Die meisten Organisationen nutzen zusätzlich zu ihrer eigenen privaten Cloud vor Ort mehrere Cloud-Ressourcen. In den vergangenen drei Jahren haben wir nach den Herausforderungen und Frustrationen gefragt, die Fachleute in allen Rollen der IT erleben, wenn sie in diesem Modus arbeiten.
Die wichtigste Antwort ist jedes Jahr die gleiche: Beständigkeit.
Das ist keine Überraschung. Unternehmen arbeiten noch immer größtenteils in isolierten Teams, und die Einführung der öffentlichen Cloud hat daran nichts geändert. Tatsächlich hat sich die Zahl der Silos deutlich erhöht, da häufig auf die Cloud spezialisierte Teams erforderlich sind, um sich richtig an die einzigartigen Dashboards, Konsolen und Betriebsmethoden jeder einzelnen öffentlichen Cloud anzupassen.
Diese Realität erschwert die Sicherung von Anwendungen, für die Organisationen – und nicht Cloud-Anbieter – verantwortlich sind. Die Herausforderungen ergeben sich teilweise aus der Verwendung heterogener Sicherheitsdienste, die möglicherweise nicht die erforderliche Richtliniengleichheit bieten, um eine Anwendung entsprechend den Unternehmenserwartungen ausreichend zu sichern. Die Fähigkeiten eines Sicherheitsdienstes unterscheiden sich möglicherweise von denen eines anderen. Wenn Sie zum Schutz einer Anwendung auf eine bestimmte Funktion angewiesen sind, diese jedoch in einer Cloud verfügbar ist, in einer anderen jedoch nicht, können Sie keine durchgängige Sicherheit erreichen.
Daher war es keine Überraschung, dass ein Bericht von Sophos zum Stand der Cloud-Sicherheit 2020 eine größere Anzahl von Sicherheitsvorfällen bei Unternehmen feststellte, die mehrere Cloud-Ressourcen nutzen:
„Multi-Cloud-Organisationen haben in den letzten 12 Monaten mehr Sicherheitsvorfälle gemeldet. 73 Prozent der befragten Organisationen nutzten zwei oder mehr öffentliche Cloud-Anbieter und meldeten mehr Sicherheitsvorfälle als Organisationen, die nur eine Plattform nutzten.“
Der Bericht geht näher auf die Ursache dieser Vorfälle ein und stellt fest, dass bei 66 % der Angriffe Sicherheitslücken ausgenutzt wurden, die durch Fehlkonfigurationen entstanden waren. Die Angriffe lassen sich in drei Kategorien unterteilen:
Eine Fehlkonfiguration kann viele Ursachen haben. Tippfehler kommen häufig vor. Ein weiteres Problem können eine falsche Interpretation der Terminologie oder ein Missverständnis des Richtlinienmodells sein.
Um Tippfehler und andere vom Menschen verursachte Fehler zu reduzieren, kommt oft die Automatisierung zum Einsatz. Bei Letzterem hilft es jedoch nicht, denn hier können Unterschiede in den Richtlinienmodellen und Sprachen zu Verwirrungen führen, die zu Fehlkonfigurationen führen.
Die beste Lösung für das Problem der Fehlkonfiguration ist heute die Standardisierung. Durch die Auswahl eines Standardsatzes an Sicherheitsdiensten, die in allen benötigten Umgebungen funktionieren, können Sie Fehlkonfigurationen weitgehend vermeiden. Durch die Konzentration auf einen einzigen Satz von Sicherheitsdiensten bleiben die erworbenen Fähigkeiten über alle Cloud-Eigenschaften hinweg erhalten. Fachwissen beruht auf Erfahrung. Durch die Konzentration auf einen engeren Satz von Richtliniensprachen und -modellen können Unternehmen die Sicherung von Anwendungen in allen Umgebungen sicherer angehen.
Die Standardisierung wirkt außerdem als Kraftmultiplikator für die Automatisierung, indem sie die Wiederverwendung von Code, Skripten und Vorlagen ermöglicht, die Sicherheitsdienste über mehrere Clouds hinweg bereitstellen, einsetzen und verwalten. Die Automatisierungsartefakte werden durch Nutzung und Wiederverwendung gehärtet und optimiert, was zu größerem Vertrauen in die Nutzung der Cloud führt.
Die Cloud wird uns erhalten bleiben, ebenso wie die Realität mehrerer Clouds pro Unternehmen. Das heißt allerdings nicht, dass wir die Tatsache, dass es immer mehr Sicherheitsvorfälle gibt, hinnehmen müssen. Indem Unternehmen bei Sicherheitsdiensten gezielt auf Standardisierung achten und interne Organisationsstrukturen berücksichtigen, die die Zusammenarbeit behindern könnten, können sie positive Schritte zur Verbesserung der Sicherheit, zum Ausbau der Automatisierung und zur Optimierung der Fähigkeiten und Fachkenntnisse ihres wertvollsten Kapitals unternehmen: ihrer Mitarbeiter.