Die Cloud ist auf dem Vormarsch. Bei ihrer Absicherung brauchen mittelständische Unternehmen häufig Unterstützung von Managed Security Services Providern. Heiko Henkes, Director & Principle Analyst im Bereich Cloud und Edge Computing beim Marktforschungs- und Beratungsunternehmen ISG, zeigt aktuelle Trends und Herausforderungen.
Die Nachfrage nach Cloud Services ist so groß wie nie zuvor. Das hängt zum einen mit der Corona-Pandemie zusammen, durch die viele Unternehmen Remote-Arbeitsplätze einrichten mussten. Zum anderen gilt die Cloud als Schlüsseltechnologie für die Digitalisierung. Auch mittelständische Unternehmen verfolgen heute häufig eine Cloud-First-Strategie: Bei jedem IT-Projekt wird zunächst geprüft, ob es sich mit einer Cloud-Lösung umsetzen lässt. Unsere Studien zeigen, dass der Trend sogar zu Public Cloud First geht. Außerdem wird die Cloud-native Anwendungsentwicklung und Bereitstellung immer beliebter. 70 Prozent der IT-Entscheider in Deutschland sagen, dass sie entweder bereits Cloud-native Technologie einsetzen oder dies planen. Lediglich drei Prozent haben das Thema derzeit nicht auf ihrer Agenda. Häufig kommt bei Cloud-Native- und Cloud-First-Strategien jedoch die Security noch zu kurz. Wo liegen die Herausforderungen und wie kann ein Managed Security Services Provider (MSSP) helfen?
Auch die Public Cloud erfordert zusätzliche Security-Maßnahmen
Gerade mittelständische Unternehmen entscheiden sich häufig für Public-Cloud-Lösungen, weil sie sich davon ein Rundum-Sorglos-Paket versprechen. Zweifellos bietet die Public Cloud maximale Skalierbarkeit und entlastet die eigene IT-Abteilung. Auch was die Security anbelangt, sind die großen Hyperscaler wie Amazon, Microsoft und Google sehr gut aufgestellt. Entspannt zurücklehnen dürfen sich Kunden trotzdem nicht. Denn in der Cloud gilt das Shared-Responsibility-Modell: Der Provider übernimmt die Absicherung der Cloud-Infrastruktur, Kunden müssen sich jedoch selbst um alles kümmern, was sie in dieser Umgebung betreiben. Auch für die sichere Nutzung der Cloud Services müssen sie selbst sorgen. Dazu gehören zum Beispiel Themen wie Datenschutz, Zugangskontrollen oder die Integration von Firewalls. Wichtig ist, bei Cloud-Projekten bereits schon in der Konzeptionsphase an die Security zu denken. Denn Sicherheit nachträglich zu implementieren ist meist aufwändig und teuer. Ein MSSP kann Unternehmen dabei unterstützen, eine passenden Sicherheitsarchitektur zu entwickeln und umzusetzen.
Identity & Access Management und Single Sign-On sind im Trend
Ein wichtiger Aspekt von Cloud Security ist das Identity and Access Management (IAM). Es stellt sicher, dass nur berechtigte Nutzer auf Daten und Applikationen in der Cloud zugreifen können. Dabei gilt es, genau festzulegen und zu kontrollieren, wer unter welchen Bedingungen welche Berechtigungen erhält. Häufig arbeiten Unternehmen zum Beispiel mit Partnern zusammen, denen sie Teilbereiche ihrer Office-360-Umgebung freigeben möchten, etwa um Daten über SharePoint zu teilen. Solche Öffnungen müssen so eingerichtet werden, dass keine zu weitreichenden Zugriffe möglich sind aber der Zugang ohne große Hürden auf der User-Seite erfolgen kann.
Das Thema IAM treibt derzeit alle großen Cloud Provider um. Viele bieten dafür bereits Lösungen an. Eine Herausforderung besteht jedoch darin, das existierende Rechtemanagement aus der On-Premises-Welt auf die Cloud zu übertragen. Oft reichen die integrierten Security Features der Public Cloud Services zudem nicht aus, um die eigenen Compliance-Anforderungen zu erfüllen. So kann es zum Beispiel empfehlenswert sein, zusätzlich eine Zwei-Faktor-Authentifizierung vorzuschalten. Auch über Single-Sign-On-Lösungen denken viele Unternehmen nach. Denn wenn sich Anwender nur einmal anmelden müssen, um mehrere Services zu nutzen, erhöht das die Nutzerfreundlichkeit und Sicherheit.
Container schaffen zusätzliche Komplexität
Eine besondere Security-Herausforderung liegt in der Absicherung von Cloud-nativen Anwendungen. Der Trend geht hier zur Container-Technologie – virtuellen Umgebungen, die Applikationen unabhängig von der darunter liegenden Hardware machen und sich beliebig zwischen verschiedenen Infrastrukturen verschieben lassen. Cloud-native Anwendungen bestehen in der Regel aus einer Vielzahl von Microservices, die auf einzelne Container verteilt sind. So entstehen riesige Container-Cluster, die sich über die gesamte hybride Multi-Cloud-Umgebung erstrecken können. Sie richtig abzusichern ist schwer – zumal viele Unternehmen dies noch gar nicht in ihren Security-Konzepten berücksichtigen. Häufig haben sie zum Beispiel noch keine Lösung, um die Container zu überwachen und Transparenz zu gewinnen. Außerdem gibt es bisher kaum geeignete Security-Technologie. Daher brauchen Unternehmen in diesem Bereich verstärkt Unterstützung von spezialisierten MSSPs, die zu geeigneten Schutzmaßnahmen beraten und Lösungen bereitstellen.
MSSPs können helfen
Der Einsatz von Cloud Services und Containern bringt viele Vorteile, macht aber die Cybersecurity noch komplexer. Um für Schutz zu sorgen, ist breites und tiefes Fachwissen in Cloud-Architekturen, modernen Sicherheitstechnologien und DevSecOps-Prozessen nötig. Gerade mittelständische Unternehmen stoßen dabei aufgrund des Fachkräftemangels oft an ihre Grenzen. Hier sind erfahrene Managed Security Services Provider wie indevis gefragt, die bereits in der Konzeption unterstützen und komplette Ende-zu-Ende-Security-Lösungen anbieten können. Unternehmen sollten neue Technologien nicht übereilt einführen, sondern immer auch an die Absicherung denken. Denn wenn Schwachstellen offenbleiben, stehen im schlimmsten Fall die eigenen Kronjuwelen auf dem Spiel.
Kurzbiografie:
Heiko Henkes ist Director und Principal Analyst bei ISG. In seiner Rolle als Global ISG Provider Lens (IPL) Content Lead ist er für die strategische Unternehmensführung verantwortlich und fungiert als Thought Leader für IPL Lead-Analysten. Seine Kernkompetenzen liegen in den Bereichen der Analyse oder Beratung für alle Arten von Unternehmen innerhalb ihrer IT-basierten Geschäftsmodelltransformation. In diesem Zusammenhang unterstützt Herr Henkes Unternehmen bei der kontinuierlichen Transformation, indem er IT-Kompetenzen mit nachhaltigen Geschäftsstrategien und dem Change-Management verbindet. Zudem fungiert er als Keynote-Speaker im Kontext der digitalen Innovation.
Herr Henkes ist bekannt für seine Expertise in der Digitalisierung und insbesondere im Bereich Cloud. Seine IDG-Jury-Mitgliedschaft bei “Best in Cloud” und die laufende Projektleitung des Cloud Vendor Benchmark, seit 2017 ISG Provider Lens, unterstreichen dies. Herr Henkes verfügt über 15 Jahre Erfahrung in den Bereichen IT-Beratung, primäre und sekundäre Marktforschung und Anbieter-Go-to-Market-Strategien.
Bildquelle: stock.adobe.com-ipopba; Heiko Henkes