Plädoyer für Continuous Architecting
Hybrid Cloud skalierbar und sicher gestalten
Unternehmen stehen häufig vor der Herausforderung, dass sie eine Anwendungsumgebung skalieren müssen, ohne die Performance oder Sicherheit zu beeinträchtigen. Bei herkömmlichen Infrastrukturen ist dies meist nur mit großem Aufwand möglich. Dagegen bietet eine Hybrid Cloud hier einfache Lösungen für Unternehmen aller Größen. Doch in Bezug auf Skalierbarkeit und Sicherheit sind einige Punkte zu beachten.
Die Skalierung einer Umgebung bei gleichzeitiger Gewährleistung der optimalen Sicherheit scheint auf den ersten Blick eine große Herausforderung darzustellen. Doch in Wirklichkeit ist es eine Frage der richtigen Plattform. Denn während im eigenen Rechenzentrum ein Umbau ohne einen Software-Defined-Ansatz sehr komplex und schwierig ist, stellt dies bei Cloud-Lösungen kein großes Problem dar. Doch nach wie vor verhalten sich viele Unternehmen gerade in Deutschland ambivalent gegenüber der Cloud: Einerseits möchten sie die gebotene Flexibilität und Skalierbarkeit bei Bedarf nutzen. Andererseits wollen sie aber bei ihren traditionellen Sicherheitswerkzeugen bleiben. Einen Lösungsansatz für die Erweiterung einer Umgebung bei gleichzeitiger Gewährleistung der Anwendungssicherheit bietet die Hybrid Cloud. Doch wie kann dabei die Sicherheit der Anwendungsumgebung garantiert werden?
Sicherheit in der Hybrid Cloud
Durch Hybrid-Cloud-Techniken gibt es nicht nur mehr Optionen für die Implementierung und Anpassung von Anwendungen, sondern auch von Sicherheitsmechanismen. Natürlich ist weiterhin von Anfang an ein umfassender Sicherheitsansatz in die Cloud-Lösung zu implementieren, um einen zuverlässigen Grundschutz zu erreichen. Die Architektur ist jedoch zunehmend laufender Veränderung ausgesetzt, ähnlich wie wir es aus der agilen Softwareentwicklung kennen. Schließlich verändern und verfeinern sich auch die Bedrohungsszenarien und -taktiken zum Beispiel im Zuge von APTs (Advanced Persistent Threats) ständig. Somit ist die IT-Sicherheitsarchitektur dem neuen Paradigma des "Continuous Architecting" (auf Deutsch etwa: kontinuierliche Anpassung der Architektur) unterworfen. Dies schafft zusätzliche Komplexität, aber auch flexible Verteidigungsmöglichkeiten.
In der Cloud werden ohnehin ständig neue Funktionen entwickelt und bereitgestellt. Entsprechend sind auch kontinuierliche Updates im Bereich Architektur und Security nötig. Dies ist zwar grundsätzlich nichts Neues, da auch herkömmliche Sicherheitslösungen regelmäßig zu aktualisieren sind, um neue Gefahren abzuwehren. Doch hier bleibt die grundlegende Architektur erhalten, während man sie bei aktuellen Sicherheitsansätzen in der Cloud und sogar auch schon in unternehmenseigenen Rechenzentren jederzeit bei Bedarf ändern kann. So legt man Sicherheitsarchitekturen heute nicht mehr langfristig an, vielmehr sind sie flexibel anpassungsfähig und erweiterbar.
Fachwissen erforderlich
Da hierzu hochspezialisiertes Wissen nötig ist, sind viele Unternehmen damit überfordert. Entsprechend kümmern sich immer mehr Firmen nicht mehr selbst um die Absicherung ihrer Systeme, sondern nutzen Security as a Service. Wenn sie aber den Schutz ihres eigenen Rechenzentrums an Dienstleister auslagern, entfällt ein wichtiges Argument, das häufig gegen die Cloud verwendet wird: die angeblich geringere Sicherheit aufgrund des Outsourcings.
Natürlich sollten Unternehmen nicht gleich alles über den Haufen werfen, aber sich zumindest überlegen, ihren Sicherheitsansatz Schritt für Schritt zu erweitern, um flexibel auf neuartige Gefahren reagieren zu können. Anpassung, Flexibilität und Skalierbarkeit sind hierbei klare Stärken von Cloud-Lösungen, sodass eine individuell konzipierte Hybrid Cloud zumindest auf den ersten Blick ideal erscheint. Durch die genannten Eigenschaften bietet sie auch deutliche Vorteile bei der Unterstützung des Unternehmenswachstums bei gleichzeitiger Einhaltung von Sicherheitsanforderungen bezüglich einer komplexen Ansammlung an Workloads.
Workloads statt Anwendungen
Tatsächlich kann und sollte man Anwendungen als Sammlung von Workloads betrachten. Damit lässt sich leichter verstehen, dass nicht alle gleich sind. So müssen verschiedene Anwendungen, die in der gleichen Umgebung laufen, nicht die gleiche Leistungsfähigkeit zeigen. Dies gilt sowohl für die Performance als auch für die Security. In der Hybrid Cloud lassen sich Workloads in verschiedenen Umgebungen platzieren, um Leistung und Sicherheit zu optimieren. Dabei können sie jedoch immer noch so miteinander kommunizieren, als ob sie sich auf der gleichen Datenebene befinden würden.
Die Fähigkeit, Workloads an jedem Punkt eines Kontinuums aus physischen und virtuellen Umgebungen zu platzieren, bietet viele Vorteile. Aus Sicht der Skalierbarkeit erhöht der Betrieb von App-Workloads in einer optimalen Umgebung deren Gesamteffizienz auf einfache Weise. Dabei spielt es heute technisch praktisch keine Rolle mehr, ob die Verarbeitung von Workloads in der Public Cloud, Private Cloud oder lokal erfolgt. Trotzdem muss die Sicherheit aus einem Guss über alle Plattformen hinweg gewährleistet sein. Zum Beispiel laufen heute E-Commerce-Anwendungen meist übergreifend teils virtualisiert im eigenen RZ und teils in der Cloud, um zu Spitzenzeiten flexibel Ressourcen hinzuschalten zu können. Entsprechend sollte auch die Architektur sämtliche genutzte Plattformen umfassen und lückenlos Bedrohungen abwehren. Dann lässt sich auch ein optimaler Schutz für alle Workloads unabhängig von der Umgebung bieten.
Technisch gab es gerade in der jüngsten Vergangenheit im Bereich Container-based Computing einige Neuerungen, die aus Security-Sicht interessant sind. Dies ermöglicht auch eine holistische Sicht auf die Sicherheit, obwohl sich die Workloads über verschiedene Plattformen hinweg bewegen. Security ist daher heute mehr und mehr agnostisch gegenüber der zugrunde liegenden Infrastruktur. Daher sind auch dedizierte Plattformen nicht unbedingt sicherer als die Cloud, da grundsätzlich überall Sicherheitslücken bestehen können, die einen erfolgreichen Angriff ermöglichen. Eine abgeschlossene Kellertür oder eine Landesgrenze hat noch keinen Hacker aufgehalten. So sollten Unternehmen in jedem Fall einen zertifizierten und spezialisierten Sicherheitsdienstleister konsultieren, ob für das eigene RZ oder die Cloud.
Plattform und Anbindung
Lokal ("on premise") verwaltete Anwendungen lassen sich dabei jedoch nur so weit skalieren, wie die eigene Kapazität reicht. Dies kann eine problematische Begrenzung darstellen, vor allem wenn Unternehmen in andere Länder expandieren wollen, ohne die Security oder Performance ihres Netzwerks zu kompromittieren. Vollständig verwaltete Hybrid-Cloud-Lösungen gewährleisten dagegen sowohl Performance als auch Sicherheit. Tatsächlich war es früher ein Problem, virtuelle Maschinen für verschiedene Mandanten abzugrenzen, die bei einer Shared-Infrastruktur auf der gleichen Hardware liefen. Durch den Ansatz "Software-Defined Everything" (SDX) hat sich die Multi-Mandantenfähigkeit heute aber in fast allen Bereichen durchgesetzt, da dies nahezu überall Grundvoraussetzung ist.
Austausch von Informationen
Zudem sollten Unternehmen berücksichtigen, dass vor allem bei Cloud-Umgebungen die Betreiber auch aktuelle Sicherheitsinformationen gegenseitig austauschen. So sind sie über weltweite Netzwerke ständig über die aktuelle Bedrohungslage sowie neue Angriffstaktiken informiert. Auch entwickelte Abwehrmechanismen oder Malware-Signaturen tauschen sie aus. In Verbindung mit den herkömmlichen Informationsnetzwerken der Sicherheitsanbieter für Antiviren- oder Anti-Spam-Lösungen können Cloud-Provider damit deutlich schneller auf neue Bedrohungen reagieren als die isoliert arbeitende Sicherheitsabteilung eines Unternehmens. Dadurch wird es den Angreifern erschwert, einen Angriff mehrmals durchzuführen - sei er erfolgreich gewesen oder nicht. Denn Cloud-basierte Web Application Firewalls gelangen gewissermaßen automatisch immer auf den aktuellen Stand.
Lesen Sie mehr zum Thema
