Fortinet Studie

Dynamische Multi-Cloud Umgebungen benötigen besonderen Schutz

, München, Fortinet | Autor: Kurt Knochner

Dynamische Multi-Cloud Umgebungen benötigen besonderen Schutz

Aktuelle Studie von Fortinet und IHS Markit Technology

In den vergangenen Jahren nahm die Cloud-Nutzung in Unternehmen stetig zu. Doch diese Entwicklung verläuft nicht linear. Das ergab eine aktuelle Studie von Fortinet und IHS Markit Technology. Viele Unternehmen nutzen heute eine Mischung aus Public Clouds, Private Clouds und On-Premises. In einigen Anwendungsfällen entnehmen sie Assets wieder der Cloud. Dieser Trend hin zur dynamischen Multi-Cloud birgt Risiken für die Security.

Kurt Knochner, Cyber Security Strategist, Fortinet

Mit ihrer Agilität, Flexibilität und Skalierbarkeit eröffnet die Cloud neue Möglichkeiten. Sie gilt dadurch nicht umsonst als entscheidende Kraft in der Digitalisierung. Auch wenn viele Unternehmen mittlerweile die Vorteile der Cloud erkannt haben und nach und nach Workloads sowie Applikationen dorthin verlagern, zeigt eine aktuelle Studie von Fortinet und IHS-Markit : Der Weg in die Cloud ist keine Einbahnstraße. So haben 74 Prozent der 350 an der Studie teilnehmenden Unternehmen Anwendungen aus der Public Cloud wieder in die eigene Infrastruktur zurückgeholt.

40 Prozent der Befragten begründeten den Rückzug aus der Cloud damit, dass die Cloud-Installation von vornherein als temporäre Einrichtung geplant war, etwa während einer Fusion oder einer Übernahme. Jeweils 52 Prozent nannten Sicherheitsbedenken und mangelnde Performance in der Cloud als Gründe. Weiter wurde die Rückbesinnung auf lokale Speicherstrukturen mit dem Kosten-Management, neuen Regularien, der Entwicklung neuer Anwendungen oder Veränderungen in der grundlegenden Technologie begründet.

Durchbruch der dynamischen Multi-Cloud

Trotz des Rückrufs von Anwendungen aus der Cloud bedeutet dies nicht, dass Unternehmen die Public Cloud nicht mehr einsetzen. Vielmehr geht der Trend dahin, verschiedene Umgebungen parallel zu nutzen und ganz nach Bedarf zwischen Public Clouds, Private Clouds und On-Premises zu variieren. Die Studie zeigt somit: Für Unternehmen ist aufgrund ihrer wechselnden Geschäftsanforderungen heute die dynamische Multi-Cloud die Realität. Doch wer das beste von beiden Welten will, muss auch die Kehrseite beachten. Denn diese Art der Cloud verlangt sowohl von Unternehmen, die Applikationen in der Cloud halten, als auch von Technologieanbietern, die sie dabei mit Infrastruktur, Management und Security unterstützen, Flexibilität und Know-how. So müssen sich Produkte und Dienstleistungen problemlos verschieben lassen und in unterschiedlichen Umgebungen gleichzeitig laufen. Dafür müssen Cloud-Anbieter sicherstellen, dass ihre Tools und Technologien in verschiedenen Public Clouds, Private Clouds sowie lokalen Infrastrukturen konsistent funktionieren. Im besten Fall lassen sich Vorgänge automatisieren. Was sich bei Applikationen und DevOps noch relativ gut umsetzen lässt, gestaltet sich bei der Multi-Cloud-Security deutlich komplizierter.

Wer ist für die Security verantwortlich?

Die Frage nach der Sicherheit in der dynamischen Multi-Cloud ist für viele Unternehmen nicht leicht zu beantworten. Hier herrscht noch viel Verwirrung. Zum Beispiel wusste lediglich etwa die Hälfte der Studienteilnehmer, dass für eine Schwachstelle in der Virtualisierungs-/Cloud-Plattform der Anbieter, welcher die Plattform entwickelt oder implementiert hat, zuständig ist. Dafür sah eine große Anzahl der Unternehmen fälschlicherweise ihren Cloud-Provider in der Verantwortung, wenn es um Bedrohungen wie Advanced Persistent Threats (APTs) geht, die sich auf empfindliche Bestandteile des Cloud-Systems auswirken. Doch: weit gefehlt. Hier sind sie selbst in der Pflicht, die Verantwortung für die Security zu übernehmen.

Tatsächlich ist in der Cloud die Verantwortung klar zugeteilt: der Kunde ist für die Sicherheit der Daten und Anwendungen, die er in der Infrastruktur betreibt, zuständig. Der Cloud-Provider muss dafür die Cloud-Infrastruktur absichern. Diese Bereiche lassen sich aber nicht immer klar voneinander trennen. Von ihrem Cloud-Provider sollten sie nur erwarten, dass er die Arbeitsumgebung bereitstellt, um diese Services zu betreiben.

Mögliche Problemfelder in der Technologie

Security Tools, -Funktionen, -Richtlinien und -Protokollen sind meist nicht problemlos übertragbar. Hierin liegt eine weitere Herausforderung bei der dynamischen Multi-Cloud. Insbesondere wenn Arbeitsabläufe, Anwendungen und Daten überprüft werden müssen, während sie sich zwischen verschiedenen Umgebungen bewegen, kämpfen IT-Abteilungen gegen einen erhöhten Aufwand an. Neue Sicherheitslösungen zu implementieren und validieren kostet Zeit und Geld. Wenn Unternehmen Security-Lösungen aus einer Hand beziehen, können Sie Standards für sich nutzen. Dabei sollte ein Hersteller gewählt werden, dessen Produkte in einem möglichst breiten Spektrum an Public Clouds und physikalischen Umgebungen konsistent funktionieren. Um eine größtmögliche Wirksamkeit zu gewährleisten, sollten diese Tools nativ in den verschiedenen Public-Cloud-Umgebungen laufen. Das bestehende Sicherheitsmodell sollte sich durch Richtlinien, Funktionen und Protokolle, die mithilfe einer Art Cloud-Objekte-Abstraktions-Schicht nahtlos zwischen den verschiedenen Umgebungen übersetzt werden, auch in einer vielfältigen und dynamischen Umgebung anwenden lassen.

Security mitdenken

Da es immer Gründe geben wird, warum Unternehmen Anwendungen und Daten zwischen Public Clouds, Private Clouds und lokalen Lösungen hin- und herschieben müssen, wird die dynamische Multi-Cloud auch in Zukunft Bestand haben. Die Security erst im Nachgang zu bedenken oder Lösungen verschiedener Hersteller anzusammeln, ist ein entscheidender Fehler. Wenn Security-Verantwortliche die Sicherheitsstrategie vernachlässigen führt das früher oder später zu Bereitstellungs-Verzögerungen und Sicherheitslücken. Unternehmen sollten anstatt einer Patchwork-Infrastruktur eine integrierte Sicherheitsstrategie fahren, die ein einfaches, durchgängiges Security Management über die verschiedenen Umgebungen hinweg bewerkstelligt. Somit sind die wichtigsten Anforderungen an die Sicherheitslösungen, dass sie ganz automatisch in verschiedensten Cloud-Umgebungen laufen, Policies richtig durchsetzen und sich fließend an Veränderungen sowie Weiterentwicklungen im Netzwerk anpassen.