7 Fragen für CIOs

IT-Sicherheit in der Cloud neu denken

Seite: 3/3

Firmen zum Thema

7. Kann ich eigene Anpassungen der Kontrolle und Steuerung meiner Cloud-Dienste vornehmen?

Zweifellos ist das CTP eine „vertrauensbildende Maßnahme“, andererseits gibt es die Kontrolle über die Konfiguration und den Betrieb des Cloud-Dienstes nicht an den Cloud-Nutzer zurück.

Für die Zukunft des Cloud Computing wird entscheidend sein, ob die Anbieter imstande sind, dem Nutzer, ähnlich wie im klassischen IT-Outsourcing, Werkzeuge in die Hand zu geben, mit denen er seine je eigenen Kontroll- und Sicherheitsbedürfnisse im operativen Betrieb verwirklichen kann. Dazu gehören:

  • eine Richtlinien-basierte Steuerung von Anwendungen und Daten, das heißt, welche Anwendungsinstanzen mit welchen Daten in welchen Cloud-Umgebungen ausgeführt werden können, und wer autorisiert ist, die zulässige Betriebsumgebung zu definieren;
  • eine dynamische Installation und Konfiguration von Sicherheitswerkzeugen für Instanzen oder Aufgaben, inklusive Host-basierter Intrusion-Detection- oder Prevention-Systeme, Antivirus-Software, Schwachstellenprüfungen oder Patch-Management-Clients;
  • angepasste Sicherheitszonen, das heißt, die Möglichkeit, Sicherheitszonen mit unterschiedlichen Sicherheitsniveaus zu definieren, sodass der Dienst nur innerhalb bestimmter geographischer Grenzen ausgeführt werden darf, oder eine maximale Segregation virtueller Ressourcen gewährleisten muss, um mögliche Angriffsflächen zu minieren;
  • fein-granulare Zugriffsrechte auf Ressourcen, mit denen die Hierarchie der Organisation top-down von Geschäftseinheiten bis hin zu individuellen Projekten abgebildet werden kann.

Auch solche Maßnahmen sind heute bereits keine Frage mehr des technischen Könnens, sondern nur mehr eine Frage des technischen Wollens.

Vollständige Sicherheit beziehungsweise Kontrolle wird es auch im Cloud Computing nicht geben, sonst bräuchte es kein Vertrauen. Andererseits ist Vertrauen nicht voraussetzungslos.

Vertrauen in die Cloud kann nur entstehen, wenn Nutzer und Anbieter auf Augenhöhe kommunizieren, das Cloud-Leistungsversprechen für den Nutzer transparent wird und der Nutzer darauf reagieren kann. Die sieben Fragen für CIOs bieten da einen notwendigen Rahmen, um diesen Diskurs zu führen.

Die Autoren: Dr. Philipp Müller, Director Public Affairs CSC Central and Eastern Europe & Dr. Wolf Zimmer, Public Sector Consulting

Artikelfiles und Artikellinks

(ID:43504673)