Die Cloud zeichnet sich durch hohe Flexibilität aus – keine gute Rahmenbedingung für die Sicherheit. Wenn Unternehmen aber die spezifischen Herausforderungen verstehen, existieren bereits heute sämtliche Technologien und Hilfsmittel, um alle Cloud-Infrastrukturen sicher zu gestalten.

Flexibel, bezahlbar, gefährlich – mit diesen Einschätzungen sehen sich Anbieter im Bereich Cloud-Computing konfrontiert. Erst wenn die Fragen im Bereich der Sicherheit von »IT-Infrastrukturen as a Service« zufriedenstellend geklärt sind, werden Unternehmen von den Vorteilen profitieren. Mittlerweile existieren schon sehr viele Technologien und Hilfsmittel, um Cloud-Infrastrukturen sicher zu gestalten.

Generell gilt der Netzwerkgedanke als zentraler Ansatz bei Cloud-Computing. Das bringt eine hohe Flexibilität ins Spiel, benötigt aber auch eine Vielzahl an Protokollen und Netzwerktechnologien, die alle inhärent unsicher sind. Somit bedeutet »Cloud Security« vor allem Sicherheit für konvergente Netzwerke, egal ob Ethernet, Fibre-Channel, Fibre-Channel-over-Ethernet, Infiniband oder ISCSI die Basis bilden.

Weil jede Schutzmaßnahme nur so gut ist wie ihr schwächstes Glied, sind in der Wolke durchgängige Verschlüsselung und stringente Authentifizierung die einzigen Möglichkeiten, Datenintegrität zu bewahren. Bewährt haben sich hierfür die Nutzung von Public-Key-Infrastrukturen (PKI) und Zertifikaten. Gängige Methode ist die Verschlüsselung per TLS-Protokoll (Transport Layer Security).

Diese durchgängige Verschlüsselung folgt einer unternehmensweiten Strategie für sichere Datenhaltung, -übertragung und -bereitstellung, die vier Kernelemente aufweisen sollte:

• Alle Cloud-Daten müssen vertraulich sein, also nur autorisierten Anwendern zur Verfügung stehen.
• Ihre Integrität ist zu bewahren, beispielsweise durch Schutz vor Manipulation während der Datenübermittlung.
• Autorisierung und Authentifizierung garantieren, dass nur entsprechend legitimierte Anwender auf die Cloud zugreifen.
• Nur verfügbare Lösungen können ihre Funktionen bereitstellen: Hochverfügbarkeit wird zum Sicherheitsfaktor.

Mit dieser durchgängigen Strategie reagieren Unternehmen auf eine IT-Umgebung ohne physische Kontrolle über (virtualisierte) Ressourcen, mit unter Umständen mangelhafter Zugangsbeschränkung und unübersichtlicher Organisationsstruktur. Mitarbeiter auf die Nutzung virtualisierter Strukturen einzustimmen und für die besonderen Herausforderungen zu sensibilisieren, ist dann eine Frage der Prozessoptimierung.

Anzeige

Die Frage nach dem Dienstleister

Bereits bei der Auswahl des richtigen Dienstleisters müssen Unternehmen in Bezug auf Sicherheit in der Cloud die richtigen Fragen stellen. Vor allem sollten sie den Aufbau der Cloud-Architektur verstehen. Sichere Mandanten-Fähigkeit ist in virtualisierten Infrastrukturen ein Muss, ebenso wie die zuverlässige Löschung von Daten. Es muss klar sein, wer die Verschlüsselungshoheit besitzt, inwiefern rechtliche Vorgaben eingehalten werden und ob verschlüsselte Daten auch in zehn Jahren noch zuverlässig auslesbar sind.

Um hier keine bösen Überraschungen zu erleben, rangieren kritisches Hinterfragen des Cloud-Anbieters und das Befolgen von Best Practices ganz oben auf der Agenda. Speziell die Verschlüsselung und die passende Schlüssel-Verwaltung sind die zentralen Stellschrauben im Bereich Cloud-Sicherheit.