:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/52/80/528027b69c7908d3e3bcf1cb66143759/0114011919.jpeg "Unter IT-Fachkräften ist die Wechselbereitschaft in einen neuen Job insgesamt hoch.
(Bild: stockphoto-graf - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0c/170c447f374fd98bc908de7baac519bd/0113797181.jpeg "AWS fördert Startups mit speziellen Programmen, die Tools, Ressourcen, Know-how-Vermittlung und Expertenunterstützung beinhalten. (Bild: Gajus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/71/51719888231fa107f7e5d63f6b0c1a78/0113156400.jpeg "Azure Database for PostgreSQL ist ein relationaler Datenbank-Service, der in der Microsoft-Cloud Azure für die auf Open Source basierenden PostgreSQL-Datenbanken zur Verfügung steht. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/72/26/72266259adace20cc0461c2a74c87844/0114119093.jpeg "„Jetzt ist jeder ein Einstein“: Salesforce-CEO Mark Benioff stellt auf der Dreamforce 2023 die Einstein 1 Plattform vor, Grundlage für die nächste Generation aller Salesforce CRM-Anwendungen. (Bild: © 2023 by Jakub Mosur Photography)")
:quality(80)/p7i.vogel.de/wcms/ad/19/ad19800c257e30990b8187eb5584bf59/0114075814.jpeg "Satya Nadella, Chairman und CEO von Microsoft, und Larry Ellison, Chairman und CTO von Oracle, kündigten im Vorfeld der Cloud World die Oracle Database@Azure an. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/a7/ef/a7ef4dc470c065d23bcc7302715b1980/0113987827.jpeg "Im Bitkomat zur Bayern-Wahl überprüft Thesen aus den Bereichen Bildung & Teilhabe, Politik & Verwaltung, Digitale Wirtschaft & Infrastruktur sowie Sicherheit & Datenschutz. (Bild: frei lizenziert Alexander Fox | PlaNet Fox - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/18/45/18454ed29fad9a118842fe42bddcf893/0113965709.jpeg "Von künstlicher Intelligenz unterstützte Technik kann die Lebensqualität vieler Menschen verbessern und ihnen eine gleichberechtigte Teilhabe an der digitalen Welt ermöglichen. (Bild: Elena - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/3f/843f5d880de993c558fd8c2d6142f35a/0113950862.jpeg "IT-Beschaffung als Marathon begreifen: Über die richtige Auswahl der Software können Unternehmen ihre digitale Transformation effizient und vor allem nachhaltig vorantreiben. (Bild: frei lizenziert Aurora - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2b/79/2b79ceb9e6a2d9f7a82a8347ab28216e/0114014631.jpeg "Die EU-Kommission hat Bedenken wegen der Kopplung von Teams an Microsoft 365 – der Tech-Konzern reagiert mit einer Entkopplung der Produkte. (Bild: yavdat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/0e/7d0e94154b8b88f42eb6a0603f2cf881/0113931800.jpeg "Microsoft-365-Apps werden sich bald nicht mehr über die Terminal Services der Windows-Server-Produkte bereitstellen lassen; das Supportende für Windows Server 2016/2019 und Windows Server 2022 rückt näher. (Bild: Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/26/5b26d76b435b0f7e25d598192dca2b6d/0114017591.jpeg "Die umstrittene Vorratsdatenspeicherung sollte Terrorismus, illegalen Waffenhandel und die Verbreitung kinderpornographischen Materials eindämmen. Aus Datenschutzgründen fand sie offiziell seit 2017 keine Anwendung mehr – nun wurde sie endgültig für rechtswidrig erklärt. (© mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/6d/b66d2ecd13330bad5d07ec4b737aef66/0112149170.jpeg "(Bild: Uptime Institute)")
:quality(80)/p7i.vogel.de/wcms/6f/b5/6fb564b2bc6e0c2e7ed55a9b1214507a/0113999855.jpeg "Die Herangehensweise der führenden Anbieter an die Sovereign Cloud ist so vielfältig wie das Verständnis der Menschen davon, was Sovereign Cloud überhaupt bedeutet. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/25/fd2514855c82567337dced7167a1a4d9/0114113025.jpeg "Am „Tag der offenen Rechenzentren“ können Interessierte einen Blick hinter die Kulissen von Cloud und Co. werfen. (Bild: Hensel / tdorz.de)")
:quality(80)/p7i.vogel.de/wcms/84/5d/845daa19115186c701007caa4e86d719/0113997176.jpeg "Das Webhosting-Portfolio von OVHcloud bietet Anfängern bis hin zu technisch versierten Benutzern eine breite Pallette an Paketen für alle Anforderungen. (Bild: BullRun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/43/24433120f2753c86ed52c8fe7ddb136a/0113919770.jpeg "Unternehmen sehen sich bei Cyberversicherungen mit steigenden Prämien, niedrigeren Deckungssummen und strengeren Anforderungen an ihre IT-Sicherheit konfrontiert. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/01/09019383cb1433be836eaa4459aee836/0114121375.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/43/cb43040d8f82e6c8534425c4b1caa7af/0113893104.jpeg "„payShield Cloud HSM“ von Thales soll Cloud-basierte Zahlungsinfrastruktur voranbringen. (Bild: StockSnap)")
:quality(80)/p7i.vogel.de/wcms/d2/3d/d23ddc079e588bf557a30ffae15eefb5/0113867457.jpeg "Version 4.0 von ownCloud Infinite Scale bringt unter anderem eine verbesserte Volltextsuche mit. (Bild: ownCloud)")
:quality(80)/p7i.vogel.de/wcms/fc/01/fc0186fed72bc69651035193ea05f0d6/0113956601.jpeg "Damit der Ausfall bei einem Cloud-Dienst nicht zum totalen Datenverlust für den Kunden wird, sollten Unternehmen ihre Daten immer auch in eigener Verantwortung zusätzlich sichern. (Bild: artiemedvedev - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/a9/a6a9acb6b8e10bce3f23c133c435ea37/0113867494.jpeg "Pure Storage und Microsoft intensivieren ihre Zusammenarbeit. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170b8be128ba7eb2b683fbb71d9a897f/0114000732.jpeg "Mit dem Setzen extrinsischer Reize können Unternehmen dem Thema Nachhaltigkeit den nötigen Nachdruck verleihen und nicht nur Klima- und Umweltschutzziele vorgeben, sondern Nachhaltigkeit in der Unternehmensführung verankern. (Bild: Sidekick - stock.adobe.com)")
Strategien gegen eine Kamikaze-Cloud-Migration Wolke 7 geht nicht ohne Sicherheit
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/f1/64f18cf620acb/stackit-logo.jpeg "stackit-logo (Privat)"){kind=logo}
Die Cloud ist tot, es lebe die Multi-Cloud. Kaum ein Unternehmen setzt bei der Migration in die Cloud langfristig auf nur einen Cloud-Anbieter – nicht nur, um unabhängig zu bleiben, sondern auch, weil manche Anforderungen von diesem, andere von jenem besser erfüllt werden.
Und da auch niemand das Risiko eingeht, von jetzt auf gleich sämtliche On-Premises-Lösungen in den Ruhestand zu schicken, dominieren heute hybride Umgebungen, in denen multiple Clouds und eigene Rechenzentren mehr oder weniger harmonisch miteinander koexistieren.
Die Entscheidung für die Implementierung und den Betrieb einer Anwendung in der Cloud ist selten eine technische. Die IT-Verantwortlichen und Techniker treffen bestenfalls die Entscheidung, welches Cloud-Angebot für die jeweilige Anwendung das am besten geeignete ist. Der Antrieb für die Cloud-Migration kommt dagegen nahezu immer von den Business-Verantwortlichen. Zwar haben diese mittlerweile gelernt, dass die Cloud nicht unbedingt Kosten spart (ein Irrglaube, der zu Beginn dieser Entwicklung durchaus vorherrschend war), aber es ist trotzdem attraktiv, Investitionen durch Betriebskosten zu ersetzen – ein Modell, das man bei Produktionsmitteln oder im Fuhrpark unter der Bezeichnung Leasing seit Jahrzehnten verfolgt.
Zudem bietet die Cloud ein hohes Maß an Flexibilität. Niemand möchte sich beim Fuhrpark auf nur einen Hersteller festlegen, weil dieser vielleicht für manche Einsatzbereiche kein geeignetes Fahrzeug hat, und auch in der Cloud hat sich mittlerweile ein Best-of-Breed-Ansatz durchgesetzt. Was von AWS am besten unterstützt wird, entwickelt und hostet man bei Amazon, wo Azure Vorteile hat, kommt Microsoft zum Zuge, und auch andere Anbieter wie Google, Oracle oder auch lokale Anbieter haben ihre spezifischen Stärken, die durchaus auch einfach in einer gewachsenen Kundenbeziehung bestehen können.
Best of Breed ist nicht immer der Königsweg
Allerdings birgt dieser Best-of-Breed-Ansatz mit multiplen Clouds und gegebenenfalls noch On-Premises-Systemen einige Probleme. So haben die meisten Unternehmen heute noch wenig Erfahrung mit der Integration der unterschiedlichen Plattformen in eine nahtlose Infrastruktur. Die IT-Mitarbeiter vom Entwickler über den Administrator bis hin zum Security Consultant kennen ihre On-Premises-Lösungen im Detail, stehen aber in der Cloud oder gar in multiplen Clouds vor völlig neuen Herausforderungen.
Dies beginnt damit, dass sie ohne entsprechende (neue) Tools keinen umfassenden Einblick in ihre Umgebung haben. Das hat einerseits zur Folge, dass niemand einen Überblick darüber hat, welche und wie viele Ressourcen in der Cloud genutzt werden, was zu bösen Überraschungen bei der monatlichen Rechnung der Cloud Provider führen kann. Insbesondere Entwickler tendieren dazu, im Rahmen der Entwicklung benötigte Cloud-Ressourcen nicht wieder zu deaktivieren, wenn die Anwendung in Produktion gegangen ist. Aber um kein Developer Bashing zu betreiben – das gleiche gilt für andere Cloud-Ressourcen, die nur temporär im Rahmen eines Projekts benötigt wurden.
Vor allem aber ist fehlende Visibility ein ganz erhebliches Sicherheitsrisiko, denn wer nicht jederzeit genau weiß, was wo in seiner IT-Infrastruktur passiert, ist in hohem Maße anfällig für Angriffe von Cyberkriminellen, Wettbewerbern, nationalstaatlich gesponserten Hackern oder einfach nur unzufriedenen Kunden oder Mitarbeitern. Eine einzige gestohlene Kombination von Benutzername und Passwort kann leicht den Diebstahl vertraulicher Informationen oder eine Ransomware-Attacke zur Folge haben, in der sechs- oder siebenstellige Lösegelder gefordert werden, um den Zugriff auf die eigenen Daten und Anwendungen wiederherzustellen – natürlich ohne Garantie.
Migration ohne Sicherheit ist Kamikaze
Die Absicherung von Cloud-, Multi-Cloud- und hybriden Infrastrukturen ist daher eines der wesentlichen Probleme von Unternehmen bei der Migration. Die Anforderungen an das IT- und Security-Personal steigen exponentiell, aber der Markt ist leergefegt – qualifizierte Mitarbeiter sind kaum zu bekommen, und wenn, dann zu erheblichen Kosten. Die eigenen Mitarbeiter, die bisher ihre On-Premises-Lösung unterhalten und eine funktionierende Perimeter-Sicherung aufgebaut haben, stehen daher vor einer Flut neuer Herausforderungen, denn den Perimeter gibt es in der Cloud nicht mehr.
Dabei müssen sie und vor allem ihr CISO (Chief Information Security Officer) sich auch in der neuen Infrastruktur um eine Vielzahl anspruchsvoller und nun sogar noch anspruchsvollerer Aufgaben kümmern, die da wären:
Visibility: Unternehmen nutzen die Cloud, um Innovation und digitale Transformation zu fördern. Den meisten Security und Operations Teams fehlt jedoch ein einheitlicher Überblick über die verschiedenen Cloud-Dienste, die von ihren Entwicklern, aber auch ihren Endanwendern genutzt werden. Nur die kontinuierliche Überwachung aller Cloud- und Container-Dienste kann umfassende Einblicke in die verbundenen Risiken gewähren.
Sicherheit: Wenn man keinen Perimeter mehr verteidigen kann, muss die Sicherheitsstrategie darauf ausgerichtet werden, dass Angreifer tatsächlich in das eigene Netzwerk eindringen können, und man sollte immer von der Annahme ausgehen, dass sie das bereits getan haben. Es gilt also, Strategien zu entwickeln und Maßnahmen zu ergreifen, die solche Angreifer frühzeitig erkennen, um den Schaden zu minimieren. Eine wesentliche Rolle spielt hierbei zudem das Access & Identity Management, mit dem die Zugriffsrechte humaner wie nicht-humaner Benutzer auf das absolut notwendige Minimum beschränkt werden, um den potenziellen Schaden bei Missbrauch so klein wie möglich zu halten und Rechteeskalation zu verhindern.
Compliance: Heute unterliegen nicht nur KRITIS- und börsennotierte Unternehmen umfassenden Compliance-Vorschriften, ob das nun PCI-DSS in der Finanzbranche, die DSGVO als allgemeine Datenschutzrichtlinie oder ganz spezielle Vorschriften für das Risikomanagement sind. Die Einhaltung all dieser Normen muss auch in Multi-Cloud-Umgebungen gewährleistet sein, um Kundendaten zu schützen und das Unternehmen selbst vor Imageschäden und teils sehr hohen Bußgeldern zu bewahren.
Schatten-IT: Normen und Vorgaben schränken Freiheit und Kreativität ein und gefühlt manchmal auch die Produktivität. Kein Wunder, dass viele Anwender stetig nach Wegen suchen, solche Vorgaben zu umgehen – ohne auch nur darüber nachzudenken, dass sie ihr Unternehmen damit enormen Risiken aussetzen, weil niemand auch nur annähernd weiß, was sie da tun. Nicht gewartete Anwendungen, nicht autorisierte Kommunikationskanäle oder gar unregistrierte Hardware im Homeoffice oder im OT-Netzwerk (Operational Technology) müssen identifiziert werden, um sie entweder in das Sicherheitskonzept zu integrieren oder zu deaktivieren.
Risikominderung: Mit der Migration in Multi-Cloud-Umgebungen wächst die Angriffsfläche der gesamten IT-Infrastruktur nicht nur erheblich, sondern sie verschwimmt zudem sehr leicht. Was muss geschützt werden, wo, wovor und von wem? Es ist extrem wichtig, die Risiken genau zu kennen und auch Einigkeit mit dem oder den Cloud-Providern zu erzielen, wer welche Schutzmaßnahmen ergreift. Hier wird in der Regel das Prinzip der geteilten Verantwortung gelten – die Cloud-Provider sichern die Infrastruktur, die sie zur Verfügung stellen, während der Schutz von Daten und Anwendungen Sache des Kunden ist. Hier gibt es allerdings öfters noch Missverständnisse und damit falsche Erwartungen an die Cloud-Provider. Aber gerade in Multi-Cloud-Umgebungen wird deutlich, dass keiner von ihnen Kontrolle über die Anwendungen des Kunden haben und diese vor anwendungsspezifischen Attacken schützen kann. Gerade die Anwendungssicherheit kann man daher nicht an Cloud-Provider delegieren.
Ein weiteres großes Problem in komplexen Multi-Cloud-Umgebungen sind Fehlkonfigurationen. Auch für erfahrene Sicherheitsspezialisten und Administratoren ist es schwierig, in der neuen Welt den kompletten Überblick zu bewahren. Sie benötigen daher dringend geeignete Tools, um die Richtlinienverwaltung über alle Plattformen hinweg zu konsolidieren und unerwünschte oder nicht konforme Konfigurationen zu entdecken und zu beseitigen.
Sicherheit kann man nicht nachkaufen
Was einmal in der Welt ist, ist in der Welt. Es ist vergebliche Liebesmüh, eine vom Design her unsichere Anwendung nach dem Rollout noch irgendwie zu sichern – wie bereits erwähnt, haben wir keinen Perimeter mehr, über den wir das mit ein paar Firewall-Regeln versuchen könnten. Die Sicherheit von Anwendungen muss daher möglichst früh in der CI/CD Pipeline adressiert werden, und zwar auf Basis einer einheitlichen Risikobewertung aller Stakeholder. Sicherheitsteams benötigen daher Tools, mit denen sie über die gesamte CI/CD-Pipeline hinweg einheitlich definieren können, was „gut“ ist, damit sie potenzielle Risiken von Infrastructure-as-Code-Vorlagen (IaC) schon vor ihrer Entwicklung oder Bereitstellung bewerten können.
Schon in traditionellen On-Premises-Umgebungen waren einzelne Warnmeldungen immer zweifelhaft. Eine Vielzahl von Tools, ob Firewall, Intrusion Detection System oder auch nur das gute alte Antivirus-Programm liefern mehr Alerts, als das Security-Team sinnvoll bearbeiten kann. Welche paar Prozent dieser Warnmeldungen tatsächlich Aufmerksamkeit brauchen, ist schwer bis unmöglich zu entscheiden, da ein Großteil der Alarme False Positives sind. Die wirklichen Sicherheitsrisiken sind so nur schwer erkennbar.
Dieses Problem potenziert sich in der Cloud, in der einzelne Alerts ihre Bedeutung nahezu vollständig verlieren. Erst die Kontextualisierung über alle Ebenen der Infrastruktur, der Workloads und der Daten hinweg sowie eine Orchestrierung der Security Tools ermöglichen eine exakte Risikobewertung in Multi-Cloud-Umgebungen.
Automatisierung ist der Schlüssel
Wie auch immer man die IT-Sicherheit in Multi-Cloud-Umgebungen betrachten will: Automatisierung ist der Schlüssel zum Erfolg. Mit beschränkten Ressourcen – sowohl in Bezug auf Manpower als auch Expertise – können Security-Teams die Sicherheit in hybriden Umgebungen heute ohne umfassende Tool-Unterstützung nicht mehr sicherstellen.
Das liegt einerseits daran, dass Angreifer zunehmend auf Künstliche Intelligenz setzen, und andererseits an der schieren Anzahl von Alarmmeldungen der unterschiedlichsten Sicherheitssysteme, die manuell unmöglich bearbeitet werden können. Nur hochgradig automatisierte und orchestrierte Sicherheitstools geben CISOs und ihrem Team heute die Möglichkeit, Angreifern energisch, positiv und erfolgversprechend gegenüberzutreten.
* Der Autor Hermann Haage ist Enterprise Cloud Security Specialist bei Rapid7.
(ID:48483480)
:quality(80)/images.vogel.de/vogelonline/bdb/1944600/1944659/original.jpg "Die Verbindungskomplexität und hohe Security-Anforderungen lassen den Ruf nach Simplifizierung laut werden; moderne Cloud-Workload-Lösungen auf Basis von Zero Trust schaffen Abhilfe. (© Andrii Yalanskyi - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1943300/1943306/original.jpg "Nach einem oft zeit- und ressourcenintensiven Entscheidungsprozess für die Cloud, muss auch die Strategie zur Migration der Anwendungen gut durchdacht sein. (gemeinfrei)")