Multi-Cloud Security: Herausforderungen und Lösungen

Cloud war gestern -- die Zukunft gehört der Multi-Cloud. Studien schätzen, dass in den nächsten Jahren 75 % aller Cloud-Architekturen auf Multi- oder Hybrid-Cloud-Systemen basieren werden.
Mit der digitalen Transformation steigen die Anforderungen an Unternehmen in Bezug auf Effizienz, Skalierbarkeit und Kundenerlebnis. Multi-Cloud-Systeme erfüllen diese Anforderungen besser als On-Premise-Architekturen, da Sie als Unternehmen die jeweils besten Services auswählen und integrieren können, ohne das Rad neu erfinden oder eigene IT-Infrastruktur aufbauen zu müssen. Zudem lassen sich Ausfallzeiten reduzieren, indem Services mit identischen Funktionen parallel genutzt werden. Fällt AWS aus, springt ein anderer Anbieter ein.

Doch wo Multi-Cloud-Architekturen Effizienz, Skalierbarkeit und Kundenfreundlichkeit versprechen, entstehen zugleich neue Herausforderungen. Die Struktur von Multi-Cloud-Umgebungen erfordert ein grundlegendes Umdenken bei der IT-Sicherheit. Im Folgenden erläutern wir, warum Sicherheit in Multi-Cloud-Architekturen besonders anspruchsvoll ist und wie Sie diesen Herausforderungen begegnen können.

Größere Angriffsfläche und geringere Sichtbarkeit: Das Problem bei der Sicherheit in Multi-Cloud-Architekturen

Multi-Cloud-Architekturen sind komplex, weil sie eine Vielzahl einzelner Services umfassen. Statt eines einzigen Zugangspunkts entstehen zahlreiche Stellen, an denen sensible Daten übertragen werden und Angreifer ansetzen können. Die Komplexität wächst dabei nicht nur linear im Vergleich zu einfachen Cloud-Lösungen: Nicht nur Ihr Unternehmen kommuniziert mit vielen verschiedenen Services -- häufig tauschen auch die Services untereinander Daten aus. Hinzu kommen neben den Cloud-Services selbst zunehmend auch IoT-Geräte, die sich mit dem System verbinden.

Mit wachsender Angriffsfläche sinkt gleichzeitig die Übersicht. Die verantwortlichen Personen in Ihrem Unternehmen verlieren zunehmend die Möglichkeit, die gesamte Architektur zu überblicken und zu überwachen -- und damit auch die Fähigkeit, schnell auf Bedrohungen zu reagieren sowie Schwachstellen proaktiv zu identifizieren und zu schließen.

Konsistenz sicherstellen durch Standards, Plattformen und Technologien

Beim Einsatz einer Vielzahl verschiedener Cloud-Services kommt es fast unweigerlich zu Inkonsistenzen, da sich die verwendeten Technologien und Schnittstellen unterscheiden. Ein bewährter Lösungsansatz ist die Nutzung von Containern. Container bringen sämtliche Abhängigkeiten mit und lassen sich dadurch plattformunabhängig überall ausführen. Das schafft wiederum die Grundlage für Plattformen, die verschiedene Services vereinheitlichen.

Sichtbarkeit herstellen durch Cloud-Management

Mittlerweile gibt es zahlreiche Anbieter, die das Problem der fehlenden Transparenz adressieren, indem sie eine übergeordnete Struktur bereitstellen. Cloud-Management-Plattformen und Cloud-Services-Broker schaffen einen gemeinsamen Nenner zwischen verschiedenen Public-Cloud-Services. So gewinnen Sie die Übersicht über Ihre Architektur und potenzielle Sicherheitsrisiken zurück.

Zugänge restriktiv gestalten

Einer der einfachsten Wege für Angreifer, in ein System einzudringen, führt über Mitarbeiterkonten. Je größer das Unternehmen, desto mehr Personen haben Zugriff auf bestimmte Systeme. Gleichzeitig entsteht mit jedem zusätzlichen Service ein neuer potenzieller Angriffspunkt. Wie lässt sich dieses Problem bewältigen? Stellen Sie sich vor, alle Mitarbeitenden in Ihrem Unternehmen hätten Administrationsrechte. Angreifer müssten dann nur ein einziges Konto kompromittieren, um das gesamte System zu übernehmen. Die Sicherheit wäre damit nur so stark wie das schwächste Passwort.

Dieses Gedankenspiel verdeutlicht, dass Sie genau umgekehrt vorgehen sollten: Zugänge und Rechte sind so restriktiv wie möglich zu gestalten.

Fehler reduzieren durch Automatisierung

Eine weitere Möglichkeit, den Faktor Mensch zu minimieren, ist die Automatisierung von Prozessen in der Cloud. Je weniger manuelle Arbeit erforderlich ist, desto geringer ist das Risiko für Fehler durch Unachtsamkeit. Für die Automatisierung stehen inzwischen zahlreiche Softwarelösungen zur Verfügung. Damit diese sinnvoll eingesetzt werden können, müssen jedoch serviceübergreifende Standards vorhanden sein. Das Thema Sicherheitsautomatisierung behandeln IBM und Red Hat im Paper Das automatisierte Unternehmen.

Fazit: Multi-Cloud-Security bleibt eine zentrale Herausforderung für Unternehmen

Für den CISO bleibt Multi-Cloud-Sicherheit eine zentrale Herausforderung -- und bei Weitem nicht die einzige. Neben der Sicherheit stellt auch die Compliance eine erhebliche Aufgabe dar, die Sie bewältigen müssen, um für die Multi-Cloud-Zukunft gewappnet zu sein.

Prüfen Sie daher die Anforderungen in Ihrer eigenen Organisation sorgfältig, bevor Sie eine Entscheidung treffen. Denn Sicherheit ist nie nur ein Produkt, sondern eine fortlaufende Aufgabe. Umfassende Informationen zum Thema Cloud Security stellt auch das BSI bereit.