Der systematische Prozess der Cloud-Migration Wie der Umzug in die Cloud zum Erfolg wird

Autor / Redakteur: Avivi Siman-Tov* / Elke Witmer-Goßner

Daten sind die neue Währung und Unternehmen müssen in der Lage sein, sofort und sicher auf ihre Daten zugreifen zu können, um schnell Entscheidungen zu treffen, die für ihre Strategie ausschlaggebend sind. Mit der Verlagerung von Geschäftsanwendungen in eine Cloud-Umgebung können IT-Abteilungen die Reaktionsfähigkeit des Geschäfts verbessern.

Firma zum Thema

Die Komplexität einer Cloud-Migration lässt sich erst einschätzen, wenn die Anzahl der Server und die damit verbundenen Geschäftsprozesse bekannt sind.
Die Komplexität einer Cloud-Migration lässt sich erst einschätzen, wenn die Anzahl der Server und die damit verbundenen Geschäftsprozesse bekannt sind.
(Bild: © lassedesignen - stock.adobe.com)

Beim Umzug von Anwendungen in die Cloud aber wird der Bedarf an Netzwerksicherheit oft übersehen. Dann werden jene bereitgestellt, ohne angemessene Sicherheits- und Konformitätsmaßnahmen. Oftmals zwingt das die Sicherheitsabteilung dazwischen zu treten und die Migration zu stoppen, um keine neue Angriffsfläche zu generieren.

Die Gefahr liegt auf der Hand: Unzureichende Sicherheit erleichtert Hackern den Zugriff auf das Netzwerk und setzt das Unternehmen finanziellen Verlusten und rechtlichen Konsequenzen aus. Wenn der Konzern also nicht in der Lage ist, rechtzeitig zu reagieren, können große Schäden die Folge sein.

Herausforderungen der IT-Sicherheit

Die Cloud-Migration bringt einige Vorteile mit sich, allerdings warten auch einige Hindernisse auf dem Weg, bevor das Potential voll ausgeschöpft werden kann. Eine AlgoSec-Umfrage ergab, dass Unternehmen einer Reihe von Herausforderungen bei der Migration zu öffentlichen Clouds entgegentreten müssen. Nach dem Umzug nennen 44 Prozent Schwierigkeiten bei der Verwaltung der Sicherheitsrichtlinien und fast ein Drittel bei der Abbildung des Datenverkehrs. Die Befragten machten sich auch Sorgen über die Unversehrtheit der Anwendungen in der Cloud, wobei die Angst vor direkten Angriffen mit 58 Prozent und vor unbefugtem Zugriff mit 53 Prozent vorne lagen, gefolgt von Anwendungsausfällen und falsch konfigurierten Sicherheitskontrollen in der Cloud.

Diese anfänglichen Schwierigkeiten sollten den Nutzen einer Cloud-Umgebung aber nicht schlecht machen. Dies lässt sich an den vier größten Vorteilen der Cloud-Migration demonstrieren, wenn die üblichen Herausforderungen an die IT-Sicherheit skizziert werden:

1. IT-Sicherheit und Datenschutz: Mit der Einführung der Public Cloud sind die Daten viel leichter zugänglich für jeden Anwender, unabhängig davon, wo dieser sich befindet. Das geschieht aber nicht kostenlos. Daten in der Cloud sind in hohem Maße reguliert und unterliegen daher strengen Vorschriften, wie innerhalb der Europäischen Union die Datenschutzgrundverordnung (EU-DSGVO). Sobald die Daten also nicht mehr vor Ort im Rechenzentrum aufbewahrt werden, muss die Sicherheit verstärkt werden und es müssen zusätzliche Kontrollen greifen. Verstöße gegen die Regularien gehen mit hohen Bußgeldern einher.

2. Agilität: Das Hochfahren eines Servers in der Cloud dauert nur wenige Minuten, denn für Cloud Computing ist keine Hardware und keine lokal installierte Software erforderlich. Wer eine solche Umgebung einrichten möchte, benötigt lediglich eine Kreditkarte zur Bezahlung und kann beinah sofort mit einer eigenen cloud-basierten Infrastruktur arbeiten. Einige Unternehmen werden sogar rein durch SaaS- und IaaS-Dienste (Software-as-a-Service und Infrastructure-as-a-Service) betrieben und sind dadurch unglaublich flexibel. Aber diese Agilität ist mit Risiko verbunden. Um daher eine hohe Sicherheit zu gewährleisten, benötigen Unternehmen vollständige Sichtbarkeit ihres Netzwerks. Zudem sind starke Vorkehrungen gegen Ausfälle und zuverlässige Cloud-Firewalls erforderlich, sowie etablierte Richtlinien, um die Konnektivität für jeden verwendeten Cloud-Server aufrecht zu halten.

3. Günstige Preise: Die Cloud benötigt keine Wartungs- und Kapitalkosten und reduziert die Ausgaben für den IT-Support deutlich. Hinzu kommt der Vorteil, dass nur das bezahlt wird, was zum Einsatz kommt. Teure Hardware, die nur in Spitzenzeiten benötigen wird, entfällt. Je nach Anbieter kann es jedoch versteckte Kosten geben, weswegen sich eine genaue Prüfung vor Vertragsschluss rechnet. Es lohnt sich darum, die Nutzung und die Cloud-Ressourcen generell zu überwachen, um sicherzustellen, dass diese optimiert sind und so effizient wie möglich arbeiten.

4. Time-to-market: Wenn die Cloud-Umgebung mit den Praktiken und Tools von DevOps gekoppelt wird, können Firmen ein Fundament gießen, auf das sie ohne großes zusätzliches Kapital aufbauen können. PaaS (Platform-as-a-Service) hat die Time-to-market für diese Organisationen revolutioniert, doch auch hier gilt es Herausforderungen zu meistern. Wenn viele Teams bei der Entwicklung zusammenarbeiten und damit viele bewegliche Teile im Prozess eingebunden sind, wird die Sicherheit oft beiseitegeschoben und sogar vergessen. Das aber bedeutet, dass sie erst am Ende des Prozesses in Angriff genommen wird und Sicherheitslücken unvermeidlich sind, die von Kriminellen ausgenutzt werden können.

Was alle Unternehmen letzten Endes brauchen, um die Vorteile der Cloud wirklich genießen zu können, ist eine Automatisierung der Verwaltung ihrer Sicherheitsrichtlinien, die außerdem die DevOps-Methodik einbindet und sogar den DevSecOps-Ansatz zum Aufbau einer Sicherheitsbasis unterstützt. Eine derartige Security-Automatisierung muss in der Lage sein, die Firewall-Regeln automatisch bei Änderungen im Netzwerk zu prüfen und anzupassen – über alle Umgebungen und Systeme hinweg. So bilden die Regeln auch die neuen Objekte im DevOps-Lebenszyklus ab. Auf diese Weise sorgt die Sicherheitslösung auch für die dauerhafte Einhaltung der Compliance und weil sie alle Änderungen in einem Log speichert, ist ein Unternehmen jederzeit bereit für das Auditing.

Kernelement: Sichtbarkeit des Netzwerks

Die meisten Unternehmen besitzen zwei Arten von Anwendungen: Unternehmens- und Abteilungsanwendungen. Es muss daher einfach gehalten werden, die Informationen zur untereinander verbundenen Konnektivität zu erhalten, denn diese sind für den Cloud-Umzug unerlässlich. Der Schlüssel zum Erfolg hierbei ist, überhaupt zu wissen, welche Anwendungen im Netzwerk existieren. Die sogenannte Schatten-IT wird viel zu oft unterschätzt und Untersuchungen durch Sicherheitsexperten in Unternehmen sorgen regelmäßig für Überraschungen, wie viele Anwendungen tatsächlich laufen und wie wenige davon den Fachkräften bekannt sind.

Sobald die Liste aller Anwendungen erstellt ist, wird es Zeit alle Schwachstellen im bisher genutzten Server zu identifizieren und zu schließen. Außerdem muss ein Verständnis der Anforderungen an die Netzwerkkonnektivität entwickelt und eine Übersicht er Anwendungsattribute erstellt werden, wie die Anzahl der Server und der damit verbundenen Geschäftsprozesse. Diese Elemente helfen, die Komplexität einzuschätzen, die mit der Migration von Anwendungen in eine Cloud-Umgebung verbunden ist.

Komplexität verstehen

Mehrere Attribute können sich auf diese Komplexität auswirken, darunter die spezifischen Anforderungen der Anwendungen an die Konnektivität und die damit zusammenhängenden Firewall-Regeln, welche diese Konnektivität zulassen oder verweigern. Die Abbildung dieser Verbindungen ermöglicht ein tieferes Verständnis des Netzwerkverkehrs, was wiederum Einblick in die Datenströme gewährt – und diese Sichtbarkeit benötigen Unternehmen dringend für die korrekte Verschiebung und künftige Wartung ihrer Anwendung in der Cloud-Umgebung. Das liegt daran, dass es umso schwieriger ist, eine Anwendung umzuziehen, je mehr Anwendungen denselben Server nutzen und daher voneinander abhängig sind. Es kann dementsprechend notwendig sein, den gesamten Server selbst zu verschieben oder mehrere Anwendungen gleichzeitig.

Die Abbildung der Firewall-Regeln gibt zudem Einblick in die Sicherheitsmaßnahmen, die Konzerne nach der Migration der Anwendung in die Cloud-Umgebung ergreifen sollten. Als Faustregel gilt: Je mehr Firewall-Regeln erforderlich sind, desto größer ist die Komplexität. Eine genaue Zuordnung von Regeln zu Anwendungen und Konnektivität macht es möglich, Sicherheitsrichtlinien zu identifizieren und stillzulegen, die nach der Migration nicht mehr erforderlich sind.

Um eine umfassende Dokumentation der Konnektivität aller Anwendungen aber erstellen zu können, bietet sich erneut eine Security-Automatisierung als Lösung an. Sie kann die verschiedenen Datenströme, Server und Firewall-Regeln im Netzwerk für jede Anwendung automatisch abbilden, übersichtlich auf einer Konsole präsentieren und in einem Log sämtliche Prozesse vermerken. Wie hoch der Aufwand wäre, dies manuell zu bewerkstelligen, kann sich wohl jeder vorstellen.

Wahl der Migrations-Strategie

Die meisten Unternehmen betrachten die digitale Transformation als eine allmähliche Entwicklung, die Vorsicht und Strategie erfordert, um sie gut zu gestalten. Ein Unternehmen könnte sich dafür entscheiden, zunächst nur einige Anwendungen in die Cloud zu verlagern oder aber gleich mehrere Cloud-Anbieter für unterschiedliche Bereiche zu nutzen.

Egal welche Entscheidung getroffen wird: Die Verantwortung für die Sicherheit der aufgesetzten Anwendungen und gespeicherten Daten, sowie für die Konformität zu Compliance und Regularien liegt weiterhin beim Unternehmen – nicht beim Cloud-Anbieter. Dieser ist nur für die Infrastruktur der Cloud-Umgebung zuständig. Dieses Prinzip der Geteilten Verantwortung wird gerne übersehen.

Avivi Siman-Tov, AlgoSec.
Avivi Siman-Tov, AlgoSec.
(Bild: David Garb)

Hier greift eine Security-Automatisierung natürlich besonders gut, weil sie diese Einhaltung beständig prüft, Empfehlungen abgibt und Dokumentation für das Auditing erstellt. Sie hilft also Unternehmen dabei, die Verantwortung wahr zu nehmen und das Vertrauen der Kunden wie auch Partner zu rechtfertigen und zu wahren – das wertvollste Gut.

* Der Autor Avivi Siman-Tov ist Director of Product Management bei AlgoSec.

(ID:47124517)