Cloud Security: 5 Ansätze mit Zukunftspotenzial

Für große Unternehmen ist das Cloud Computing einer der wesentlichen Treiber ihrer digitalen Transformation. Ein Aspekt, der dabei immer wieder kritisch beäugt wird, ist die Sicherheit.

Tatsächlich schreitet kaum eine andere Teildisziplin derzeit so schnell mit der Entwicklung neuer Konzepte voran, wie es bei der Cloud Security der Fall ist. Im Folgenden fünf innovative Ansätze, die die sichere Zukunft des Cloud Computings prägen werden. 

Anzeige

1. Cloud Foundation

Jeder kennt das Shared-Responsibility-Modell der großen Cloud-Provider: Sie verantworten die Sicherheit der Cloud, während der Kunde für die Sicherheit in der Cloud verantwortlich ist. 

Es stellt sich aber die Frage, wie diese Verantwortung in großen Organisationen mit vielen IT-Stakeholdern intern verteilt wird. 

Wenn etwa jedes Entwicklungsteam für sich selbst entscheidet, wie Sicherheitsanforderungen umgesetzt werden, führt das zu vielen einzelnen heterogenen Ansätzen. Ein erfolgversprechender Lösungsansatz ist hier der Aufbau einer sogenannten Cloud Foundation: ein zentrales Team, das Entwicklungsteams Cloud-Umgebungen bereitstellt, für diese aber zentral Sicherheitsanforderungen automatisiert und einheitlich umsetzt. 

2. Organisationsstruktur in der Cloud

Wie ein Unternehmen die Organisationselemente der Cloud möglichst analog zur eigenen Struktur nutzen kann, ist eine der ersten Herausforderungen bei der Implementierung. Eine einheitliche Antwort gibt es nicht, ein Hauptrisiko, das es zu vermeiden gilt, allerdings schon: Die gesamte Infrastruktur innerhalb eines einzigen Cloud-Tenants abzubilden und so im Ernstfall Cyberkriminellen die Gesamtheit aller Daten auf dem Silbertablett zu servieren. 

Um dieses Risiko von vornherein einzudämmen, hat sich für die Entwicklung cloud-nativer Anwendungen das Konzept der Tenant-Isolierung durchgesetzt. Hierbei erhält jede Entwicklungsumgebung einen eigenen Tenant, sodass Aktionen innerhalb einer Umgebung andere Umgebungen nicht beeinträchtigen können. Zudem hat man die Möglichkeit, Sicherheitsanforderungen abhängig von der Art der Umgebung zu machen, z.B. Dev, Staging oder Prod. 

Um bei diesem Ansatz nicht an Geschwindigkeit zu verlieren, ist es für Organisationen essenziell, ein effizientes Tenant-Management zu etablieren, um die “time-to-cloud” so gering wie möglich zu halten. Die Königsdisziplin für Unternehmen: eine Tenant-Provisionierung on-demand und im Self-Service umzusetzen, wie bei AWS oder Azure – mit dem Unterschied, dass dieser auf die zentrale Cloud Foundation aufbaut, um den Sicherheitsstandard zu wahren. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Cloud Tagging

Einer der größten Hemmer für einen zügigen Transformationsprozess ist der Anspruch, sämtliche Sicherheits-Szenarien von Anfang an bedienen zu wollen – was in der Praxis wiederum gar nicht immer nötig ist. Um das Tempo von Beginn an hochzuhalten, reicht es häufig, “einfache” Use Cases zu definieren und ihre Anforderungen zu erfüllen. Entwickler:innen können sich so mit den neuen Technologien vertraut machen und mit einem wachsenden Erfahrungsschatz dann auch komplexe Sicherheitsanforderungen abdecken.

Um langfristig nicht den Überblick zu verlieren, sollten jedoch alle Cloud Use Cases nach einem einheitlichen Schema beschrieben werden. Ein gängiger Weg dies umzusetzen ist das sogenannte Cloud-Tagging. Nach dem Motto “tag early, tag often” werden hier für jede Cloud-Umgebung bestimmte Metadaten festgehalten, die z.B. auf einen Blick sichtbar machen, wer für die Sicherheit der Umgebung verantwortlich ist oder Daten welcher Schutzklasse verarbeitet werden. 

Auf Basis eines einheitlichen Cloud-Tagging-Schemas können Projekte nicht nur richtig eingeordnet werden. Das strukturierte Datenformat ermöglicht darüber hinaus auch eine einfache Integration mit anderen IT-Systemen, z.B. für Vulnerability Scanning oder SIEM.

4. Landing Zones 

Mit einer Cloud Foundation und einer guten Tagging-Strategie schafft man die Rahmenbedingungen für eine sichere Cloud-Nutzung. Möchte man allerdings konkrete Sicherheitsanforderungen umsetzen, steigt der Grad der Komplexität. Ein Ansatz, der sich in diesem Zusammenhang als effektiv herausgestellt hat, ist das Konzept der Landing Zones. Über sie kann man beispielsweise die Nutzung einzelner Services ausschließen oder die Auswahl bestimmter Regionen einschränken.

Darüber hinaus ermöglichen Landing Zones, die Nutzung security-relevanter Services zu erzwingen. Darunter fallen cloud-native Services aus den Bereichen Logging und Monitoring, wie z.B. AWS Cloud Trail. Durch die zentrale Bereitstellung von Landing Zones, können Sicherheitsanforderungen automatisiert und über verschiedene Teams hinweg einheitlich umgesetzt werden. 

5. Desired State

In vielen Organisationen wird der Onboarding-Prozess in die Cloud über ein Workflow-Tool umgesetzt. Das löst den ersten Schmerz, denn Entwicklungsteams kommen schnell und im Self-Service in die Cloud und können mit der Applikationsentwicklung voranschreiten. Cloud-Umgebungen sind jedoch dynamisch und langlebig. Anforderungen können sich im Entwicklungsprozess ändern, organisatorische Umstrukturierungen beispielsweise Einfluss auf die Berechtigungsstruktur der Umgebung haben. 

Offen bleibt nicht selten, wie die initial aufgesetzte Cloud Governance auf Dauer nachgehalten werden soll. Wer stellt sicher, dass Berechtigungen in den Cloud-Umgebungen eingehalten werden? Wer trägt Sorge dafür, dass Landing Zones aktiv sind und Tags nicht an Aktualität verlieren? Gefordert ist also ein nachhaltiges Governance-Konzept, welches über den Onboarding-Prozess hinaus Gültigkeit hat.

Ein möglicher Lösungsansatz lautet “Desired State”. Das Konzept stellt sicher, dass beim Cloud-Onboarding nicht nur ein Workflow getriggert, sondern ein definierter Soll-Zustand der Cloud-Umgebung – der Desired State – beschrieben wird. Der Schlüssel zu mehr Sicherheit liegt im kontinuierlichen Abgleich mit dem Ist-Zustand. Gibt es Abweichungen, wird automatisch der Soll-Zustand wiederhergestellt und so eine nachhaltige Governance etabliert und durchgesetzt.  

Fazit: Neuer Rahmen für nachhaltige Digitalisierung

Für eine erfolgreiche Cloud Transformation gibt es keine Blaupause. Wie in anderen strategischen Bereichen erfordert die IT-Struktur des jeweiligen Unternehmens individuelle und maßgeschneiderte Lösungsansätze. 

Für eine erfolgreiche Cloud Journey ist es allerdings wichtig, eine Balance zwischen der gewünschten Agilität in der Entwicklung sowie der nötigen zentralen Kontrolle zu finden. Die aufgeführten Trends bilden dafür einen idealen Rahmen, der als Basis dienen kann, um die digitale Zukunft eines Unternehmens nachhaltig aufzubauen.

Kraus Christina

meshcloud -

Mitgründerin

Christina Kraus (Bildquelle CLDES) ist Mitgründerin von meshcloud. Nach ihrem Studium der Wirtschaftsinformatik (TU Darmstadt), dem Abschluss des Masterstudiengangs Datenbanksysteme und Informationsmanagement (TU Berlin) sowie Studienerfahrungen in Frankreich und Belgien, war sie zunächst für das Smart Data Forum und das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) tätig. Die 30-Jährige,
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.