die Newcomer jenseits der etablierten Security-Hersteller auf dem Radar haben.

Darüber hinaus kann die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) helfen. Er scannt kontinuierlich die Angebote am Markt, testet sie und kann mit seinem Wissen Hersteller-unabhängig beraten. Kennt der Provider sowohl On-Premises- als auch Cloud-Umgebungen, kann er seine Kunden optimal bei ihrer Cloud-Transformation begleiten.

Security an Unternehmens-Strategie ausrichten

Auf Cloud-native Security-Lösungen zu setzen, empfiehlt sich für Unternehmen, die sukzessive die Cloud-Transformation anstreben. Cloud-Lösungen bieten zahlreiche Vorteile: schnelle Integration, einfaches Management, bessere Skalierbarkeit. Zudem adressieren sie Herausforderungen in der Cloud, die die Basic-Security-Funktionen der großen Cloud-Provider nicht vollumfänglich abdecken können.

Wolfgang Kurz, Indevis GmbH.
Wolfgang Kurz, Indevis GmbH.
(Bild: Indevis GmbH)

Arbeiten Unternehmen mit einem MSSP zusammen, kann dieser beratend tätig werden. Er ist auf IT-Sicherheit spezialisiert und weiß, ab wann es sich lohnt, bestehende Appliances am Ende ihrer Laufzeit durch modernere, Cloud-native Alternativen abzulösen.

* Der Autor Wolfgang Kurz ist Geschäftsführer und Founder von Indevis.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48206849)