In 5 Schritten zur sicheren Hybrid-Cloud

Die Maturität von Sicherheit und Compliance in der Hybrid-Cloud hinkt derjenigen der Software-Entwicklung hinterher. Prüfen Sie Ihre Cloud-Strategie.

Autor: Cyrill Rüttimann

Die Hybrid-Cloud verspricht schnellere Time-to-Market, höhere Effizienz und mehr Resilienz. Doch gilt dieses Versprechen auch für die Sicherheit und Compliance bezüglich internen Vorgaben und Auflagen von Regulatoren? 

Aus unseren Projekt-Erfahrungen geht deutlich hervor, dass die Maturität von Sicherheit und Compliance klar hinter derjenigen der Funktionalität hinterher hinkt. Deshalb ist es essentiell, die Sicherheit und Compliance Ihrer Hybrid Cloud Strategie zu überprüfen. Das können Sie anhand von 5 konkreten Schritten tun. 

Hybrid Cloud als Katalysator, um schneller und agiler zu werden

Die Hybrid-Cloud ist das Mittel der Wahl für Schweizer Unternehmen, um ihren Workload schrittweise von ihrem eigenen Datacenter in die Public-Cloud auszulagern. Mit dieser Strategie verspricht man sich die Vorteile von On-Premises und der Public-Cloud zunutze zu machen. 

Das sind:

  • Effizientere Bereitstellung von Lösungen durch den Einsatz von Cloud Services
  • Mehr Resilienz der Lösungen bezüglich Last, Verlässlichkeit, Nähe zum Kunden
  • Self-Service durch Entwickler. Damit umgeht man den Flaschenhals des Betriebs bzw. Engineering
  • Nur den effektiven Bedarf an Ressourcen zu finanzieren
  • Sensitive Daten können On-Premises gehalten werden
  • Sanfte Verabschiedung vom eigenen Datacenter

Das Thema Sicherheit und Compliance wird unterschätzt

Meist wird ausgeblendet, dass der Cloud-Anbieter lediglich die Sicherheit der Cloud selber sicherstellt. Jedoch Sie, als Unternehmer oder Führungsperson, für die Sicherheit und Compliance in der Cloud die Verantwortung tragen. 

Zum Beispiel:

  • Konfiguration von Cloud-Services für den Schutz Ihrer Daten vor unberechtigtem Zugriff
  • Konfiguration der verschlüsselten Kommunikation und Persistierung Ihrer Daten
  • Zuteilen und Entfernen von Rollen für den Zugriff auf Ihre Ressourcen
  • Kontrolle des Zugriffs von Cloud-Services auf Ihre Unternehmensdaten
  • Einspielen von Patches der von Ihnen betriebenen Software-Stacks

Diese Verantwortung multiplizieren Sie nun mit dem Service-Katalog einer Public-Cloud-Anbieters (über 200 Services) und den Konfigurations-Optionen (über 10’000) dieser Services. Hier die Sicherheits-Expertise, sowie den Überblick zu behalten, muss sorgfältig geplant werden.

Agilität als Gefahr für Sicherheit und Compliance

Mit dem Einzug der agilen Arbeitsweise wird der Fokus auf die Geschwindigkeit und die Effizienz gelegt. 

Schwarz gemalt bedeutet dies:

  • Halbfertige Proof-of-Concepts gehen in Produktion auf Druck vom Business.
  • Abnahmen (Quality Gates) werden aus dem Entwicklungsprozess gestrichen.
  • Dedizierte QA-Teams, und damit verbunden die Kompetenz, werden aufgelöst.
  • Security schreibt Konzepte, die aber von den Entwicklern umgangen werden.
  • Entwickler sind mit Compliance und Ethik überfordert und scheren sich nicht darum.
  • Auditoren sind mit der Komplexität der Technik und der Geschwindigkeit überfordert.

Überprüfen Sie Ihre Hybrid-Cloud-Strategie in 5 Schritten

Der Aufbau einer hybriden Cloud unter Beibehaltung der agilen Arbeitsweise ist ein erstrebenswertes Ziel. Wichtig ist, dass Sie nicht nur die IT zum Thema Cloud einbinden, sondern die ganze Firma. Und das ist eine Transformation, keine Produkteinführung. Mit den nachfolgenden 5 Schritte können Sie das geordnet und zielgerichtet umsetzen.

Schritt 1

Festlegen des Anspruchsniveaus an Compliance und Security

Seine eigenen Ansprüche als Unternehmer zu kommunizieren, ist schon halb gewonnen. Damit legen Sie für jeden Einzelnen in der Unternehmung fest, welche Kriterien in den nachfolgenden Schritten anzuwenden sind. 

Einige Beispiele für Ansprüche:

  • Wöchentliche Reports zur Compliance der gesamten IT-Infrastruktur
  • Wir haben Best Practices im Umgang mit Cloud-Services und wollen Verletzungen innerhalb einer Stunde aufdecken können.
  • Wir orientieren uns an den Best Practices des Center for Internet Security (CIS).
  • Wir verfolgen eine Zero Trust bzw. in depth Strategie für die Sicherheit.
  • Tracking der Behebung von Zero Day Exploits auf Stundenbasis
  • Compliance über den gesamten Wertschöpfungsprozess – von der Idee bis zum Betrieb

Schritt 2

Cloud Lösungsarchitektur – alte Zöpfe abschneiden

Sicherheit und Compliance müssen in einer Hybrid-Cloud neu gedacht werden. Viele Annahmen und Konzepte müssen Sie hinterfragen. Wie zum Beispiel die Annahme, dass die Daten in einer Private Cloud sicherer sind als in der Public-Cloud (Gartner 2019). Viele Konzepte die in der private Cloud mit viel Aufwand implementiert werden mussten, sind in der Cloud als Service-out-of-the-box vorhanden.

Schritt 3

Aufbau der Hybrid-Cloud basierend auf dem Cloud-Operating-Modell

Ein Cloud-Operating-Modell ist eine abstrakte Darstellung, wie Ihre Organisation die Hybrid-Cloud effizient und nutzenstiftend betreibt. Unter anderem sind spezifische Fähigkeiten nötig und organisatorische Umstellungen meist unumgänglich. Anhand einer Outside-in-Beurteilung können Sie die eigene Maturität bestimmen und die Lücken zum anvisierten Cloud-Operating-Modell identifizieren. Diese können nun zielgerichtet geschlossen werden.

Schritt 4

Compliance und Sicherheit aus der Cloud

Die Fähigkeiten und Maturität der Angebote von AWS, Azure und Google unterscheiden sich zum Teil signifikant bezüglich Compliance und Sicherheit. Sie müssen die Angebote genau gegenüberstellen und mit den eigenen Sicherheitsbedürfnissen abgleichen. Mehrheitlich übertreffen die Fähigkeiten der Cloud-Angebote im Bezug auf Sicherheit die Fähigkeiten des eigenen Datacenters. 

Zum Beispiel der Cloud Service AWX Macie:

  • Erkennen Sie sensitive Daten mittels Machine Learning.
  • Klassifizieren Sie automatisch Daten und schützen diese entsprechend.
  • Erkennen und verhindern Sie potenzielle Datenabflüsse.

Schritt 5

Automatisierung

Mit der Automatisierung von sich wiederholenden Abläufen können Sie:

  • Fehlerquellen eliminieren – mehr Zeit für Ihre Mitarbeiter
  • Die Durchlaufzeit über mehrere Silos um Faktoren verkleinern – schnellere Time-to-Market
  • Schnell auf Veränderungen reagieren und Abhängigkeiten erkennen – mehr Agilität
  • Mittels Self-Service ein kontrolliertes Angebot von Services anbieten und diese innert Minuten zur Verfügung stellen – schnellere Time-to-Market

Die Hybrid-Cloud ist eine sanfte Herangehensweise, um die Vorteile der Public-Cloud und des eigenen Datacenters zu kombinieren. Der erfolgreiche Aufbau einer Hybrid-Cloud erfordert aber zusätzliches Wissen und eine auf die Public-Cloud abgestimmte Zusammenarbeit. Dies betrifft im Speziellen das Thema Security.

Mit dem 5-Schritte-Plan haben Sie ein Instrument in der Hand, um Ihrem Vorhaben eine Struktur zu geben. Der erste Schritt für eine sichere, effiziente und akzeptierte Einführung Ihrer Hybrid-Cloud.