Cloud-Migration: Entkoppeln von Infrastruktur und Sicherheit

Autor/Redakteur: Richard Werner, Business Consultant bei Trend Micro/gg

Die Cloud ist der Motor für die Digitalisierung, der jedoch durch Sicherheitsmaßnahmen nicht ins Stocken geraten darf. Diesen Anspruch erfüllen Unternehmen, wenn sie vor dem Verschieben von Workloads, anstatt Security-Features mit Implementierungen zusammenzudenken, das Ganze gesamtheitlich betrachten. Dadurch rückt eine zentrale Cloud-Security-Plattform in den Fokus.

In der Pandemie trägt die Cloud-Nutzung branchenübergreifend entscheidend zur Geschäftskontinuität bei. Dieser überlebenswichtige Grund erweitert die altbekannten Vorzüge, warum Unternehmen Workloads aus ihren Rechenzentren verlagern. Services und Systeme in der Cloud sind agilerer, flexibler und skalierbar. Insbesondere das Arbeiten an neuen Geschäftsmodellen und Diensten erfordert heute einen Cloud-Zugang. Entwickler erhalten die richtigen Tools und finden eine passende Umgebung, um ihre Codes zu kompilieren. Ihre Firmen schaffen die digitalen Voraussetzungen, konkurrenzfähig zu bleiben.

Zweifellos treibt Cloud-Computing die digitale Transformation an. Auf der Agenda der meisten Unternehmen steht die Migration in die Cloud ganz oben. Zu diesem unternehmensstrategischen Vorgehen liefert eine aktuelle IDC-Studie die Zahlen: 46 Prozent der Befragten befinden sich in einer fortgeschrittenen Realisierungsphase und 38 Prozent stehen am Anfang. 16 Prozent planen den Neueinstieg, oder ihnen fehlt noch eine Cloud-Strategie. Doch auch bei ihnen dürfte die Aussicht auf den IT-Betrieb einer modernen, sicheren und wenig störanfälligen Infrastruktur sowie automatisierte Prozesse den Antrieb steigern, die Planungen zu forcieren. Zumal sie darauf setzen können, dass Public-Cloud-Provider ihren Teil des Shared-Responsibility-Modells auch hinsichtlich Sicherheit und Datenschutz hochprofessionell erfüllen. Bewusst sein sollte jedoch allen Unternehmen ihr Part für die sichere Cloud-Nutzung. Applikationen, Daten und das Gesamtbetriebssystem müssen sie selbst absichern, was für viele zur großen Herausforderung wird.

Typische Cloud-Workloads

Die Mehrheit der Firmen setzt längst virtualisierte Server ein, deren virtuelle Maschinen (VM) schnell in der Public- oder Privat-Cloud zum Laufen gebracht sind. Im Gegensatz dazu bewegen sich Cloud-native Anwendungen in einer ganz anderen Kategorie. Sie fußen auf ein Zusammenspiel von virtuellen Maschinen, Containern und serverlosen PaaS (Platform as a Service). In der Konsequenz kann das bedeuten, hunderte von Containern abzusichern, die auf mehrere VMs in verschiedenen Cloud-Services verteilt sind. In der Konstellation geht schnell der Überblick verloren. Zudem gilt es Workloads, die nur kurz in einer derart komplexen Umgebung laufen, automatisiert zu schützen. Für die Praxis heißt das, in der Software-Entwicklung Security as Code zu etablieren. So lässt sich eine automatische Konfigurationsüberprüfung in den Code integrieren.

Grundlegende Sicherheitsüberlegungen

Es empfiehlt sich daher dringend, dass Cloud-Architekten, DevOps/CloudOps-Verantwortliche und Security-Teams bereits in der Konzeptionsphase eng zusammenarbeiten. Nur so lassen sich die passenden Vorkehrungen treffen, um Workloads und Daten vor, während und nach der Migration zu schützen. Auch können Unternehmen auf diese Weise vorher die Basis legen, in der Cloud compliant beispielsweise im Sinne von DSGVO, PCI DSS, IT-Sicherheitsgesetz und den jeweils geltenden Branchenstandards zu agieren. Unerlässlich auf den Weg dahin sind folgende Maßnahmen und Fähigkeiten:

• Schwachstellen identifizieren und schließen / Patch-Management
• Auswerten von Logfiles, Erkennen verdächtiger Vorfälle und schnell darauf reagieren
• Malware-Schutz
• Vermeiden fehlkonfigurierter Cloud-Spaces

Der letztgenannte Punkt ist essenziell, da in der Cloud unnötige Angriffsfläche hauptsächlich durch vermeidbare Fehlkonfigurationen entsteht, die wiederum Datenverluste oder Malware-Attacken zur Folge haben können.