:quality(80)/p7i.vogel.de/wcms/b8/61/b8615878dfcb9b7383269a429384a593/0115304715.jpeg "Von klassischem Filesharing bis hin zu vollumfänglichen Collaboration-Plattformen: Dank Cloud Content Management haben Angestellte jederzeit sicheren Zugriff auf alle nötigen Daten und Anwendungen. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/98/3d98b69e471f34ee67173e2b19150983/0115412594.jpeg "Enterprise-SaaS-Angebote bringen die klassischen Geschäftsanwendungen in die Cloud – und damit hohe Flexibilität und Skalierbarkeit, um im Wettbewerb langfristig am Ball zu bleiben. (Bild: peacehunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/98/1c98109e01f9d42dbfe8e5f91371de50/0106084133.jpeg "Managed Cloud Provider stellen Speicher- und Rechenressourcen bereit, hosten benötigte Anwendungen und übernehmen die Verwaltung, Wartung und Absicherung von Technik und Diensten. (© Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/2d/912d22362ea9150bda4edbeb628f2ecf/0115212768.jpeg "Mit der zunehmenden Verbreitung von Cloud Computing änderten sich auch die klassischen Software-Lizenzen - heutzutage sind Abonnement-Modelle, so genannte Subscriptions gängige Methoden der Software-Beschaffung. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/a1/f7/a1f7f8cdb0d4b00cb4e375692c9890ea/0115336164.jpeg "Nachhaltigkeit ist das Gebot der Stunde: das gilt auch für die moderne Softwareentwicklung. Wie Green Coding im Cloud-Zeitalter funktionieren kann, erklärt Marcel Russ von Exxeta im Beitrag. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/e3/b6e3c889c37acc6c1ed05de0a59af0ea/0114836904.jpeg "Noch immer erschwert unzureichende Technik die Arbeit von zu Hause. (Bild: © – ChayTee – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/3c/443c56033096d4c46b82ee981747129a/0115443750.jpeg "Ein „künstlich intelligentes“ Ballett gehörte zu den Showeinlagen der Workday Rising EMEA-Konferenz. (Bild: Müller)")
:quality(80)/p7i.vogel.de/wcms/d3/ca/d3ca83f391312649f41880038627ec40/0115489128.jpeg "Eine E-Mail-Adresse mit eigener Domäne zu besitzen, wirkt im geschäftlichen Umfeld professioneller. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/91/2d/912dbcabf7f32923ab6a5f43c3447f23/0115485204.jpeg "Die Umstellung auf Cloud-Services sollte so erfolgen, dass weder laufende Workflows unterbrochen, noch Kundenbeziehungen oder sogar das Geschäft selbst gefährdet werden. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/9f/2a9fdac9280086eacdf3f04d7990ba34/0115563968.jpeg "Viele Bundesbürger stehen dem KI-Einsatz positiv gegenüber, sehen aber auch derzeit nicht abschätzbare Risiken insbesondere mit Folgen für das Mediensystem und die Demokratie. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/d2/2fd2661061c70a86bd3aacdf35db555d/0115412159.jpeg "Softwarepiraterie ist wieder ein Problem. Doch der Ärger bei den Herstellern schlägt noch größere Wellen. (Bild: Canva/Lucas Schmidt)")
:quality(80)/p7i.vogel.de/wcms/30/88/30888c59780c6e7421fe8e54d3f6b832/0115444329.jpeg "Canonical hat eine „Micro Cloud“ vorgestellt, eine Open-Source-Lösung, die einfach, weitgehend automatisiert und sicher betrieben werden könne. (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/be/45/be45d41dec36c9e20f4c88f2a6da819b/0115442388.jpeg "Mit der „emma“-Plattform sollen Organisationen jeder Größe das wahre Potenzial ihrer Cloud-Strategien ausschöpfen, Innovationen vorantreiben und sich somit einen Wettbewerbsvorteil sichern können. (Bild: jamesteohart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/69/fa696fba62d0c488e4fd63f5902aae09/0115363115.jpeg "CISPE hat auf dem jüngsten Gaia-X-Gipfel allen Anbietern seinen Federation Catalogue zur Verfügung gestellt, die die Kernanforderungen von Gaia-X erfüllen. (Bild: frei lizenziert, 41330 / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/12/6a/126a5160cdf5d91408c07621988fc04d/0115491197.jpeg "Die Cloud sorgt für positive ROIs, wie ein aktueller Report von MIT Technology Review und Infosys Cobalt zeigt. (Bild: Michaela)")
:quality(80)/p7i.vogel.de/wcms/33/f3/33f3ba2d02a3ce977158ca59bb74f7c2/0115032740.jpeg "VMware-Kunden fühlen sich von den Lizenzvorgaben ihres Software-Liferenten bedoht und manche flüchten .... zur Konkurrenz. (Bild: GraffiTimi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/1a/541a51ee78f099d577ebef88748c98de/0115421247.jpeg "Die ausufernde technische Infrastruktur erfordert eine neue Kategorie von Integrationsplattformen, die den Anforderungen der Nutzer gerecht wird und Datensilos auflöst. (Bild: Software AG)")
:quality(80)/p7i.vogel.de/wcms/e5/ea/e5ea917b3c394033e9a33f64a862648d/0115393557.jpeg "Cyberangriffe mit Ransomware sind nach Einschätzung des BSI nach wie vor die größte Bedrohung für Wirtschaft und Verwaltung. Sie verursachen einen Großteil der wirtschaftlichen Schäden, die durch Cyberangriffe entstehen. (©MH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/d9/65d9fcb5f8f83f264671e8f62c4ff615/0115174800.jpeg "(Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/c4/e1/c4e1280ea1e8075ce49f0d40091ee55e/0115209201.jpeg "Nicht immer sind sich Unternehmen und ihre Mitarbeiter drohender Risiken bewusst. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/4b/9c/4b9c0bd0d9be24bf0878ccc3fa6b2624/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/59/96/599648de637a03f0c1b5482c762fbd96/0115418433.jpeg "Aus der Nutzung von SAP ADM ergeben sich nicht nur technische, sondern vor allem wirtschaftliche Vorteile: Die Produktivität von IT-Abteilungen und der Projektteams wird höher. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/72/56721511461fd1c95e13fdbda06976b1/0115201012.jpeg "Die Impossible Cloud verspricht, die Cloud „neu zu denken“. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/10/11/10113dd28b98cf89cc37c0a32e43748b/0115171270.jpeg "Oracle und Microsoft sind eine mehrjährige Vereinbarung für das Inferencing von KI-Modellen eingegangen. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/f1/50/f1501494a783487718263fc201b5a219/0115023358.jpeg "Die SAP hielt ihre TechEd 2023 in Bangalore, Indien, sowie virtuell ab. (Bild: SAP)")
:quality(80)/p7i.vogel.de/wcms/c7/36/c736f7a78dfe236e4a6a34b6536de317/0114891083.jpeg "Immer wieder heißt es, ChatGPT könne den Arbeitsalltag erleichtern. Wie kann das aussehen? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/71/997164de5cda0e0179f12f1e92c65ae7/0114997140.jpeg "Low-Code-Entwicklungsplattformen reduzieren die Komplexität cloud-nativer Entwicklung und erlauben beispielsweise die Automatisierung zeitaufwändiger (Programmier-)Prozesse. (Bild: Ivelin Radkov - stock.adobe.com)")
Gartner-Studie zu Cloud-Anwendern Sicherheit und Innovation in Einklang – so geht`s
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/102100/102109/65.png "VMW_09Q3_LOGO_Corp_K.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Viele Cloud-Anwender tun sich schwer, ein Gleichgewicht zwischen Sicherheit und Innovation zu finden. Im Folgenden werden drei Best-Practice-Ansätze für Sicherheits- und Compliance-Kontrollen vorgestellt, die bei Unternehmen mit erfolgreicher Public-Cloud-Präsenz üblich sind. Sicherheitsverantwortliche können mit diesen Praktiken Sicherheitskontrollen implementieren, ohne Innovation und Agilität einzuschränken.
Ziel der Gartner-Studie war es, Herausforderungen, Lösungen und Best Practices von Unternehmen zu ermitteln, die über umfangreiche und erfolgreiche Erfahrungen mit der Einführung einer Public Cloud verfügen. Die Befragungen wurde von Juli bis Oktober 2021 durchgeführt. Das Gartner-Analystenteam wählte Unternehmen aus, die seit mindestens drei Jahren erfolgreich mit Public Clouds arbeiten, in erheblichem Umfang sowohl SaaS als auch integrierte IaaS und PaaS einsetzen und mindestens 500.000 US-Dollar pro Monat für integrierte IaaS und PaaS in der Public Cloud ausgeben.
Zwei gegensätzliche Ansätze
Sicherheitsbedenken oder die fehlende Modernisierung des Sicherheitskonzeptes, können zu zwei entgegengesetzten Fehlern führen. Der erste ist zu viel Kontrolle, was Innovationen hemmt und damit den wichtigsten Treiber des Cloud-Geschäfts direkt beeinträchtigt. Diese Situation führt leicht zu einem Anstieg der Schatten-IT. Der zweite ist zu wenig Kontrolle, was Angst und Misstrauen schürt. Angesichts der Komplexität und der Leichtigkeit von Fehlkonfigurationen führt diese Situation zwangsläufig zu inakzeptablen Sicherheits- und Compliance-Risiken.
Beide Ansätze, entweder zu viel Kontrolle (Sicherheit) oder zu viel Freiheit für die Entwickler, können zum Scheitern führen. Ein perfektes Gleichgewicht ist unmöglich, und die meisten befragten Unternehmen geben dem Zugang zu Innovationen den Vorrang vor einer strengen Kontrolle. Dies ist nicht überraschend, da Innovation ihr wichtigster Treiber für die Cloud war. Erfolgreiche Cloud-Anwender konzentrieren sich darauf, im Vorfeld die passende Sicherheitsgrundlage in Verbindung mit einer stärkeren Automatisierung zu schaffen. Drei Best Practices, deren Kombination bei erfolgreichen Cloud-Anwendern häufig zu beobachten ist:
Best Practice 1: Aufteilung der Umgebungen in nicht verbundene Cloud-Umgebungen für Experimente und Produktionsumgebungen mit strengeren Kontrollen
In den meisten Unternehmen fällt es den Sicherheitsteams schwer, sich von den traditionellen technischen und verfahrenstechnischen Sicherheitsansätzen zu lösen. Dies führt häufig zu Frustrationen zwischen Entwicklern, anderen Cloud-Nutzern und Sicherheitsteams. Es kann auch eine Triebfeder für Schatten-IT sein. Beide haben berechtigte Argumente: Cloud-Nutzer wollen ihre Entwicklungs- und Innovationsgeschwindigkeit und -freiheit erhöhen, die Sicherheitsteams wollen sensible Informationen und Infrastrukturen schützen. Dies verschärft sich in Unternehmen, die eine hybride Cloud nutzen, die in zwei Bereichen zusätzliche Komplexität mit sich bringt: Netzwerk (in Bezug auf Latenz/Verbindungsfähigkeit) und Sicherheit (aufgrund der Verbindung unterschiedlicher Umgebungen).
Um diese Kluft zu überwinden, definieren die Unternehmen in der Regel zwei Arten von Umgebungen:
Unverbunden: Diese Umgebung ist nicht mit der lokalen Infrastruktur und wichtigen Komponenten wie Active Directory verbunden. Infolgedessen werden nur wenige Sicherheitsrichtlinien angewandt und die Benutzer genießen eine größere Freiheit. Sie können diese Art von Umgebung für Sandboxes oder Produktionsanwendungen verwenden, die keine Interaktion mit lokalen Anwendungen erfordern.
Verbunden: Diese Umgebung ermöglicht die kontrollierte Nutzung von Verbindungen zu lokalen Anwendungen und Netzwerken. Die Sicherheit erzwingt strengere Richtlinien auf Kosten der Freiheit für den Cloud-Nutzer. Strengere Kontrolle macht die Bereitstellung in der Regel deutlich langsamer und komplexer, ermöglicht aber die Integration mit wichtigen lokalen Netzwerken, Anwendungen und Daten.
Die meisten erfolgreichen Cloud-Anwender implementieren einen formalen Prozess, um standardisierte Cloud-Sandboxen anzufordern, damit ihre Entwickler mit Innovationen in einer risikoarmen, abgekoppelten Umgebung experimentieren können. Die Aufteilung von Umgebungen trägt dazu bei, ein Gleichgewicht zu schaffen. Es wird eine dedizierte, wenig kontrollierte Umgebung für die Entwicklung und das schnelle Prototyping bereitgestellt, statt langwierige Prozesse aufzuerlegen, um das höchste Sicherheitsniveau zu erreichen.
Best Practice 2: Einbindung von Sicherheit und Compliance bei der Einführung von Anwendungen durch Einbeziehung von Sicherheits- und Compliance-Bewertungen und -Anforderungsprozessen
Nahezu alle befragten Unternehmen verfügen über einen formalisierten Anwendungseinführungsprozess, bevor Anwendungen in die Cloud überführt werden. Dieser Prozess wird in der Regel durch ein selbst entwickeltes Tool mit einem Fragebogen unterstützt. Die Fragen beziehen sich auf Nähe, Latenz, Integration, Gesamtbetriebskosten und Architektur. Sicherheit und Compliance haben ebenfalls einen starken Einfluss auf den Anwendungseinführungsprozess. Dabei geht es beispielsweise um Datenresidenz und -klassifizierung, Integration, Sicherheitsarchitektur und technische Sicherheitskontrollen. Interessanterweise wird der Fragebogen zum Anwendungs-Onboarding nicht dazu verwendet, um zu entscheiden, ob eine Anwendung in die Cloud verlagert werden soll oder nicht. Er soll vor allem den Verbraucher darüber informieren, wie er die Risiken für diese spezifische Anwendung verwalten kann. Ob eine Anwendung in die Cloud migriert werden soll oder nicht, wird in der Regel bereits in einem formalisierten Schritt der Anwendungsbewertung entschieden.
Die meisten Unternehmen haben bereits neue Stellen für spezielle Cloud-Sicherheitsspezialisten geschaffen. Einige dieser Spezialisten wurden in verschiedene Teams integriert (z. B. Produkt oder DevOps) und sind nicht mehr nur Teil eines isolierten Sicherheitssilos. Cloud-Sicherheitsspezialisten werden in das Onboarding von Anwendungen einbezogen, um die Einhaltung bewährter Sicherheitsverfahren im Vorfeld zu gewährleisten.
Neben der Einbindung von Sicherheit und Compliance während des Anwendungs-Onboardings führen viele Unternehmen explizite Tests durch, um eine Anwendung für die Bereitstellung zu genehmigen, insbesondere im Hinblick auf Sicherheitslücken. Es ist auch üblich, Penetrationstests für solche Anwendungen durchzuführen.
Fazit: Die frühzeitige Einbindung der Sicherheit in den Onboarding-Prozess und die Einbindung von Sicherheitsexperten in die Tests und den Betrieb stellen sicher, dass die Rechtekontrollen implementiert werden, ohne die Innovationsmöglichkeiten zu behindern.
Best Practice 3: Implementierung von Cloud-Plattform-Operationen, die automatisch Sicherheitsregeln und -kontrollen als Teil des Bereitstellungsprozesses anwenden
Aus den Interviews geht hervor, dass viele Unternehmen Governance und Cloud-Betrieb auf der Grundlage eines Plattformansatzes eingeführt haben. In den befragten Unternehmen besteht dieser aus einer Reihe von Regeln, Richtlinien und Prozessen zur Nutzung von Diensten eines Hyperscale-Anbieters. Die Unternehmen haben ein Cloud-Plattform-Betriebsteam eingerichtet, das wie ein Produktteam arbeitet. Erfolgreiche Cloud-Anwender automatisieren in der Regel die Anforderung und Bereitstellung von Landing Zonen in Form von AWS-Konten, Azure-Abonnements und GCP-Projekten.
Die Sicherheitspraxis wird mit gleichem Augenmerk auf die proaktive Vorab-Bereitstellung der Sicherheitsrichtlinien und die reaktive Nachbereitungsphase (Überwachung) eingerichtet. Die meisten Unternehmen nutzen wenig Automatisierung bei der Behebung von Sicherheitsproblemen. Die Behebung von Sicherheitslücken ist nach wie vor ein weitgehend manueller Prozess, an dem verschiedene Gruppen beteiligt sind.
Zusammenfassend lässt sich sagen, dass eine vollständige Sicherheitsautomatisierung über den gesamten Lebenszyklus von Cloud-Anwendungen für die meisten Unternehmen zwar erstrebenswert ist, die Automatisierung von Sicherheitsrichtlinien mithilfe eines Plattformansatzes jedoch eine bewährte Praxis darstellt. Er ermöglicht die Implementierung von Sicherheitskontrollen zum Zeitpunkt der Bereitstellung, ohne die Geschwindigkeit und Agilität der Infrastrukturautomatisierung zu beeinträchtigen.
(ID:48733416)
:quality(80)/p7i.vogel.de/wcms/e6/d5/e6d5e1e13c300f246d2704f23c3584bf/0112966389.jpeg "Multi-Cloud-Networking ist eine wichtige Komponente, um die Komplexität der Infrastruktur bei Multi-Cloud-App-Architekturen zu reduzieren. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/93/cd939a78068c0c6caf552f86ad6959d9/0109365582.jpeg "Um einen DevSecOps-Ansatz erfolgreich umzusetzen, müssen Teams in der Lage sein, schnelle und sichere Deployments zu gewährleisten. (Bild: <a href=https://unsplash.com/de/@growtika>Growtika Developer Marketing Agency</a>)")