Unternehmen sehen die hybride Multi-Cloud als vielversprechenden Weg zu neuen Kunden und zur digitalen Transformation - und als schnelle Möglichkeit, die IT zu verjüngen und neue Umsatzmodelle zu entwickeln. Doch viele Unternehmen machen einen großen Fehler, wenn sie ihre Altsysteme in öffentliche, private und Community Clouds migrieren und dabei versehentlich nicht gewünschten Akteuren einen Zugriff auf die wertvollsten Daten ihres Unternehmens gewähren.
Marketing-Behauptungen versprechen den Unternehmen, dass sie weiterhin Sicherheit und Wert aus den Rechenzentren ziehen können, wenn sie sich für die Hybrid Cloud als Zukunft entscheiden. Für viele Unternehmen ist das Gegenteil der Fall. Hybride Multi-Cloud bringt ein größeres Risiko für Daten bei der Übertragung oder im Ruhezustand mit sich und öffnet Unternehmen für mehr Cyber-Bedrohungen bzw. böswillige Aktivitäten von unerwünschten Akteuren als je zuvor.
Die Sicherheit bei hybriden Multiclouds richtig zu machen ist schwer
Per Definition ist eine hybride Cloud eine IT-Architektur, die Legacy-IT-Systeme mit öffentlichen, privaten und Community-basierten Cloud-Plattformen und -Services integriert. Gartner definiert Hybrid Cloud Computing als richtlinienbasierte und koordinierte Servicebereitstellung, -nutzung und -verwaltung über eine Mischung aus internen und externen Cloud-Services. Die einfache Definition von hybriden Clouds steht im Widerspruch zu der Komplexität, sie sicher und in großem Umfang zu nutzen.
Was hybride Multiclouds aus Sicherheitssicht so anspruchsvoll macht, ist die Abhängigkeit von der Schulung der Mitarbeiter und der Aufrechterhaltung ihrer Kenntnisse über neue Integrations- und Sicherheitstechniken. Je manueller der Hybrid-Cloud-Integrationsprozess ist, desto einfacher ist es, einen Fehler zu machen und Anwendungen, Netzwerksegmente, Speicher und Applikationen zu gefährden.
Wie weit verbreitet sind menschenbasierte Fehler bei der Konfiguration von Multi-Clouds? Das Marktforschungsunternehmen Gartner prognostiziert, dass in diesem Jahr 50 Prozent der Unternehmen unwissentlich und fälschlicherweise einige Anwendungen, Netzwerksegmente, Speicher und APIs direkt der Öffentlichkeit zugänglich machen werden, gegenüber 25 Prozent im Jahr 2018. Bis 2023 werden fast alle (99%) der Cloud-Sicherheitsausfälle darauf zurückzuführen sein, dass manuelle Kontrollen nicht korrekt eingestellt sind.
Was macht die Schattenseiten von hybriden Multiclouds aus?
Die Versprechen von hybriden Multiclouds müssen mit einem Haftungsausschluss versehen werden: Ihre Ergebnisse können variieren, je nachdem, wie tief die Expertise Ihres Teams in Bezug auf mehrere Plattformen ist, die sich auf Compliance und Governance erstrecken. Hybride Multi-Clouds versprechen, unter idealen Bedingungen, die heute in Unternehmen selten erreicht werden, Folgendes zu leisten:
- Integration verschiedener Cloud-Plattformen und -Infrastrukturen über mehrere Anbieter hinweg mit geringer bis gar keiner Verschlechterung der Datenlatenz, Vendor Lock-in oder Sicherheitslücken.
- Autonomes Verschieben von Workloads und Daten in großem Umfang zwischen Legacy-Systemen, On-Premises-Systemen von Drittanbietern und der Public Cloud.
- Unterstützung und sichere Skalierung für Edge-Computing-Umgebungen, da die Ausgaben von Unternehmen in diesem Bereich derzeit stark ansteigen. Bains Analyse von IDC-Daten geht davon aus, dass die Ausgaben für Edge-Computing-Infrastrukturen und -Umgebungen zwischen 2019 und 2024 mit einem CAGR von 35% wachsen werden, verglichen mit einem Wachstum von etwa 2,5% bei den Ausgaben für Non-Public Clouds.
Unternehmen müssen sich durch die Schattenseiten von hybriden Multiclouds arbeiten, um Vorteile zu erkennen. Auch wenn die Herausforderungen von den Legacy-Systemen des jeweiligen Unternehmens abhängen, sind frühere Ergebnisse von Public-, Private- und Hybrid-Cloud-Piloten und Proofs-of-Concept ein zuverlässiger Prädiktor für zukünftige Ergebnisse.
Die Wurzeln des Risikos
In der Realität gehören hybride Multi-Cloud-Plattformen zu den risikoreichsten und am schwierigsten zu realisierenden IT-Infrastrukturen. Laut dem Bain Technology Report 2020: Taming the Flux nutzt ein durchschnittliches Unternehmen 53 verschiedene Cloud-Plattformservices, die über grundlegende Rechen- und Speicherdienste hinausgehen.
Die Bain-Studie ergab, dass CIOs sagen, je komplexer die Multi-Cloud-Konfigurationen sind, desto größer sind die Sicherheits- und Ausfallrisiken für ihre gesamte IT-Infrastruktur. CIOs sagten Bain auch, dass ihre Unternehmen Schwierigkeiten haben, die Talente zu entwickeln, einzustellen und zu halten, die für den sicheren Betrieb einer Cloud-Infrastruktur im großen Maßstab erforderlich sind, ganz zu schweigen von mehreren.
Das führt eine Liste von Indikatoren an, die innovative Unternehmen bei der Verbesserung ihrer hybriden Multi-Cloud-Sicherheit beobachten. Zu den Indikatoren gehören:
Mangel an kontinuierlichen Schulungen und Rezertifizierungen. Solche Schulungen helfen, die Anzahl und den Schweregrad von Hybrid-Cloud-Fehlkonfigurationen zu reduzieren. Da dies die Hauptursache für Hybrid-Cloud-Verletzungen ist, ist es überraschend, dass nicht mehr CIOs sich gegen Fehlkonfigurationen wehren, indem sie dafür bezahlen, dass ihre Teams alle zertifiziert werden. Jeder Anbieter von Public-Cloud-Plattformen hat eine florierende Unterindustrie von Partnern, die Konfigurationsoptionen und Audits automatisieren. Viele können falsche Konfigurationen abfangen, indem sie Hybrid-Cloud-Konfigurationen ständig auf Fehler und Inkonsistenzen überprüfen. Die Automatisierung der Konfigurationsprüfung ist ein Anfang, aber ein CIO braucht ein Team, das diese optimierten Scan- und Audit-Tools auf dem neuesten Stand hält und sie auf ihre Genauigkeit hin überwacht. Automatisierte Prüfer sind z. B. nicht gut darin, ungeschützte Endpunkte zu validieren.
Bei Automatisierungsbemühungen werden oft wichtige Faktoren übersehen. Es ist notwendig, inkonsistente, oft unvollständige Kontrollen und Überwachungen in älteren IT-Systemen anzugehen. Hinzu kommt die Inkonsistenz bei der Überwachung und Sicherung von öffentlichen, privaten und Community-Cloud-Plattformen.
Die Unklarheit darüber, wem welcher Teil einer Multi-Cloud-Konfiguration gehört, setzt sich fort, weil die IT und die Fachabteilung darüber streiten, wer dafür bezahlen soll. Die Beseitigung der Unklarheiten bezüglich der einzelnen Cloud-Instanzen liegt in der Verantwortung eines IT-Leiters des Unternehmens oder des IT-Kernteams. Die Budgets der Line of Business-Leiter werden für hybride Multi-Cloud-Integrationsprojekte, die ein Geschäftsmodell digital transformieren, belastet. Aber Daten- und IT-Governance, Sicherheit und Zuverlässigkeit können auf der Linie zwischen Business und IT liegen, was zu Verwirrung führt - und Tür und Tor für schlechte Akteure öffnet, die nach Lücken in hybriden Cloud-Konfigurationen suchen.
Auch die Grenzen der Verantwortlichkeit zwischen Cloud-Anbietern und Kunden verschwimmen. Da Cloud-Anbieter mehr Verantwortung für die Verwaltung aller Aspekte der in ihren Rechenzentren gehosteten Hardware und Software übernehmen, herrscht mehr Verwirrung denn je darüber, wer die Lücken in den System- und Cybersicherheitskonfigurationen abdeckt.
Die überbewerteten Vorteile der Cloud-Elastizität und der Abrechnung von Rechenressourcen können das Gesamtbild vernebeln. Wichtige Details werden zu oft in komplexen, komplizierten Cloud-Nutzungsberichten von Public-Cloud-Anbietern verschüttet. Es ist leicht, sich in diesen langatmigen Berichten zu verlieren und wesentliche Cloud-Sicherheitsoptionen zu übersehen. Später in dieser Artikelserie werde ich auf die Einschränkungen und Missverständnisse des Shared Responsibility Model eingehen.
Achten Sie auf die Multicloud-GAPs
Mangelnde Compliance und Governance sind die teuersten Fehler, die Unternehmen heute bei hybriden Multi-Cloud-Implementierungen machen. Sie zahlen nicht nur Bußgelder für mangelnde Compliance, sondern verlieren auch Kunden für immer, wenn ihre Daten bei einem Verstoß kompromittiert werden. Lücken zwischen Legacy-Systemen und öffentlichen, privaten und Community-Clouds, die böswilligen Akteuren eine offene Tür bieten, um Kundendaten zu exfiltrieren, verstoßen gegen die kalifornischen CCPA-Gesetze und die GDPR-Gesetze der EU.
Unternehmen können mehr Echtzeittransparenz und -kontrolle über alle Cloud-Instanzen hinweg erreichen, indem sie auf eine kleine Reihe von Überwachungs-Tools standardisieren. Das bedeutet, dass die Anzahl der Tools reduziert werden muss, um sicherzustellen, dass die verschiedenen Tools nicht miteinander in Konflikt geraten.
Wie schnell sich ein Unternehmen immer wieder neu erfinden und die Art und Weise, wie es Kunden bedient, digital transformieren kann, hängt davon ab, wie schnell sich die IT anpassen kann. Führungskräfte müssen verstehen, dass hybride Multicloud eine wichtige Strategie ist, aber der Hype stimmt nicht mit der Realität überein. Zu viele Unternehmen lassen große Lücken zwischen den Cloud-Plattformen.
Die kürzlich bekannt gewordene Sicherheitslücke bei SolarWinds hat die Schwächen von Hybrid-Multicloud offengelegt und die Notwendigkeit von Zero-Trust-Frameworks aufgezeigt. Im nächsten Artikel dieser Serie gehe ich auf die Lehren aus dem SolarWinds-Hack ein und zeige, wie ein besseres Verständnis die Compliance und Governance jeder Hybrid-Cloud-Initiative stärken kann. Maschinelles Lernen und Terrain-Analysen zeigen vielversprechendes Potenzial, um auch hybride Multi-Cloud-Sicherheitslücken zu identifizieren und zu beheben.
Die Original-Version in Englisch erschien am 13. Mai 2021 auf VentureBeat.com
Mit freundlicher Genehmigung des Autors durften wir den Beitrag in diesem Blog veröffentlichen.
Kommentare
Keine Kommentare