Immer mehr Unternehmen verfolgen eine Cloud-first-Strategie und setzen bei neuen IT-Projekten auf die Cloud-Technologie. Immer mehr Anwendungen werden daher speziell für die Cloud entwickelt.
So fortschrittlich diese Entwicklung ist, darf allerdings die IT-Sicherheit nicht vergessen werden. Denn diese wird nicht immer mitgedacht, wenn es um die Cloud geht. Das Problem: Traditionelle On-Premises-Lösungen lassen sich meist nicht eins zu eins in die Cloud übertragen. Ihre Integration ist umständlich, sie skalieren nicht gut und bremsen die Agilität, die die Cloud mit sich bringt, wieder aus. Vielen Unternehmen fällt es deshalb schwer, Cloud Services in ihre bestehende IT-Infrastruktur zu integrieren. Stolpersteine sind nicht zuletzt die Anforderungen an Compliance und Security.
Zusammenbringen, was nicht zusammengehört
Die Art und Weise, wie Security-Lösungen On Premises und in der Cloud angeschlossen werden, könnte unterschiedlicher nicht sein. Bei On-Premises-Lösungen wird meist mit hardwaregebundenen Appliances gearbeitet und es werden Kabel gesteckt. Die Cloud dagegen ist vollständig softwarebasiert und nutzt offene Schnittstellen (APIs). Um On-Premises-Security-Systeme und Cloud Services zu integrieren, müssen Workarounds gefunden werden, die beide Welten miteinander verknüpfen können. Das ist kompliziert und aufwändig, denn im Grunde versucht man etwas zusammenzubringen, was eigentlich nicht so richtig zusammenpasst.
Problematischer Weise sind außerdem die Funktionsweisen der Appliances häufig nicht auf die neuen Voraussetzungen abgestimmt. Denn manches ist bei den großen Cloud-Providern bereits enthalten. Wer Office 365 nutzt, hat zum Beispiel automatisch E-Mail Gateways für globales Mailrouting inkludiert. Noch ein zusätzliches Gateway für die E-Mail-Security einzubauen, ist eigentlich zu viel des Guten. Besser wäre es, eine schlankere Lösung zu finden, die sich idealerweise in die Graph-API von Microsoft integriert. Auf der anderen Seite bringt die Cloud auch neue Herausforderungen wie Fehlkonfigurationen oder Container mit sich, bei denen traditionelle Security-Lösungen an ihre Grenzen stoßen.
Cloud-native Security-Lösungen bieten einige Vorteile
Statt Security-Systeme aus der On-Premises-Welt für den Cloud-Kosmos zurechtzubiegen, sollte besser gleich auf Cloud-native Security-Lösungen gesetzt werden. Denn diese wurden eigens für die Cloud entwickelt. Sie laufen selbst in der Cloud und lassen sich ganz einfach per API direkt in den Software-Stack integrieren. Monolithische Strukturen gehören hier der Vergangenheit an. Denn die Cloud-Lösungen basieren auf Microservices und Containern. Damit funktionieren sie unabhängig von Plattformen und sind flexibel skalierbar. Wächst die Cloud-Umgebung, kann ganz einfach auch die Sicherheit mitwachsen.
Ein weiterer entscheidender Vorteil ist, dass das Management der Sicherheits-Lösungen deutlich einfacher wird. Es ist keine Hardware erforderlich, es müssen keine Rechenzentrums-Ressourcen allokiert werden und es sind keine Installationen notwendig. Wenige Klicks genügen oft, damit ein Dienst eingerichtet ist. Die Administration wiederum erfolgt über eine Webkonsole. Um die Verfügbarkeit und Updates kümmert sich der Service-Anbieter. Manche Security-Funktionen – etwa das Überwachen von Administrator-Sessions – lassen sich mit Cloud-nativen Security-Lösungen zudem viel einfacher umsetzen als mit On-Premises-Systemen. Da alles softwarebasiert ist, kann man Aktivitäten problemlos mitschneiden, ohne dass man den gesamten Netzwerkverkehr vorher spiegeln muss.
Herausforderungen: Cloud Gateways und Secure Access
Wie immer gilt: Es ist nicht alles Gold was glänzt. Denn auch die Cloud stellt Unternehmen vor Herausforderungen. So müssen sie sich fragen, wie man beispielsweise On-Premises-Systeme und Cloud-Services miteinander verbinden kann. Cloud Gateways sind dabei die Lösung. Denn selbst wenn Unternehmen ihre Umgebung umstellen wollen und zukünftig auf eine Cloud-first-Strategie setzen, wird die Umstellung nicht von heute auf morgen vonstattengehen. Daher kommen hybride Umgebungen zum Einsatz. Es wird immer Workloads geben, die man lieber im eigenen Rechenzentrum behält oder die man aus technischen Gründen nicht einfach in die Cloud migrieren kann.
Eine weitere Herausforderung besteht darin, den Zugang zu den Services richtig abzusichern. Die Cloud öffnet zunächst einmal Tür und Tor für Cyberkriminelle. Es ist die Aufgabe der IT-Abteilung, die Zugänge zu kontrollieren. Am besten eignet sich dafür eine Multifaktor-Authentisierung (MFA). Denn statische Passwörter sind einfach zu unsicher. Hier ist eine Lösung nötig, die für die Nutzer und die IT-Abteilung gleichermaßen einfach zu handhaben ist. Immerhin steigt die Zahl der Anwendungen immer weiter, wodurch auch die Komplexität wächst und verschiedene Zugriffsrechte verwaltet werden müssen. Das ist aufwändig und kostet die IT-Abteilung viel Zeit und die Nutzer Nerven. Am besten lassen sich diese Herausforderungen mit einer Cloud-nativen Plattform für Access Management lösen, die MFA, Single-Sign-On und eine zentralisierte Benutzerverwaltung bietet.
Unternehmen sollten sich nicht auf integrierte Security der Cloud-Provider verlassen
Auch die großen Hyperscaler wie AWS, Microsoft Azure und Google Cloud Platform haben bereits zahlreiche Basis-Security-Funktionen in ihre Cloud-Services integriert. Diese sind zwar für den Anfang besser als gar keine Absicherung. Doch Security ist nicht das Kerngeschäft der Hyperscaler. Die Lösungen stoßen daher schnell an ihre Grenzen, sodass sich Unternehmen nicht dauerhaft auf sie verlassen sollten. Auch ins Geld können diese Lösungen schnell gehen. Denn so bietet Office 365 zwar MFA nativ an. Sollen allerdings Supplier integriert werden, stößt man schnell an Grenzen. Wer hohe Sicherheitsstandards umsetzen will, braucht in der Regel zusätzliche, spezialisierte Security-Lösungen von Drittanbietern und ist deshalb mit der Cloud-nativen Remote Access-Lösung eines Drittanbieters besser beraten.
Ein MSSP hilft, die passende Lösung zu finden
Es existieren viele Angebote für Cloud Security. Die richtige für sich zu finden, ist nicht einfach. Oft sind neue, noch weitgehend unbekannte Security Services am besten geeignet, da sie von Grund auf Cloud-nativ aufgesetzt sind. Unternehmen sollten daher nicht nur die etablierten Security-Hersteller unter die Lupe nehmen, sondern sich auch mit innovativen, neuen Unternehmen und Lösungen beschäftigen. Durch den Dschungel der Lösungen kann ein Managed Security Service Provider (MSSP) führen. Er scannt die Angebote am Markt, testet sie und kann mit seiner Expertise unabhängig beraten. Entscheidend ist, mit einem MSSP zusammenzuarbeiten, der sowohl in der On-Premises- als auch der Cloud-Welt zu Hause ist und Cloud-native-Lösungen in seinem Portfolio hat. So ist er in der Lage, seine Kunden optimal bei ihrer Cloud-Transformation zu begleiten. Denn welche Lösung am besten geeignet ist, hängt auch immer mit den Zukunftsplänen des Unternehmens zusammen.
Die Security-Lösung muss zur IT-Strategie passen
Wer eine Cloud-first Strategie verfolgt oder sich stärker in Richtung Cloud entwickeln möchte, sollte auch in der Security auf Cloud-native Lösungen setzen. Sie lassen sich einfacher integrieren und managen, sind optimal auf die Anforderungen von Cloud-Umgebungen abgestimmt und skalieren besser. Prüfen Sie, ob Sie bestehende Appliances am Ende ihrer Laufzeit durch modernere, Cloud-native Alternativen ablösen können. Möchten Sie Ihre IT auch weiterhin On-Premises betreiben, sollten Sie auch bei On-Premises-Security bleiben. Als Unterstützung können Sie sich einen erfahrenen Managed Security Service Provider an Ihre Seite holen, der den Markt kennt und die Lösungen findet, die am besten auf Ihr Unternehmen abgestimmt sind.
Bildquelle: stock.adobe.com-lassedesignen
