Was macht Cloud-Security so komplex?

Für Unternehmen ist es heute keine Frage mehr, ob sie in die Cloud migrieren, sondern wann. Die meisten setzen in ihrem Rechenzentrum ohnehin Virtualisierung ein. Server, die auf virtuellen Maschinen laufen, lassen sich relativ leicht in eine Cloud-Umgebung verschieben. Dort sparen Unternehmen Hardware-Kosten, reduzieren Administrationsaufwand und gewinnen mehr Flexibilität und Agilität. Laut einer aktuellen IDC-Studie befinden sich 46 Prozent der Befragten bereits in einer fortgeschrittenen Phase ihrer Cloud-Umsetzung. 38 Prozent sind in einer frühen Phase und nur 16 Prozent planen gerade erst oder haben noch keine Cloud-Strategie.

Treiber für eine Cloud-Migration ist häufig die Modernisierung des Rechenzentrums und die Notwendigkeit, neue digitale Services auf den Markt zu bringen. 35 Prozent der deutschen Unternehmen erwarten von der Cloud eine höhere Skalierbarkeit der Infrastruktur, 33 Prozent die schnellere Bereitstellung von Lösungen. 32 Prozent versprechen sich sogar eine verbesserte IT-Sicherheit. Vorbei sind also die Zeiten, in denen die Security als Hindernis für die Cloud galt. Unternehmen haben vielmehr erkannt, dass der IT-Betrieb mit einer modernen Infrastruktur und automatisierten Prozessen, wie sie die Cloud bietet, sicherer und weniger störanfällig wird. Public-Cloud-Provider erfüllen ihren Teil des Shared-Responsibility-Modells hochprofessionell. Sie haben in der Regel bessere Schutzmaßnahmen, als es die meisten Unternehmen in ihrem eigenen Rechenzentrum leisten könnten. Kunden müssen sich jedoch ihres eigenen Verantwortungsbereichs bewusst sein und selbst für die Absicherung all dessen sorgen, was sie in der Cloud betreiben.

Was macht Cloud-Security so komplex?

Cloud-Security funktioniert anders als On-Premises-Security und erfordert Cloud-spezifisches Expertenwissen. Um mögliche Gefahren durch Konfigurationsfehler zu vermeiden, müssen sich Mitarbeiter detailliert mit den Besonderheiten der einzelnen Cloud-Provider auskennen. Dazu kommt die Herausforderung, Container und Serverless-Funktionen zu schützen, bei denen traditionelle Kontrollpunkte der IT-Sicherheit wie das Betriebssystem oder die virtuelle Maschine fehlen. Diese Technologien sind auf dem Vormarsch. Laut Prognosen von Forrester werden bis Ende 2021 60 Prozent der Unternehmen Container und 25 Prozent Serverless-Funktionen in der Public-Cloud einsetzen. Agile Entwicklungsmethoden wie DevOps erfordern zudem neue Sicherheitsverfahren, die mit den häufigen Code-Iterationen Schritt halten können und sich direkt in die DevOps-Pipeline integrieren. Darüber hinaus müssen sich Unternehmen in der Cloud auch mit Compliance-Fragen auseinandersetzen und auf die Einhaltung von DSGVO sowie branchenspezifischen Regularien achten.

Eine Cloud-Security-Plattform kann Abhilfe schaffen

Die Cloud-Transformation bietet Unternehmen die große Chance, Security als ganzheitliches Konzept neu aufzusetzen und sich dadurch insgesamt sicherer aufzustellen. Gefragt ist eine Cloud-native Lösung, die alle Aspekte der Cloud-Sicherheit unter einer Plattform abdeckt: von der Workload Security über File Storage Security, Container Image Security, Application Security und Network Security bis hin zum Cloud Security Posture Management (CSPM). Letzteres ermöglicht die automatisierte, kontinuierliche Prüfung der gesamten Cloud-Infrastruktur auf Fehlkonfigurationen, Sicherheitslücken und Compliance-Konformität. Die Plattform sollte Sicherheitsfunktionen On-Premises und in der Cloud einheitlich bereitstellen. So bleibt das Security-Management immer gleich und unabhängig von der IT-Infrastruktur. Dadurch ist auch eine nahtlose Migration zwischen Formfaktoren wie der hybriden Cloud oder der Multi-Cloud möglich. Mitarbeiter haben die gesamte Sicherheitslandschaft von einer zentralen Konsole aus im Blick und können Bedrohungen schneller erkennen. Indem eine Cloud-Security-Plattform möglichst viele Prozesse automatisiert und KI einsetzt, entlastet sie die IT-Abteilung zusätzlich und erhöht die Sicherheit. Mitarbeiter können sich wieder auf ihr Kerngeschäft fokussieren.

Komplexität in der Hybrid-Cloud reduzieren

Bei der Wahl der geeigneten Security-Lösungen sind zwei Aspekte besonders wichtig: Unternehmen sollten darauf achten, dass das Security-Management möglichst einfach zu gestalten ist und mit dessen Hilfe ein ganzheitlicher Blick auf die gesamte IT-Landschaft gewonnen wird. Mit einer hybriden Umgebung wächst zunächst der Aufwand. IT-Teams müssen Security-Systeme in zwei unterschiedliche Welten aufbauen und Risiken in beiden Welten individuell bewerten. Um diese Komplexität zu reduzieren und Silos zu vermeiden, empfiehlt sich eine Lösung, die Sicherheitsfunktionen für die gesamte hybride Umgebung einheitlich unter einer Plattform bereitstellt und sich bereits in die DevOps-Pipeline integrieren lässt. So sind Workloads von der Entwicklung über die Migration bis hin zum Betrieb nahtlos geschützt – egal ob sie sich On-Premises oder in der Cloud befinden. Security-Teams gewinnen von einer zentralen Konsole aus Transparenz über die komplette Sicherheitslandschaft.