Cloud Security
Sichere Cloud-Lösungen verkaufen sich besser
Foto: Experton Group
Die Bedeutung des Themas Sicherheit für die Entwicklung des Cloud-Marktes hat sich gewandelt: vom Killer- zum Verkaufsargument." So formuliert Steve Janata, Senior Advisor bei der Experton Group, eines der zentralen Ergebnisse des aktuellen "Cloud Vendor Benchmark". Und sein Kollege Carlo Velten, ebenfalls Senior Advisor des Analysten- und Beratungshauses, erklärt: "In den Anfangszeiten des Cloud Computings wurde die Security-Keule immer dann herausgeholt, wenn man der Geschäftsführung das Cloud-Thema ausreden wollte.
Inzwischen haben die Anbieter und ihre Technologielieferanten wie etwa Trend Micro das Sicherheitsniveau der angebotenen Services verbessert und reden offen über das Thema Sicherheit, das früher gerne mal unter den Teppich gekehrt wurde. Dabei zeigt sich, dass dieses Thema den Verkauf fördern kann - teilweise sogar stärker als das Thema Kosten." Das liege daran, dass sich Sicherheit anhand von bestimmten Parametern relativ gut messen, diskutieren und dokumentieren lässt. Und für manchen Kunden sei die Umsetzung seiner Sicherheitsanforderungen wichtiger als die Kostenersparnis.
Interne IT muss sich öffnen
Den Grund für diese Entwicklung sehen die beiden Experton-Experten in den Geschäftsstrategien von Anbietern und Anwendern. Velten: "Lange hatten die Unternehmen verschiedene IT-Sys-teme im Einsatz, die wie parallele, in sich geschlossene Welten funktionierten. Im Zentrum stand die Enterprise-IT mit den kritischen Datenbank- und ERP-Systemen, internen Portalen und vielleicht noch einem Extranet, das Ganze umgeben von einer harten Schale wie eine Kokosnuss. Zugriff von außen gab es nur über dedizierte oder zumindest per VPN komplett abgesicherte Leitungen. Am Beispiel von SAPSAP und SuccessFactors lässt sich nun zeigen, wie diese harte Schale geöffnet wurde - in Richtung Cloud und mobiles Internet: Heute kann ein SAP-Anwender mit der iPad-App von SuccessFactors auf die kritischen Mitarbeiterdaten eines HR-Moduls in SAP R/3 zugreifen." Alles zu SAP auf CIO.de
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da - Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers. - Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software. - Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.