BLOG

Schmelztiegel der Cloud-Sicherheit: Australien und Neuseeland

F5 Miniaturansicht
F5
Veröffentlicht am 09. Mai 2016

 

Ich bin gerade von einer langen Tour durch Australien und Neuseeland (ANZ) zurückgekehrt, wo es einige spannende Entwicklungen zu berichten gilt. Beide Länder sind Inselstaaten und Darwin stellte in seinem Buch „Über die Entstehung der Arten“ fest, dass Inseln zu Schmelztiegeln der Evolution werden können. Australien entwickelt eine neue Möglichkeit, die Cloud zu nutzen, und Neuseeland entwickelt ein neues Effizienzmodell für staatliche Sicherheitsdienste. Beide Länder haben in einem Punkt etwas mit dem Rest der Welt gemeinsam: Herausforderungen im Zusammenhang mit der Verschlüsselung.

Australien entwickelt Multi-Cloud

In den letzten fünf Jahren hat sich niemand so intensiv mit der Cloud auseinandergesetzt wie die Australier. In den meisten Regionen kommt die Finanzdienstleistungsbranche als letztes zur Cloud-Party, aber nicht in Australien. In Down Under hat die Finanzdienstleistungsbranche mit Cloud-First-Richtlinien eine Vorreiterrolle übernommen. Nun verfolgen auch die Australier aggressiv die Multi-Cloud-Strategie. Dabei kommen mehrere öffentliche Clouds zum Einsatz; AWS, Google und Azure zählen zu den drei größten. Gegenüber einer einfachen Cloud-First-Richtlinie bietet es zwar Vorteile, die Sicherheit gehört jedoch nicht dazu. 

Die Australier sehen in der Einführung einer Multi-Cloud-Architektur zwei Hauptvorteile. An erster Stelle stehen die adaptiven Betriebskosten. Verschiedene Cloud-Anbieter berechnen unterschiedliche Preise und diese können von Tag zu Tag oder sogar von Stunde zu Stunde variieren. Eine agile Architektur kann diese Preisunterschiede ausnutzen, indem sie Rechen- und Speicherlasten auf die aktuell günstigsten Rechen- und Speicheranbieter verlagert.

Zweitens wollen die Ozzies einen einzelnen Ausfallpunkt unbedingt vermeiden; nur weil es sich bei der Cloud um „den Computer von jemand anderem“ handelt, heißt das nicht, dass sie auf magische Weise immun gegen Betriebsfehler ist. Beispielsweise kam es in der öffentlichen Azure-Cloud von Microsoft zu einem globalen Ausfall, als eines ihrer SSL-Zertifikate unbemerkt ablief. Kunden, die während des Ausfalls nur Azure nutzten, wären auf der Strecke geblieben. Wer jedoch eine Multi-Cloud-Strategie verfolgt, würde theoretisch feststellen, dass seine Geschäftsprozesse zum Ausgleich die Produktion in den beiden anderen öffentlichen Clouds steigern würden.

Ein australischer Kunde möchte eine Application mit fünf Komponenten erstellen, die sich jeweils jederzeit in einer anderen öffentlichen Cloud befinden können. Die Komponenten können von einer öffentlichen Cloud in eine andere öffentliche Cloud verschoben werden, um von den Vorteilen der Versorgungspreise zu profitieren oder Ausfälle zu vermeiden.

Die Schwierigkeit besteht hier darin, die Application zu sichern, wenn sie von einer Cloud in eine andere verschoben werden. Jeglicher Datenverkehr von einer öffentlichen Cloud zu einer anderen durchquert per Definition das Internet und ist daher nicht vertrauenswürdig. Jede Komponente muss die anderen als nicht vertrauenswürdig behandeln.

Die aufstrebende Branche der Cloud Access Security Broker (CASB) versucht, dieses Problem zu lösen, indem sie jede Komponente in einen eigenen Tunnel einbindet und für jede Komponente Layer-2-Tunnel bereitstellt. Dies ist ein interessanter Ansatz, aber die Tatsache, dass der CASB-Anbieter eine virtuelle Cloud neben der öffentlichen Cloud erstellen muss, führt erneut zum Single Point of Failure: dem CASB-Anbieter selbst. 

Die Multi-Cloud-Sicherheit ist ein schwieriges Problem – eines, das die Australier dankenswerterweise in Angriff nehmen, bevor der Rest der Welt es tun muss. 

Neuseeland entwickelt Telecom-as-a-Service (TaaS)

Managed Service Provider und Wiederverkäufer in Neuseeland schließen sich zu einem TaaS-Konsortium zusammen. TaaS ist ein neues Konzept für den Verkauf von Ausrüstung und Wartung speziell an souveräne Regierungsbehörden. Bei TaaS wählt der Käufer die Komponenten (und Anbieter) einer technischen Lösung aus, mietet sie jedoch, anstatt sie zu besitzen. Der Managed Service Provider übernimmt auch die Verwaltung und den Betrieb der Lösung. 

Der Grund für TaaS liegt in einer Änderung der Mittelzuteilungsmethode der neuseeländischen Regierung: Investitionsausgaben lassen sich kaum genehmigen, während Betriebsausgaben relativ problemlos genehmigt werden. Daher bewegen sich Regierungsbehörden in Richtung TaaS-Modell, bei dem sie weder Eigentümer der Kits noch Verwalter der Dienste sind, aber dennoch die Wahl der Lösungen haben. Dies wurde (soweit ich weiß) nirgendwo sonst auf der Welt versucht, also sind wir gespannt, wie es funktioniert. Das Abrechnungsmodell klingt kompliziert. Das Konsortium bereitet die Einführung des TaaS-Modells auch in Australien vor.

Verschlüsselung in Down Under

Auch wenn beide Länder auf diesem Gebiet Pionierarbeit leisten, haben sie doch eines mit dem Rest der Welt gemeinsam: Herausforderungen im Bereich Verschlüsselung und Sicherheit. Fast jede Organisation, die ich besucht habe, war von den neuen SSL Recommended Practices (SSL RP) von F5 begeistert. Das Ende letzten Jahres veröffentlichte SSL RP bietet einen detaillierten, umfassenden Leitfaden zum Umgang mit den Verschlüsselungsproblemen, mit denen viele Unternehmen konfrontiert sind, die daran arbeiten, „alles zu verschlüsseln“.

Zu den Themen der empfohlenen SSL-Praktiken gehören:

  • So erhalten Sie ein A+ von Qualys SSL Labs.
  • Vier Möglichkeiten zum Widerruf eines Zertifikats.
  • Drei Möglichkeiten zum Spiegeln von SSL-Daten für hohe Verfügbarkeit.
  • Konfigurieren von F5 als Forward-Proxy zur Unterstützung der SSL-Prüfung.
  • Wann sollte eine Organisation Forward Secrecy verwenden?
  • Verbessern Sie die Sicherheitslage mit Strict Transport Security.

Das PDF der empfohlenen SSL-Vorgehensweisen kann von der Site F5.com heruntergeladen werden.

Dank der entscheidenden Tiegel

Die Inselstaaten Australien und Neuseeland können zu evolutionären Schmelztiegeln für neue Technologien werden. Wenn TaaS in Neuseeland erfolgreich ist und nach Australien migriert, könnte es ausreichend wachsen und sich im Rest der Welt verbreiten. Das Ausbügeln der Probleme in der Multi-Cloud-Struktur könnte länger dauern als die Entwicklung von TaaS. Aber wenn die Australier einen Weg finden, die Multi-Cloud zu optimieren, kann man sich gut vorstellen, dass die gesamte entwickelte Welt auf diese Entwicklung umsteigt, um überall bessere Dienste bereitzustellen. Es wird jedoch einige Zeit dauern.