von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Cloud-Governance in hybriden Umgebungen
Automation zur Hilfe
Automation ist hier zwar eine spezielle Herausforderung, aber gleichzeitig eine Lösung zur Homogenisierung von Aufgaben und einzelnen Schritten. Jeder Cloudanbieter unterstützt eine oder gar mehrere API, und das Ausweiten von bereits bestehenden Scripts ist nicht schwer.
Skripte sind in sich selbst eine kontrollierte Umgebung und vorab getestet, und führen daher eher zu erwarteten Ergebnissen. Sollte die jeweilige Organisation strikten Konformitäten unterliegen wie im Bereich Finanzen oder dem Gesundheitswesen, ist Kreativität tatsächlich fehl am Platz. Glücklicherweise liegen Skripte im Trend – Stichwort "infrastructure as code" – und erlauben die vollkommen automatisierte Steuerung der hybriden IT eines Unternehmens.
Empfehlung hier: Die Kombination aus Scripting und dem Folgen eines vorab festgelegten Change-Protokolls, kombiniert mit der Sensibilisierung der verantwortlichen Mitarbeiter in der IT, sollten Teil einer jeden erfolgreichen Strategie zur Cloud-Governance sein.
Risiko unkontrollierter Datenflüsse
Bei einem traditionellen On-Premises-Deployment liegt die Sicherheit ausschließlich in den Händen der IT-Abteilung. Bei der Cloud und hybriden Varianten spricht man von einer geteilten Verantwortung. Der Anbieter garantiert die Sicherheit der Plattform; das aber nur solange, bis der Anwender diese eigenständig verändert und damit durchlässig für Gefahren macht.
Einige der zusätzlichen Risiken, die durch die Cloud entstehen, ist dem Mangel an Übersicht über Daten und Datenströme geschuldet. Die größeren Cloudprovider können mittlerweile garantieren, dass Daten einer bestimmten Dienstleistung nur innerhalb einer Region bearbeitet werden, ein Thema, dass für uns in Europa von großer Bedeutung ist.
Tatsächlich berührt die Kontrolle des Datenflusses auch die Themen Kostenkontrolle und Schatten-IT. Oft wird übersehen, dass nicht alle angebotenen Dienstleistungen in allen Regionen verfügbar sind. Da kann es schnell geschehen, dass Nutzer Datensätze zur Weiterverarbeitung einmal um die Welt senden. Das kann ein Risiko für die Integrität darstellen, untergräbt in jedem Falle jedoch die bestehenden Anforderungen an die Compliance.
Verschlüsselung, aber richtig
Ein populäres, wenn auch nicht mehr ganz aktuelles Beispiel ist die Verschlüsslung von S3 Storage. Über zehn Jahre lang standen verschiedenste Verschlüsslungen neben anderen Sicherheitsmaßnahmen wie, nicht zuletzt, Zugriffsberechtigungen, zur Verfügung. "No encryption" war jedoch Standard, und dies war beim Anlegen des Storage-Bereichs auch offensichtlich, und daher den Kunden bekannt. Aus verschiedenen Gründen wurden die angebotenen Sicherheitsmaßnahmen jedoch von einigen Unternehmen nicht genutzt und es kam immer wieder zu Daten-Leaks. Im Jahr 2017 hat AWS das Verhalten der Buckets verändert und diese sind seitdem mit AES-256 verschlüsselt.
Ein weiteres Problem ist die Art des Zugriffs. Es gibt verschiedene Wege für Verbindungen in die Cloud. Diese sind aber nicht notwendigerweise identisch mit dem Zugriff eines Kunden. Traditionell werden aus dem Unternehmen heraus Site-to-site-Verbindungen genutzt. Diese sollten selbstverständlich nicht die einzigen Sicherheitsmaßnahmen sein, um vor Fremdzugriffen zu schützen.
Empfehlung hier: In lokalen Infrastrukturen gibt es Tools, um Berechtigungen zu verwalten und das Prinzip des geringsten Zugriffs ist allgegenwärtig – IT-Governance wird gelebt. In der Cloud schieben viele Unternehmen aber immer noch allein dem Anbieter die Schuld zu. Das ist der falsche Ansatz, schließlich kann der Anbieter nicht wissen, welcher Zugriff berechtigt ist und welcher nicht. Zur Rolle der IT-Security gehört es, Dinge zu hinterfragen und nicht immer als gegeben vorauszusetzen – das gilt aus naheliegenden Gründen im Besonderen für hybride Umgebungen.
Fazit
Durch die flexible Natur von hybriden Bereitstellungen ist Governance ein etwas komplexeres Thema als in der Vergangenheit, jedoch greifen die gleichen Prinzipien noch immer. Es gilt, Übersicht zu schaffen und zu behalten, gerade auch in modernen Multicloud-Szenarien. Die darunterliegenden permanenten Wechsel in der Plattform sind für das Business nicht von Interesse – für die IT hingegen schon.
ln/Sascha Giese, Head Geek bei SolarWinds
Automation ist hier zwar eine spezielle Herausforderung, aber gleichzeitig eine Lösung zur Homogenisierung von Aufgaben und einzelnen Schritten. Jeder Cloudanbieter unterstützt eine oder gar mehrere API, und das Ausweiten von bereits bestehenden Scripts ist nicht schwer.
Skripte sind in sich selbst eine kontrollierte Umgebung und vorab getestet, und führen daher eher zu erwarteten Ergebnissen. Sollte die jeweilige Organisation strikten Konformitäten unterliegen wie im Bereich Finanzen oder dem Gesundheitswesen, ist Kreativität tatsächlich fehl am Platz. Glücklicherweise liegen Skripte im Trend – Stichwort "infrastructure as code" – und erlauben die vollkommen automatisierte Steuerung der hybriden IT eines Unternehmens.
Empfehlung hier: Die Kombination aus Scripting und dem Folgen eines vorab festgelegten Change-Protokolls, kombiniert mit der Sensibilisierung der verantwortlichen Mitarbeiter in der IT, sollten Teil einer jeden erfolgreichen Strategie zur Cloud-Governance sein.
Risiko unkontrollierter Datenflüsse
Bei einem traditionellen On-Premises-Deployment liegt die Sicherheit ausschließlich in den Händen der IT-Abteilung. Bei der Cloud und hybriden Varianten spricht man von einer geteilten Verantwortung. Der Anbieter garantiert die Sicherheit der Plattform; das aber nur solange, bis der Anwender diese eigenständig verändert und damit durchlässig für Gefahren macht.
Einige der zusätzlichen Risiken, die durch die Cloud entstehen, ist dem Mangel an Übersicht über Daten und Datenströme geschuldet. Die größeren Cloudprovider können mittlerweile garantieren, dass Daten einer bestimmten Dienstleistung nur innerhalb einer Region bearbeitet werden, ein Thema, dass für uns in Europa von großer Bedeutung ist.
Tatsächlich berührt die Kontrolle des Datenflusses auch die Themen Kostenkontrolle und Schatten-IT. Oft wird übersehen, dass nicht alle angebotenen Dienstleistungen in allen Regionen verfügbar sind. Da kann es schnell geschehen, dass Nutzer Datensätze zur Weiterverarbeitung einmal um die Welt senden. Das kann ein Risiko für die Integrität darstellen, untergräbt in jedem Falle jedoch die bestehenden Anforderungen an die Compliance.
Verschlüsselung, aber richtig
Ein populäres, wenn auch nicht mehr ganz aktuelles Beispiel ist die Verschlüsslung von S3 Storage. Über zehn Jahre lang standen verschiedenste Verschlüsslungen neben anderen Sicherheitsmaßnahmen wie, nicht zuletzt, Zugriffsberechtigungen, zur Verfügung. "No encryption" war jedoch Standard, und dies war beim Anlegen des Storage-Bereichs auch offensichtlich, und daher den Kunden bekannt. Aus verschiedenen Gründen wurden die angebotenen Sicherheitsmaßnahmen jedoch von einigen Unternehmen nicht genutzt und es kam immer wieder zu Daten-Leaks. Im Jahr 2017 hat AWS das Verhalten der Buckets verändert und diese sind seitdem mit AES-256 verschlüsselt.
Ein weiteres Problem ist die Art des Zugriffs. Es gibt verschiedene Wege für Verbindungen in die Cloud. Diese sind aber nicht notwendigerweise identisch mit dem Zugriff eines Kunden. Traditionell werden aus dem Unternehmen heraus Site-to-site-Verbindungen genutzt. Diese sollten selbstverständlich nicht die einzigen Sicherheitsmaßnahmen sein, um vor Fremdzugriffen zu schützen.
Empfehlung hier: In lokalen Infrastrukturen gibt es Tools, um Berechtigungen zu verwalten und das Prinzip des geringsten Zugriffs ist allgegenwärtig – IT-Governance wird gelebt. In der Cloud schieben viele Unternehmen aber immer noch allein dem Anbieter die Schuld zu. Das ist der falsche Ansatz, schließlich kann der Anbieter nicht wissen, welcher Zugriff berechtigt ist und welcher nicht. Zur Rolle der IT-Security gehört es, Dinge zu hinterfragen und nicht immer als gegeben vorauszusetzen – das gilt aus naheliegenden Gründen im Besonderen für hybride Umgebungen.
Fazit
Durch die flexible Natur von hybriden Bereitstellungen ist Governance ein etwas komplexeres Thema als in der Vergangenheit, jedoch greifen die gleichen Prinzipien noch immer. Es gilt, Übersicht zu schaffen und zu behalten, gerade auch in modernen Multicloud-Szenarien. Die darunterliegenden permanenten Wechsel in der Plattform sind für das Business nicht von Interesse – für die IT hingegen schon.
ln/Sascha Giese, Head Geek bei SolarWinds