Sicherheit in einer Multicloud-Umgebung
Wachsamkeit und Verantwortung für die sichere Bereitstellung von Multicloud-Anwendungen erforderlich
Wenn Unternehmen eine Multi-Cloud-Strategie nutzen, um den IT-Betrieb zu verbessern und ihren Kunden bessere Dienste anzubieten, können sie es sich nicht leisten, die Auswirkungen auf die Sicherheit zu übersehen. Dies gilt insbesondere mit dem Aufkommen eines neuen Paradigmas für den Betrieb mehrerer unterschiedlicher Datenverarbeitungsumgebungen für die Anwendungsbereitstellung. Während Probleme wie die schleichende Komplexität, die nicht vorhandene plattformübergreifende Transparenz und die Standards mehrerer Anbieter um die Aufmerksamkeit der IT-Abteilung in einer Multi-Cloud-Umgebung konkurrieren, nennen Unternehmensleiter die Sicherheit als die größte Herausforderung.
Dieser Trend wurde in einer kürzlich von A10 Networks in Zusammenarbeit mit dem Business Performance Innovation (BPI) Network durchgeführten weltweiten Umfrage unter IT- und Unternehmensführern deutlich. In der Umfrage gaben die Befragten an, dass die Gewährleistung einer starken Sicherheit über Clouds, Netzwerke, Anwendungen und Daten hinweg entscheidend sein wird, um die Vorteile der Multi-Cloud-IT zu nutzen. Bislang glauben nur 11 Prozent der Befragten, dass sie den vollen Nutzen ihrer Multi-Cloud-Strategie ausschöpfen können, während die Mehrheit (51 Prozent) sich selbst als wenig erfolgreich oder erfolglos einstuft.
Eine schnelle Suche im Internet bringt viele Fälle von Sicherheitslücken und realen Vorfällen zutage. In einem Blogbeitrag von VMware wird darauf hingewiesen, dass es Aufgabe der IT- und Sicherheitsteams und nicht nur der Cloud-Anbieter ist, sich um viele Sicherheitsaspekte zu kümmern. Um ausgeklügelte Bots, häufige Datenexfiltrationen von personenbezogenen Daten (PII), Anwendungsangriffe und andere Bedrohungen zu stoppen, ist es unerlässlich, eine Sicherheitsstrategie für die private Cloud oder public cloud zu implementieren, die genauso streng ist wie diejenige für Ihre lokalen Lösungen, wenn nicht sogar noch strenger.
Deterministische oder zufällige Multicloud-Komplexität - alles muss abgesichert werden
Es ist leicht zu verstehen, warum die Verbreitung von Multicloud-Umgebungen die Entwicklung der Multicloud-Sicherheit tendenziell überholt hat. Während die Umstellung auf Multicloud oft Teil einer klar definierten und beabsichtigten Strategie ist, ist dies nicht immer der Fall. Bei vielen Unternehmen erfolgt die Umstellung eher ad hoc. Dies kann zum Beispiel der Fall sein, wenn ein Unternehmen mit einer Single-Vendor-Cloud-Strategie ein anderes Unternehmen, das eine andere Cloud-Plattform nutzt, übernimmt oder mit ihm fusioniert. Geschäftsbereiche und Entwicklungsteams können ihre eigenen Cloud-Ressourcen beziehen, mit oder ohne Zustimmung der IT-Abteilung als Schatten-IT. Neue Anforderungen an bestimmte Dienste, Datenhoheit (z. B. GDPR) oder Integration veranlassen die IT-Abteilung, neue Anbieter in die Umgebung aufzunehmen. Das Ergebnis ist, dass die meisten Unternehmen in einer komplexeren Multi-Cloud-Umgebung landen, als sie es sich vorgestellt hatten.
Ob beabsichtigt oder nicht, die Entwicklung hin zu Multi-Cloud-Umgebungen konzentriert sich in der Regel auf die Geschäfts- und IT-Faktoren, die sie antreiben. Wie bei vielen Technologien im IT-Betrieb stellen Unternehmen zunächst die Dienste bereit, die sie benötigen, um verschiedene Anforderungen zu erfüllen, und wenden sich erst dann der Frage zu, wie sie die entstehende Umgebung am besten kontrollieren, steuern und verwalten können. Dies erweist sich oft als schwieriger als erwartet, wie die Ergebnisse der Umfrage zeigen. Fast zwei Drittel der Befragten (63 Prozent) gaben an, dass die Gewährleistung der Sicherheit über alle Clouds, Netzwerke, Anwendungen und Daten hinweg die größte Herausforderung bei der Multi-Cloud-IT darstellt, was eine gute Nachricht ist, da sie ganz oben auf der Agenda steht, auch wenn die Lösungen heute noch nicht allgegenwärtig sind. Managementfähigkeiten und -fachwissen (37 Prozent) sowie zentralisierte Sichtbarkeit und Verwaltung (33 Prozent) wurden ebenfalls genannt - beides Hauptanliegen für effektive Multicloud-Sicherheit.
Wesentliche Sicherheitskompetenzen und -praktiken
Da IT-, Sicherheitsteams und Unternehmensleiter daran gearbeitet haben, die Sicherheitslücke in ihrer Multi-Cloud-Umgebung zu schließen, ist ein klares Gespür für die wichtigsten Technologien erforderlich, die es zu nutzen gilt. In dem BPI-Bericht nannte eine Mehrheit zentralisierte Sichtbarkeit und Analysen von Sicherheit und Leistung (56 Prozent), automatisierte Tools zur Verkürzung der Reaktionszeiten und Senkung der Kosten (54 Prozent) und zentralisiertes Management von einem einzigen Kontrollpunkt aus (50 Prozent) als die wichtigsten Fähigkeiten zur Verbesserung der Multi-Cloud-Sicherheit, Zuverlässigkeit und Leistung. Angesichts des ständig wachsenden Volumens digitaler Geschäftsdaten und -transaktionen wiesen 38 Prozent der Befragten auch auf die Notwendigkeit skalierbarerer, leistungsfähigerer Sicherheitslösungen hin. Dies wird sich im Laufe der Zeit noch verschärfen, insbesondere mit dem Aufkommen von IoT und der aufkommenden 5G-Konnektivität.
Bei der Frage nach den wichtigsten Überlegungen zum Schutz der Sicherheit und Zuverlässigkeit von Multi-Cloud-Umgebungen waren sich 62 Prozent der Befragten einig, dass eine zentralisierte Authentifizierung oder Vorauthentifizierung wichtig ist, um eine wirksame Kontrolle über die Benutzer, Administratoren und Systeme zu erhalten, die auf verschiedene Ressourcen über mehrere Clouds hinweg zugreifen dürfen. Einer der Befragten, Raja Mohan, leitender strategischer Architekt für Cloud- und Plattformdienste bei Franklin Templeton, erläuterte die Gründe für diesen Schwerpunkt: "Wie können wir hochsichere Anwendungen auf eine Weise bereitstellen, bei der es keine Rolle spielt, wo sie sich befinden? Wie können wir nahtlose, sichere Dienste anbieten? Das ist das Ziel."
Eine Antwort auf diese Frage zeigt sich in der hohen Einstufung zentralisierter Sicherheitsrichtlinien als kritische Praxis für multi-cloud IT (46 Prozent). Unter den defensiven Technologien nannten viele Befragte spezifische, hochwertige Abwehrmaßnahmen wie robuste Web Application Firewalls (WAFs) (40 Prozent) und DDoS-Schutz (33 Prozent).
IT-Operationen müssen mit den Sicherheitsteams für Cloud-übergreifende Sicherheit zusammenarbeiten
Die Unternehmen haben mit den ihnen zur Verfügung stehenden Sicherheitstools ihr Bestes getan, sind aber mit den Ergebnissen alles andere als zufrieden. "Zum jetzigen Zeitpunkt nutzen wir die Vorteile von Sicherheitslösungen unserer public cloud Anbieter, die wir mit unseren vorhandenen Tools ergänzen, aber wir entwickeln uns in diesem Bereich weiter", so Mohan.
In der Tat überprüfen IT-Organisationen ihre Lösungen und Anbieter kontinuierlich und stellen fest, in welchen Bereichen Änderungen erforderlich sind. Nur neun Prozent der Umfrageteilnehmer sind mit ihren aktuellen Sicherheitslösungen für Multi-Cloud-Umgebungen sehr zufrieden, während 38 Prozent einen erheblichen Verbesserungsbedarf sehen. Nur 18 Prozent glauben, dass sie ihre Lieferanten nicht neu bewerten müssen. Zahlen wie diese sind ein Weckruf für alle, die im Bereich der Multi-Cloud-Sicherheit tätig sind.
Dies zeigt, dass ein Polynimbus secure application services Ansatz notwendig ist, um die Macht an die IT- und Sicherheitsteams zurückzugeben, damit sie eine sichere und konsistente secure application services Umgebung über ihre Clouds hinweg bereitstellen können. Auf der Grundlage von Application Delivery Controller (ADC)-Lösungen sind Polynimbus-Denkweisen und -Praktiken der effektivste Weg, um sicherzustellen, dass Multi-Cloud-Compliance, Sicherheitsrichtlinien, Funktionalität und Erwartungen erfüllt werden, und gleichzeitig die überarbeiteten und gestressten IT- und Sicherheitsteams zu entlasten. Letztendlich wird dieser Ansatz dazu beitragen, dass Wachsamkeit leichter durchgesetzt und Verantwortung leichter wahrgenommen werden kann.
Zusätzliche Ressourcen
Erfahren Sie mehr über die sicheren Multicloud-Anwendungsbereitstellungslösungen von A10: