Möchten Sie Sicherheit „at your“ oder „as a“ Service?

Bis vor Kurzem ruhte die Welt des Cloud Computing auf ihren Hauptsäulen SaaS, PaaS und IaaS. Da das Verständnis und die Nutzung der Cloud bei Cloud-Konsumenten jedoch immer weiter reifen, beobachten wir insbesondere im Bereich der Sicherheit ein zunehmendes Interesse an dem, was teils Cloud, teils Managed Service ist. Der Einfachheit halber nennen wir es diesen Blog „zu Ihren Diensten“*. 

In einer herkömmlichen „als“-Umgebung könnten wir einfach BIG-IP ASM (unsere Application Firewall) nehmen und irgendwo da draußen eine schöne F5 Synthesis-Servicestruktur als Cloud einrichten und sie „als Service“ anbieten. Aus architektonischer Sicht ist es sinnvoll, die Application näher an den Apps zu platzieren, die sie benötigen, in der Cloud, wo es heute noch einen Mangel an guten Alternativen gibt. In der Cloud gehostete Apps benötigen aufgrund ihrer stärker öffentlichen Natur mindestens genauso viel Application wie Apps im Rechenzentrum. Was nicht unbedingt Sinn macht, ist, Anfragen an das Rechenzentrum zu scannen, zu bereinigen und auszuwerten, bevor sie wieder an die Cloud gesendet werden. Dies ist eine gewaltige Posaune (oder Haarnadelkurve, wenn Sie so wollen), wenn man bedenkt, dass die meisten Rechenzentren nicht direkt am Internet-Backbone neben dem Rechenzentrum des Cloud-Anbieters hängen.

Die wachsende Präferenz für ein solches Modell wurde in unserem Bericht „State of Application Delivery 2015“ deutlich, insbesondere für Sicherheitsdienste.

Eine Cloud-basierte Application ist jedoch durchaus sinnvoll. Es ist wahrscheinlich physisch und topologisch näher an der Anwendung, die es schützt, als das Rechenzentrum des Unternehmens, und es bietet ein Abrechnungsmodell, das Cloud-basierte Anwendungen besser ergänzt als eine herkömmliche Lösung vor Ort.

Das Problem besteht jedoch darin, dass Sie dennoch über die Zeit und das Wissen verfügen müssen, um es zu konfigurieren, zu testen und – was wichtig ist – auf dem neuesten Stand zu halten.

Dies ist der Moment, in dem aus „als ein“ wirklich „Schmerz im“ wird. Denn um diese Aufgabe zu erfüllen, benötigen Sie das Wissen und die Fähigkeiten einer Person, die sich mit Sicherheit und auch mit der Application auskennt. Was in Zeiten einer Sicherheitsblase schwierig sein kann.

Die Unterschiede zwischen „as a“ und „at your“ liegen vor allem in der Verantwortung und der Einbindung in die Geschäftsführung. Bei einem „At Your“-Service abonnieren Sie nicht nur die Software oder Lösung, sondern auch die aktive Verwaltung dieser Lösung durch Leute, die Experten auf diesem Gebiet sind. Angesichts makroökonomischer Zwänge wie dem Fachkräftemangel in der IT-Branche, der die Informationssicherheit besonders hart trifft, ist die Inanspruchnahme von Sicherheitsexpertise im Bereich der Sicherheit sicherlich ein Segen – und möglicherweise auch wirtschaftlich sinnvoll:

Der Mangel an Fachkräften im IT-Bereich hat epidemische Ausmaße angenommen. Es stehen einfach keine Sicherheitsleute zur Verfügung, die man anheuern könnte. Seit fünf Jahren liegt die Arbeitslosenquote für InfoSec-Fachkräfte unter 2 % (und oft sogar bei 0 %). Der angespannte Arbeitsmarkt für Menschen mit Sicherheitskompetenzen hatte vorhersehbare Auswirkungen auf die Löhne: Laut Payscale verdiente im Jahr 2014 die Hälfte aller Sicherheitsarchitekten mehr als 120.000 US-Dollar : Das sind 50 Prozent mehr als der durchschnittliche Softwareentwickler – und satte 300 Prozent des Gehalts eines ausgebildeten Krankenpflegers. Leute mit Sicherheitskenntnissen verdienen mehr, wechseln zu Startups oder werden für bequemere Jobs mit besseren Titeln (ähem) abgeworben. Jon Oltsik von ESG schrieb, seine wichtigste Vorhersage für 2015 seien „weitreichende Auswirkungen des Fachkräftemangels im Bereich Cybersicherheit.“ – David Holmes, F5 Security Evangelist, Dark Reading

Durch die Kombination des Geschäfts- und Betriebsmodells der Cloud (Multi-Tenancy, Abstraktion, abonnement-/nutzungsbasierte Abrechnung) mit den herkömmlichen Vorteilen eines Managed Service erreichen Unternehmen die gewünschte Flexibilität und Kosteneinsparungen. Das „At Your“-Modell stellt das Fachwissen zur Konfiguration und Wartung des Dienstes bereit und fördert gleichzeitig die Zusammenarbeit und aktive Teilnahme des Verbrauchers. Damit bietet es Unternehmen die Möglichkeit, ihre kritischen Applications** überall zu sichern und die Sicherheit zu gewährleisten. 

* Ja, ich weiß, dass dies die Abkürzung für SayS ist. Nein, ich bin nicht sicher, ob das gut ist. Oder schlecht. Vielleicht beides.

**In einer Application ist dies so ziemlich jede Application, nicht wahr? Es scheint jetzt fast überflüssig, es zu ändern.