Suchen

Cloud Security Security First: Sicherheit in der Cloud als Innovationsgarant

| Autor / Redakteur: Christina Kraus / Sebastian Human

Einerseits ist die Cloud das Rückgrat einer vernetzten Produktion, andererseits fürchten noch immer viele Unternehmen mögliche Sicherheitsrisiken. Wir zeigen vier Ansätze für ein übergreifendes Sicherheitskonzept auf.

Firma zum Thema

Cloud-Umgebungen erleichtern den Produktions- und Arbeitsalltag zunehmend, doch sollte deren Absicherung nicht auf die leichte Schulter genommen werden.
Cloud-Umgebungen erleichtern den Produktions- und Arbeitsalltag zunehmend, doch sollte deren Absicherung nicht auf die leichte Schulter genommen werden.
(Bild: gemeinfrei / Pixabay )

Ob Kleinbetrieb, Mittelständler oder produzierendes Großunternehmen: Blickt man auf die vergangenen drei Monate zurück, kann wohl kein Unternehmen von der Hand weisen, dass es digitale Lösungen sind, die in Krisenzeiten den Laden sprichwörtlich am Laufen halten. Eine Kerntechnologie, die in der Coronakrise noch einmal an zusätzlicher Bedeutung gewonnen hat, ist das Cloud Computing.

So vielfältig und multidimensional sich der Begriff der Digitalisierung interpretieren lässt, so eindeutig lässt sich die Cloud als ihr Rückgrat bezeichnen. Sie ist der Ort, an dem digitale Innovationen geboren werden und zum Leben erwachen. Die deutsche Wirtschaft ist sich der Bedeutung von Cloud Computing durchaus bewusst: Für lediglich 8 Prozent der Unternehmen ist die Technologie noch kein Thema. Gleichzeitig fürchten 73 Prozent externe Zugriffe auf sensible Unternehmensdaten über die Cloud - die Sicherheitsbedenken sind also weiterhin immens.

Sind diese Sorgen berechtigt? Und falls ja, wie kann man die Sicherheit der Cloud-Infrastruktur im Unternehmen erhöhen?

Cloud Security als Spagat

Auf rund 20.000 wird die Zahl jener Cloudumgebungen geschätzt, die zum Teil kritische Sicherheitslücken aufweisen. Darunter auch die Anwendungen großer und mittelständischer Unternehmen. Cyber-Risiken lauern also vielerorts, unautorisierte Zugriffe auf Cloud-Ressourcen - von außen wie von innen - sind reale Szenarien. Die Ursache stellt in der Regel jedoch weniger die Cloud-Infrastruktur selbst dar, als vielmehr der Mangel an einer organisationsübergreifenden Sicherheitsstrategie.

Die Basis für einen erfolgreichen Cloud-Ansatz bildet das Konzept der Shared Responsibility: Cloud-Anbieter wie Amazon Web Services oder Google Cloud tragen die Verantwortung für die Sicherheit der Cloud selbst. Der Kunde hingegen, also das Unternehmen, stellt die Sicherheit der dort angelegten Infrastrukturen und seiner Applikationen sicher. Und genau hier lauern auch die größten Risikofaktoren für das Cloud Computing.

Um ein organisationsübergreifendes Cloud-Security-Konzept umzusetzen, ist viel Fingerspitzengefühl gefordert: Einerseits muss es klare Sicherheitsstandards geben, die unantastbar sind. Gleichzeitig dürfen Produkt-Teams in ihrer Freiheit nicht zu sehr eingeschränkt werden, damit die Vorteile der Cloud voll zur Geltung kommen und in kurzer Zeit echte Innovationen ermöglicht werden. Im Folgenden vier Ansätze, die es ermöglichen, diesen Spagat hinzubekommen und gleichzeitig ein hohes Sicherheitsniveau zu gewährleisten.

1. Cloud Foundation

Sobald erstmals eine eigene Cloud-Umgebung für ein DevOps-Team aufgesetzt wird, geht dies einher mit individuellen Sicherheitskonfigurationen, zugeschnitten auf die Anforderungen und die Art der dort zu betreibenden Anwendung. Allerdings ist die Cloud eben nicht als statisches Gebilde zu verstehen: neue Ressourcen kommen dazu, andere fallen weg, Nutzer kommen und gehen - eine Cloud-Umgebung entwickelt sich während ihres gesamten Lebenszyklus fortlaufend weiter.

Die Eigenständigkeit von Entwicklern, die sich im Idealfall weitestgehend autonom in der Cloud bewegen dürfen, ist der zentrale Innovationstreiber beim Cloud Computing. Diese Freiheit geht mit großer Verantwortung einher, welcher Produkt-Teams in der Regel auch nachkommen. Häufig dauern Freigabeprozesse durch die zentrale IT aber noch sehr lange, was wiederum die Geschwindigkeit und Freiheit der Entwickler einschränkt.

Ein eleganter und zugleich effektiver Lösungsansatz ist an dieser Stelle der Aufbau eines dedizierten Teams, welches sich ausschließlich um die Verwaltung der Cloud-Infrastruktur sowie die Bereitstellung sicherer Cloud-Umgebungen für DevOps-Teams in der gesamten Organisation kümmert. Diese Teams werden oft als Cloud Center of Excellence oder Cloud Foundation bezeichnet, da sie die Grundlage für die sichere Nutzung der Cloud-Infrastruktur legen.

Die Cloud Foundation kann Sicherheits- und Compliance-Aspekte abdecken und schafft wiederum Ressourcen für Produkt-Teams, die sich so auf ihre Hauptaufgabe fokussieren können. Auf diese Weise wird auch verhindert, dass frustrierte Teams eigene Prozesse - im schlimmsten Fall an der zentralen IT vorbei - entwickeln und so Sicherheitslücken entstehen, die digitale Innovationen mit großem Potenzial letztlich ausbremsen.

2. Landing Zones

Ein weiterer Ansatz, um Sicherheitsrisiken zu minimieren, ist die sogenannte Cloud Landing Zone. Wie der Name schon erahnen lässt, verbirgt sich dahinter ein abgesteckter Bereich, in dem der Nutzer sicher landen kann. Bevor also eine Cloud-Umgebung für ein DevOps-Team geöffnet wird, wird der Wirkungsradius von vornherein klar definiert.

In der Praxis kann die Landing Zone beispielsweise dafür sorgen, dass auf der Cloud-Plattform nur europäische Datacenter zur Verfügung stehen. Ist diese geografische Einschränkung eine regulatorische Anforderung, kann ihre Einhaltung so von vornherein sichergestellt werden. Statt also im Nachgang einen Verstoß aufzudecken und nachzuverfolgen, wird die Maßnahme präventiv getroffen.

Landing Zones sparen also einerseits Ressourcen, sorgen aber gleichzeitig auch dafür, dass den Entwicklerteams innerhalb dieser Leitplanken ein hohes Maß an Freiheit bei der Entwicklung ihrer Anwendungen gewährt wird. Zudem kann durch die Festlegung bestimmter Kriterien ein konsistenter Sicherheitsstandard über viele Cloud-Umgebungen hinweg geschaffen werden.

3. Automatisierung

Wenn die erforderlichen organisatorischen Grundlagen sowie die wesentlichen Anforderungen für das Set-up der Cloud-Umgebung erfüllt sind, geht es an die Umsetzung. Ein entscheidender Faktor, um die Cloud zur Erfolgsgeschichte mit langfristigem Effekt aufzubauen, sind in diesem Kontext automatisierte Prozesse.

Spielt sich auf IT- und Entwicklerebene alles nach Wunsch ein, ist fast schon davon auszugehen, dass die Nachfrage nach internen Cloud-Ressourcen aufgrund der offensichtlichen Vorteile schnell steigt. Gleichzeitig ist es unwahrscheinlich, dass immer wieder neue Budgets zur Verfügung gestellt werden. Um dennoch entsprechend skalieren zu können, müssen einzelne Prozesse in der Cloud automatisiert werden, wie etwa die Umgebungsbereitstellung, ihre Konfiguration oder der Abrechnungsprozess für Cloud-Ressourcen.

Automatisierung führt dazu, dass Abhängigkeiten zwischen den Stakeholdern - also Produkt-Teams und IT-Abteilung - reduziert und manuelle Prozesse beschleunigt werden. Dies wiederum setzt Ressourcen frei, die in die eigentliche Innovation fließen können. In großen Unternehmen mit komplexen IT-Umgebungen sorgt Automatisierung außerdem für eine vereinheitlichte Umgebung und steigende Transparenz.

4. Security as Code

Wenn die Cloud im Unternehmen wächst und gedeiht, steigt das Risiko eines Configuration Drifts - ein Phänomen, welches beschreibt, wie sich Konfigurationen mit der Zeit vom ursprünglichen Soll-Zustand entfernen. Um nachhaltige Sicherheit und kontinuierliche Compliance zu erreichen, sind das Monitoring und das Nachsteuern von Konfigurationen unerlässliche Pflichtaufgaben.

Ein innovativer Ansatz, mit dem kontinuierliche Compliance erreicht werden kann, lautet Security as Code. Er orientiert sich am im Cloud-Umfeld gängigen Konzept Infrastructure as Code und geht über eine gewöhnliche Workflow-Automatisierung hinaus. So werden in diesem Kontext Infrastruktur, Organisationsstrukturen und Policies deklarativ als Code definiert. Diese Definition stellt einen angestrebten Soll-Zustand dar, der zum Beispiel den Namen der Anwendung, die darauf berechtigten User, sowie eine Klassifizierung der darin enthaltenen Daten umfassen kann.

Über die Zeit ermöglicht der kontinuierliche Vergleich von Soll- und Ist-Zustand eine langfristige Kontrolle über Cloud-Umgebungen. Werden Diskrepanzen festgestellt, wird die Umgebung automatisch wieder zurück in den Soll-Zustand versetzt. Dieser kann dabei jederzeit angepasst werden, um auf neue Anforderungen und Rahmenbedingungen zu reagieren.

Fazit: Große Challenge, riesige Chance

Sowohl das Technologieumfeld als auch die agile Entwicklung von Softwarelösungen zeichnen sich durch ihre hohe Dynamik aus. Es versteht sich also von selbst, dass das Zusammenspiel aus technologischem Fortschritt, den Eigenheiten des eigenen Unternehmens, der Cloud als agilem Umfeld sowie regulatorischen Rahmenbedingungen - gerade für gewachsene Organisationen - eine große Herausforderung darstellt.

Doch der Aufwand lohnt sich. Schließlich ist die Cloud der Garant dafür, dass sich auch in Zeiten von Produktionsstopps und Lockdowns digitale Innovationen weiter entfalten können. Wer die für die Cloud erforderliche Organisationsstruktur mit entsprechenden Prozessen definiert und es vor allem schafft, Cloud-Sicherheit nicht nur partiell, sondern organisationsübergreifend sicherzustellen, verfügt über beste Voraussetzungen, sich gegenüber der Konkurrenz einen Vorteil zu verschaffen - und so zum digitalen Pionier zu werden.

* Christina Kraus ist Expertin für Multi-Cloud-Management und Mitgründerin von Meshcloud.

(ID:46717210)