Multi-Cloud Security: Herausforderungen und Lösungen

Cloud war gestern. Die Zukunft ist Multi Cloud. Studien schätzen, dass in den nächsten 75% aller Cloud-Architekturen Multi- oder Hybrid-Cloud-Systeme sind. Mit der digitalen Transformation steigen die Anforderungen an Unternehmen hinsichtlich Effizienz, Skalierbarkeit und Kundenerfahrung. Multi-Cloud-Systeme können diese Anforderungen besser abbilden als On-Premise-Architekturen, weil sich das Unternehmen die besten Services aussuchen und einbauen kann, ohne selbst das Rad neu zu erfinden oder die nötige IT-Infrastruktur zu schaffen. Auch die Downtime kann durch die Nutzung von Services mit identischen Funktionen reduziert werden. Fällt AWS aus, springt ein anderer Serviceprovider ein.

Aber wo Multi-Cloud-Architekturen, Effizienz, Skalierbarkeit und Kundenfreundlichkeit versprechen, eröffnen sich auch Herausforderungen. Durch die Struktur von Multi-Cloud-Umgebungen müssen Konzepte für die IT-Sicherheit neu gedacht werden. Wir erklären, was die Sicherheit in Multi-Cloud-Architekturen zu einer besonderen Herausforderung macht und wie Unternehmen damit umgehen können.

Größere Angriffsfläche und geringere Sichtbarkeit : Das Problem bei der Sicherheit in Multi-Cloud-Architekturen

Multi-Cloud-Architekturen sind komplex, weil sie viele einzelne Services umfassen. Statt eines einzigen Punkts, gibt es nun viele Punkte, an denen sensible Daten übertragen werden und Angreifer ansetzen können. Die Komplexität steigt dabei nicht bloß linear gegenüber der Komplexität von einfachen Cloud-Lösungen: Nicht nur das Unternehmen kommuniziert mit vielen verschiedenen Services, oft kommunizieren auch die Services untereinander. Das sind nur die Cloud-Services selbst, sondern zunehmend auch IoT-Geräte, die sich mit dem System verbinden.

Bei steigender Angriffsfläche sinkt gleichzeitig die Sichtbarkeit. Die zuständigen Personen im Unternehmen verlieren die Möglichkeit, die gesamte Architektur zu überblicken, zu überwachen und entsprechend schnell auf Bedrohungen zu reagieren und Lücken proaktiv zu identifizieren und zu schließen.

Konsistenz sicherstellen durch Standards, Plattformen und Technologien

Wenn eine Vielzahl verschiedener Cloud-Services genutzt werden, kommt es fast immer zu gewissen Inkonsistenzen. Die eingesetzten Technologien und Schnittstellen sind verschieden. Ein Lösungsansatz ist die Nutzung von Containern. Bei Containern führt ein Programm alle seine Bedingungen mit und kann so plattformunabhängig überall ausgeführt werden. Das eröffnet wiederum den Raum für Plattformen, die verschiedene Services vereinheitlichen.

Sichtbarkeit herstellen durch Cloud-Management

Mittlerweile gibt es viele Anbieter, die das Sichtbarkeitsproblem adressieren, in dem sie eine übergeordnete Struktur schaffen, die diese Sichtbarkeit schafft. Cloud-Management-Plattformen und Cloud-Services-Broker schaffen einen gemeinsamen Nenner zwischen verschiedene Public-Cloud-Services. Dadurch kann ein Unternehmen Sichtbarkeit über die Architektur und potenzielle Sicherheitsrisiken zurückgewinnen.

Zugänge restriktiv gestalten

Einer der einfachsten Möglichkeiten für Angreifer, sich Zugang zum System zu verschaffen, sind Accounts von Mitarbeitern. Je größer das Unternehmen, desto mehr Menschen haben Zugriff auf bestimmte Systeme. Gleichzeitig kommt mit jedem Service ein neuer potenzieller Angriffspunkt zustande. Wie können Unternehmen dieses Problem bewältigen? Stellen Sie sich vor, alle Mitarbeiter im Unternehmen hätten Administrationsrechte. Angreifer müssten dann nur einen einzigen Account übernehmen, um das ganze System zu übernehmen. Das System wäre dann nur so stark wie das schwächste Passwort eines Mitarbeiters. Dieses Gedankenspiel zeigt, dass Unternehmen genau andersherum vorgehen müssen: Zugänge und Rechte sollten so restriktiv wie möglich gestalten werden.

Fehler reduzieren durch Automatisierung

Eine weitere Möglichkeit, den Faktor Mensch auszuschließen, ist die Automatisierung von Prozessen in der Cloud. Je weniger manuelle Arbeit notwendig ist, desto weniger Ansätze für Fehler durch Unachtsamkeit gibt es. Für die Automatisierung stehen mittlerweile viele Softwarelösungen zur Verfügung. Damit Sie sinnvoll einsetzbar sind, müssen allerdings Service-übergreifende Standards vorhanden sein. Eine Sicherheitsautomatsierung thematisiert IBM und Red Hat im Paper Das automatisierte Unternehmen.

Fazit: Multi-Cloud-Security bleibt eine zentrale Herausforderung für Unternehmen

Für den CISO bleibt Multi-Cloud-Sicherheit eine zentrale Herausforderung. Und es nicht die Einzige. Neben der Sicherheit ist auch die Compliance eine große Herausforderung, die adressiert werden muss, um fit für die Multi-Cloud-Zukunft wird. Unternehmen sollten daher die Anforderungen in der eigenen Organisation genau prüfen, bevor sie eine Entscheidung treffen. Am Ende ist Sicherheit nie nur ein Produkt, sondern eine unendliche Aufgabe. Umfassende Informationen zum Thema Cloud Security stellt auch das BSI bereit.