Mehrere Cloud-Dienste in verschiedenen Einsatzbereichen und von verschiedenen Anbietern – das ist heute häufig das Bild in Unternehmen. Wie schon zuvor in Private-, Public- und Hybrid-Cloud-Umgebungen gilt es auch in der Multi-Cloud, den Sicherheitsaspekt der neuen Umgebungen zu überdenken.

Um eine Cloud-First-Strategie umsetzen, sollte ein Unternehmen laut Theorie zuerst die Ausgangssituation ermitteln. Nur wenn der Bedarf bekannt ist, lässt sich eine Lösung finden, die diesen am besten deckt. Daraufhin legt man die Ziele fest und analysiert die Risiken sowie die wirtschaftliche Machbarkeit. Erst dann reiht sich die Auswahl geeigneter Cloud-Services ein, auf die eine Multi-Cloud-Strategie aufbaut. Für die Auswahl des Betriebsmodells und des Deployments ist laut einer aktuellen Studie des Beratungsunternehmens PAC vorwiegend die IT-Abteilung zuständig. Die Entscheidung für einen Cloud-Service und einen Cloud-Anbieter treffen in deutschen Unternehmen laut PAC allerdings zu 30 Prozent die Fachabteilungen und nur zu 28 Prozent die IT-Abteilungen.

Durch fachspezifische SaaS-Anwendungen entsteht eine Verbindung zwischen dem Know-how der IT und der Abteilungen innerhalb des Fachbereichs. Aber das bietet auch Konfliktpotenzial – und dieses wird zusätzlich befeuert, wenn den Verantwortlichen die Expertise fehlt. Bei der Entscheidung, ob es sinnvoll ist, auf mehr als nur einen Provider zu setzen, kann ein externer Berater helfen. Das sehen auch 45 Prozent der Befragten der PAC-Studie so, die nach eigenen Angaben aufgrund der hohen Komplexität von Multi-Cloud-Lösungen bereits mit einem externen Dienstleister zusammenarbeiten. Dieser kann auf die Support-Leistungen der Public-Cloud-Anbieter zurückgreifen, kennt deren aktuelle Angebote und weiß, wie man sie am besten integriert. Nutzt eine Firma bereits Public-Cloud-Services verschiedener Provider, kann ein guter Berater außerdem dabei helfen, die unterschiedlichen Dienste in einer Multi-Cloud mit einheitlichem Daten-Management zusammenzuführen und so die Kosten zu senken.

Was spricht überhaupt für eine Multi-Cloud-Umgebung? Das Ziel ist meist, Public-Cloud-Services verschiedener Anbieter und Private-Cloud-Services bedarfsgerecht zu kombinieren. Dadurch gewinnen Unternehmen an Flexibilität und können im Einzelfall auch Geld einsparen, indem sie beispielsweise allein hochperformative Anwendungen auf einem teureren Dienst betreiben, ressourcenärmere Workloads dagegen auf einem preisgünstigeren. Außerdem verhilft die Multi-Cloud Unternehmen zu mehr Unabhängigkeit in der IT. Denn wer all seine Cloud-Services vom selben Provider bezieht, macht sich abhängig. Er muss die Preispolitik des Anbieters akzeptieren, ist auf dessen Leistungsumfang festgelegt und steht vor Problemen, wenn der Anbieter einmal vom Markt verschwindet. Bei einer Multi-Cloud-Architektur hat ein Unternehmen dagegen immer Alternativen zur Hand und kann im Fall der Fälle – oder wenn es vorteilhaft ist – den Provider wechseln.

In der Multi-Cloud muss genau festgelegt sein, wer für was verantwortlich ist. Die blauen Felder im Bild verantwortet das Anwenderunternehmen, die restlichen der Cloud-Provider. Bild: NetApp

Sicherheit und Compliance

Bei allen Vorteilen bringt die Multi-Cloud jedoch auch Herausforderungen mit sich. Große Bedenken bei der Cloud-Strategie haben Unternehmen laut der PAC-Studie unter anderem hinsichtlich der Compliance (68 Prozent) und der Ende-zu-Ende-Sicherheit (60 Prozent).

Und in der Tat erschwert es eine Multi-Cloud, einheitliche Sicherheitsrichtlinien, Datenschutz und Compliance umzusetzen. Denn jede Cloud hat ihr eigenes Sicherheitskonzept. Sicherheitsverantwortliche müssen sich mit den Unterschieden auseinandersetzen, die eigenen Richtlinien mit jenen der Provider abgleichen und austüfteln, wie sie für Konsistenz sorgen können. Das ist aufwändig und kostet Zeit. Deshalb ist es wichtig, alle beteiligten Abteilungen des Unternehmens möglichst früh und eng in ein Multi-Cloud-Projekt einzubinden. In vielen Fällen sind das neben der IT- und Fachabteilung auch die Compliance- und die Rechtsabteilung. Indem jeder Bereich seine eigene Perspektive einbringt, kann man gesetzlichen und individuellen Anforderungen an Sicherheit, Datenschutz und Compliance leichter gerecht werden.

Viele Unternehmen begehen dabei den Fehler, nur in lokalen Zusammenhängen zu denken. Das funktioniert in Multi-Cloud-Umgebungen nicht mehr: Wichtig ist nicht, wo das Unternehmen seine Zentrale unterhält, sondern in welchen Ländern und Wirtschaftsräumen es aktiv ist. Das bringt erfahrungsgemäß hohe Komplexität für den Datenschutz und die Compliance mit sich: Plötzlich gilt es, Standards aus verschiedenen Ländern zu bedienen – seien es regionsspezifische wie die europäische DSGVO oder branchenspezifische wie beispielsweise HIPAA im Gesundheitssektor. Auch die Datensicherheit muss bedacht sein. Dafür ist genau festzulegen, wer in der Sicherheitsarchitektur für welchen Bereich verantwortlich ist: Was deckt der Public-Cloud-Provider ab? Welche Pflichten verbleiben beim Anwender? Meist lautet die Antwort „Shared Responsibility“ (geteilte Verantwortung). Wie sich die genaue Aufteilung zwischen Cloud-Service-Provider und Unternehmen gestaltet, hängt von der Umgebung ab und lässt sich nicht allgemeingültig beschreiben.

Viele Unternehmen glauben, mit der Auswahl der richtigen Sicherheitsmechanismen und -technologien die eigene Verantwortung abgeben zu können. Dies ist ein gefährlicher Trugschluss, denn die großen Cloud-Provider („Hyperscaler“) sehen sich zwar häufig bei Ausfällen im Bereich Hardware oder Rechenzentrum sowie bei Applikationsfehlern in der Verantwortung. Entsteht der Datenverlust allerdings durch Ransomware, Anwenderfehler oder Synchronisationsprobleme, sollte der Anwender eine Lösung parat haben. Beispielsweise kann ein Hyperscaler Computing- oder Storage-Penetrationstests durchführen und den Nutzern Reports zusenden; doch das heißt nicht, dass ein Unternehmen seine eigene Umgebung oder das virtuelle private Netzwerk nicht selbst testen kann. Die Frage nach der Datensicherheit sollte man also bei jedem Multi-Cloud-Projekt möglichst früh stellen und für alle Beteiligten zufriedenstellend beantworten.

Gutes Daten-Management

Auch in Multi-Cloud-Projekten geht es um die Daten. Was für eine Rolle spielen sie im Projekt? Welche Sicherheitsanforderungen entstehen dadurch? An den Antworten auf diese Fragen sollten sich alle weiteren Entscheidungen orientieren. Der Schlüssel für mehr Sicherheit in der Multi-Cloud-Umgebung heißt also Daten-Management. Denn bei jedem Multi-Cloud-Projekt sollte es zunächst einmal darum gehen, möglichst viel über die Daten in Erfahrung zu bringen. Nur dann lassen sich die Daten qualifizieren und hinsichtlich der Sicherheitsanforderungen klassifizieren. Daraus lässt sich dann ein Konzept für die Ablage in der Cloud ableiten. Anwaltskanzleien zum Beispiel haben es naturgemäß mit sensitiven Daten zu tun. Es müssen also hohe Sicherheitsstandards angesetzt sein – mit umfassenden Verschlüsselungsfunktionen und mit einem streng geregelten, rollenbasierten Zugriffs-Management.

Auch hier kann ein externer Berater helfen. Denn neben dem neutralen Blick von außen hilft auch Expertise aus anderen Cloud-Projekten. Bestimmte Aufgaben lassen sich auch in einer Multi-Cloud-Architektur auslagern, je nachdem, ob ein Unternehmen auf IaaS- oder PaaS-Modelle (Infrastructure/Platform as a Service) zurückgreift. Je nach Modell entfallen für die Anwenderunternehmen neben dem Hardwarebetrieb auch Fragen wie die Betriebssystempflege, Konfiguration, Skalierbarkeit und I/O-Performance ihrer Cloud. Die gewohnte Arbeitsumgebung bleibt den Nutzern erhalten und die Multi-Cloud wirkt weniger komplex und unübersichtlich.

Für das Daten-Management über verteilte Ressourcen hinweg bietet sich der Ansatz einer „Data Fabric“ (auf Deutsch wörtlich: Datengewebe) an. Damit lassen sich Datenbestände sicher und standortunabhängig über alle Infrastrukturen transferieren. Ziel ist, dass Unternehmen die leistungsfähigen IT-Ressourcen von Public-Cloud-Anbietern nutzen können, ohne die Kontrolle über ihre Daten abzugeben. Mit den richtigen Tools und Lösungen gelingt in der Folge auch der schwierigste Teil jedes Multi-Cloud-Projekts: die Migration der Datenbanken in die Multi-Cloud. Denn wenn ein Unternehmen in diesem Prozess weiterhin auf die vertrauten Werkzeuge, Services und Funktionen zugreifen kann, minimiert das die Angriffsfläche und erleichtert es den Verantwortlichen, weiterhin höchste Sicherheitsstandards zu gewährleisten.

Die Themen Sicherheit, Datenschutz und Compliance sollten bei einem Multi-Cloud-Projekt von Anfang an eine zentrale Rolle einnehmen. Verantwortliche sollten das Thema nicht unterschätzen, sondern es aktiv angehen. Dabei helfen externe Beratungsleistungen. Auch passende Tools und Lösungen für ein umfassendes Daten-Management gibt es bereits.

Peter Wüst ist Senior Director Cloud Infrastructure and Cloud Data Services EMEA bei NetApp, www.netapp.com.