Eine Diskussion um Cloud Computing dreht sich schnell um Sicherheitsrisiken. Unsere US-Schwesterpublikation csoonline.com nennt vier Beispiele, in denen IT-Entscheider ihre Bedenken konkretisieren und berichten, wie sie die Probleme gelöst haben.
Beispiel Eins: Zugangs-Management soll im Haus bleiben. Lincoln Cannon fing vor zehn Monaten als Director of Web Systems bei einem Hersteller medizinischer Geräte an. Eine seiner ersten Aufgaben: Die Marketing-Abteilung sollte auf Google Apps und eine SaaS-Lösung (Software as a Service) für Mitarbeiter-Schulungen umsteigen.
Dabei wollte der Marketing-Leiter, dass seine Leute sich nicht mehr als ein Passwort merken müssen. Die IT-Abteilung beharrte darauf, die Kontrolle über Zugänge zu behalten, insbesondere, wenn Mitarbeiter das Unternehmen verlassen.
Cannon entschied sich für ein Single-Sign-On-System des Anbieters Symplified, das mit Active Directory kommuniziert. Google Apps nutzt APIs, so Cannon, aber wegen der Trainings-Lösungen für die Mitarbeiter brauchte er zusätzlich einen Authentication-Adapter.
Dabei könnte das Simplified-System ebenfalls als SaaS-Version operieren. Das Unternehmen entschied dennoch, hinter der Firewall einen Router zu implementieren. Der IT-Entscheider ist zwar einverstanden, dass das Marketing-Team seine Schulungen in der Wolke absolviert - das Management von User-Accounts und Passwörtern soll dort aber nicht stattfinden.
Beispiel zwei: Eigenentwicklung weiter nutzen. Allen Brewer, CIO der Flushing Bank in New York, hatte keine Lust mehr auf On-Site Tape Backups. Er wollte das Data Backup in die Wolke schieben. Seine Bedenken drehten sich um die Datenverschlüsselung. Die Bank hatte eine eigene Verschlüsselungs-Lösung entwickelt, die Brewer weiterhin nutzen wollte.
Er suchte also einen Provider, der den Algorithmus der Eigenentwicklung versteht. Nachdem der CIO verschiedene Anbieter in Betracht gezogen hatte, entschied er sich für Zecurion. Hauptargument: Brewer weiß nicht nur, wo dessen drei Datenzentren stehen, sondern auch, in welchem davon seine Daten liegen.
Lieber eine Private Cloud
Beispiel drei: Mehr Transparenz gefordert. Matt Reidy ist IT-Director beim Stellenportal SnagAJob.com und betont gern, das Unternehmen pflege eine Start-Up-Kultur. Das beinhaltet aus seiner Sicht Flexibilität und Transparenz. Als IT-Entscheider verbindet er damit Virtualisierung.
Aus Sicherheitsgründen arbeitet SnagAJob mit einer Private Cloud, betreibt die Wolke also im eigenen Rechenzentrum. Reidy legt Wert auf Kontrolle und will möglichst viel über den Datenfluss wissen.
Nach seinen Worten erreicht er das mit vSphere Version 4. Diese Version beinhaltet eine Schnittstelle, über die Firewalls Traffic Inspection in den VMWare Kernel bewegen können.
Damit kann Reidy erstmals beobachten, wie der Traffic zwischen den virtuellen Maschinen verläuft. "Jetzt können wir unsere Regeln aufgrund dessen schreiben, was wir wissen, und nicht mehr aufgrund von Vermutungen", sagt er. Reidy geht davon aus, dass immer mehr Hersteller solche Lösungen anbieten.
Regularien hinken der technischen Entwicklung hinterher
Beispiel vier: Compliance. Mike Kavis, Gründer von Kavis Technology Consulting, hat sich auf CSO Online mehrfach als Cloud-Anhänger geoutet. Eine große Baustelle nennt er dennoch: Audits. Regulatorische Vorgaben halten mit der technischen Entwicklung nicht Schritt, so Kavis. Sein Rat an Entscheider: Kritische Daten immer in eine Private Cloud schieben und nie in eine Public Cloud.
Der Consultant rät also auch für kritische Daten nicht grundsätzlich von der Wolke ab. Dafür seien Skaleneffekte und Kostenvorteile zu wichtig, so Kavis.
Die Beispiele werden in dem Artikel "Cloud security in the real world: 4 examples" auf csoonline.com ausgeführt.