Start Cloud Die Herausforderungen der Hybrid Cloud-Einführung

Die Herausforderungen der Hybrid Cloud-Einführung [Q&A]

6
0


Cloud-Datenkabel

Die Cloud wird heutzutage für alle Arten von Datenverarbeitungen verwendet, aber es gibt immer noch einige Dinge, die intern gehalten werden müssen, sei es aus Performance-, Compliance- oder anderen Gründen.

Dadurch ist das Hybridmodell mit einer Mischung aus Cloud- und On-Premise-Lösungen immer beliebter geworden. Wir haben mit Derek Taylor gesprochen, dem leitenden Hauptsicherheitsberater bei Trustwave, um mehr über die Herausforderungen in Bezug auf Sicherheit und Lieferkette zu erfahren, die die Hybrid-Einführung mit sich bringt.

BN: Was ist Hybrid Cloud und was sind ihre Vorteile?

DT: Es gibt offensichtlich eine Reihe verschiedener Betriebsmodi der Cloud. Bei Hybrid geht es speziell um die Verwendung einer Mischung aus Ihrer eigenen Computerausrüstung, Rechenzentren, Servern, was auch immer sie sein mögen, sowie Elementen einer öffentlichen oder privaten Cloud, traditionellen Drittanbietern, Infrastruktur, die es dem Unternehmen ermöglicht, von einer funktionalen Seite aus zu arbeiten und Leistungssicht.

Hybrid ist das wohl am weitesten verbreitete Bereitstellungsmodell, da es die geschäftliche Flexibilität ermöglicht, einige Ihrer Daten in Ihrer eigenen Organisation zu speichern, einige Ihrer Daten. an anderer Stelle und bietet diese Skalierbarkeit des Dienstes. Es ist vielleicht am einfachsten, dies mit dem Konzept zu vergleichen, entweder alles in Ihren eigenen Rechenzentren zu haben, wenn Sie die gesamte Infrastruktur direkt bezahlen – und es ist eine Menge Kapitalausgaben (CAPX). Die Inanspruchnahme eines Dritten bedeutet jedoch Betriebsausgaben (OPEX). Hybrid bedeutet, wie der Name schon sagt, eine Mischung aus beidem.

BN: Gibt es bei Hybrid besondere Risiken für die Systemsicherheit?

DT: Hybrid unterscheidet sich an sich nicht von der Verwendung anderer Bereitstellungsmodelle. Und um fair zu sein, ein großer Teil der Cloud-Sicherheit unterscheidet sich nicht von jeder anderen Art von Cybersicherheit. Es gibt drei Dinge, auf die Sie sich konzentrieren sollten.

Die erste sind Service Level Agreements. Wenn Sie einen Dritten beauftragen, Ihnen eine vorgetäuschte Infrastruktur zur Verfügung zu stellen, dürfen Sie nur bis zu dem, was in Ihrem Vertrag enthalten ist, tun, verwenden oder untersuchen. Die Sicherheitsaspekte des Lieferkettenmanagements können ziemlich verworren sein, insbesondere weil während der Interaktion mit dem Cloud-Anbieter diese Anbieter wiederum Subunternehmer anderer Dritter einsetzen können. Und das kann noch komplizierter werden, insbesondere wenn mehrere Regionen oder Rechtsordnungen auf der ganzen Welt ins Spiel kommen.

Der zweite Aspekt, den ich vorschlagen würde, wäre die Verschlüsselung. Es gibt drei Arten der Verschlüsselung, Daten, Daten in Bewegung und Datenverwendung. Die meisten Leute denken, dass Dinge auf einer Festplatte oder einem USB-Schlüssel verschlüsselt sind, aber sie können auf den Computern ihrer Dienstanbieter verschlüsselt werden. Sie müssen auch darüber nachdenken, wie Sie diese Daten in die Cloud übertragen, also sind Daten in Bewegung die zweite Komponente, und dann gibt es noch die Verschlüsselung der Datennutzung. Dies ist im Vergleich zu anderen Verschlüsselungsarten um viele Größenordnungen ziemlich klein und nicht sehr verbreitet, aber es gibt sicherlich Möglichkeiten rund um die Verschlüsselung von Daten, wie sie verwendet wird.

Der dritte Aspekt ist dann das Identitäts- und Zugriffsmanagement und dies führt zu einem ganz breiteren Themenspektrum. Menschen, auch Nicht-IT-Mitarbeiter, sehen die Sicherheit in der Regel als Hindernis an, daher müssen Sie diese Sicherheit so nahtlos wie möglich gestalten. Offensichtlich denken die meisten Leute an Passwörter in Bezug auf den Zugriff oder den Zugriff auf ihre Daten, aber heutzutage werden immer häufiger Zwei-Faktor-Authentifizierungsmechanismen wie SMS-Textnachrichten verwendet oder vielleicht haben die Leute Anwendungen auf ihrem Mobiltelefon oder Authentifikator-Anwendungen für einen speziellen Code. Einige haben auch Token, daher gibt es mehrere Möglichkeiten, eine Multi-Faktor-Authentifizierung bereitzustellen. Und denken Sie dann an Ihre umfassendere Datensicherheit, wenn Sie Zugriff haben, wenn sich jemand einmal authentifiziert, erhält er dann Schlüssel für alles oder nur eine begrenzte Datenmenge?

Die Komplexität hybrider Tests, bei denen Sie versuchen, die gesamte Zuordnung von Zugriffssteuerungsdaten und Geschäftsanwendungsfallprozessen sowohl in Ihrer Infrastruktur als auch in der Infrastruktur eines Drittanbieters bereitzustellen und die beiden zu vereinen, um nahtlos zu funktionieren, kann eine sehr große Herausforderung bei der Implementierung sein.

BN: Ist das Lieferkettenrisiko ein Bereich, in dem mehr Bewusstsein geschaffen werden muss?

DT: Ja, ich würde sagen, dass viele Unternehmen davon ausgehen, dass sie beim Outsourcing des IT-Betriebs fast jede Verantwortung und/oder Verantwortung für die Sicherheit auslagern, aber das stimmt nicht. Einzelne Organisationen sind immer und immer für ihre eigene Sicherheit verantwortlich, unabhängig von Drittanbietern oder irgendetwas anderem. Was Sie verstehen müssen, ist, wer für welche Sicherheitsaspekte verantwortlich ist, und das kommt auf die Vertragsregeln zurück.

Es gibt verschiedene Arten der Bereitstellung, die einfachste ist Software-as-a-Service, das ist im Grunde so etwas wie Gmail, wo man nichts anderes tun kann, als sich bei Google anzumelden. Sie kümmern sich dann um alles, je nachdem, welche Einstellungen Sie vornehmen. Grundsätzlich sind Sie als Nutzer wirklich nur für Ihre Daten verantwortlich. Die Anwendung, die Plattform, auf der die Anwendung in der Infrastruktur sitzt, das physische Kit oder das Rechenzentrum überschneidet sich von Google. Für SaaS trägt der Benutzer im Grunde die geringste Verantwortung, aber er ist immer noch letztendlich für die Daten verantwortlich und letztendlich immer noch verantwortlich.

Auch hier geht es um Vertragsverhandlungen. Unternehmen gehen beispielsweise davon aus, dass sie im Falle einer Datenschutzverletzung detaillierte forensische Untersuchungen durchführen können, aber wenn dies nicht ausdrücklich im Vertrag festgelegt ist, können Sie dies möglicherweise nicht. Auch wenn dieses Drittunternehmen Ihre Daten stehlen kann. Dies gilt auch für andere Modelle wie Platform-as-a-Service und Infrastructure-as-a-Service, für die Sicherung Ihrer Daten sind Sie immer selbst verantwortlich.

BN: Gilt das auch für Compliance, wo es regulierte Branchen wie Finanzen und Gesundheitswesen gibt?

DT: Ja, es ist wichtig, Lieferketten-Audits durchzuführen. Sie müssen Ihren physischen Standort kennen und wissen, wo sich Ihre Daten möglicherweise befinden oder durchfließen. Dies gilt insbesondere für Finanzdienstleistungen, bei denen Sie sehr strengen geografischen Beschränkungen bei der Datenübertragung unterliegen. Heutzutage können Sie auch Probleme mit Dingen wie DSGVO, CCPA und anderen Datenschutzbestimmungen für Einzelpersonen haben.

Auch hier sind die rechtlichen Aspekte bei der Verhandlung von Cloud-Sicherheitsverträgen so wichtig. Wenn Sie diesen ersten Schritt nicht richtig machen, stellen Sie möglicherweise fest, dass Sie schlechte Annahmen darüber getroffen haben, was Sie tun können oder nicht, oder wo sich Ihre Daten befinden oder passieren.

BN: Wie viel zusätzliches Risiko birgt die jüngste Umstellung auf Remote-Arbeiten?

DT: Es ist seit mehr als einem Jahrzehnt in Mode, über die digitale Transformation zu sprechen, aber das kann für verschiedene Menschen viele Dinge bedeuten. Aber im Jahr 2020 standen Unternehmen aufgrund des Coronavirus sicherlich vor Herausforderungen.

Zu Beginn des Jahres sahen wir, dass Organisationen Schwierigkeiten hatten, die Funktionalität aufrechtzuerhalten, so dass die allgemeine Annahme war, dass die Menschen an einen Arbeitsplatz gehen und dass der Arbeitsplatz von einem zentralen Sicherheitsdienst betreut wird, in der Regel nur ein kleiner Prozentsatz der Mitarbeiter von zu Hause aus arbeiten. Daher mussten Unternehmen sehr schnell reagieren, um Produktivität und Funktionalität für ihre Mitarbeiter zu ermöglichen. Dies hat auch die Umsetzung einer Reihe von Trends auf dem Sicherheitsmarkt beschleunigt, die in den letzten Jahren sprudeln, insbesondere die Einführung von Zero Trust.

Es gibt immer eine Spannung zwischen Sicherheit und Business Enablement. Wenn man zu weit geht, dann sind Systeme zu schwer zu bedienen, so dass die Leute Wege finden, sie zu umgehen. Vor 20 Jahren ging es vielleicht darum, Anhänge an persönliche E-Mail-Adressen zu senden, heute sind es nicht autorisierte Cloud-Dienste.

BN: Glauben Sie, dass die Datensicherheit auf Vorstandsebene stärker bekannt werden muss?

DT: Cybersicherheit sollte sich in den Prozessen des betrieblichen Risikomanagements und des operationellen Risikomanagements nicht von jeder anderen Art von Risiko unterscheiden. Ja, Unternehmen sind mehr auf Technologie angewiesen und wenn diese immer komplexer werden, sollte Cybersicherheit Teil des Risikomanagements sein. Aber es sollte absolut nicht als diese Art von beängstigender, hässlicher, schrecklicher Sache angesehen werden, um die sich die Nerds und Geeks kümmern. Es sollte Teil des Gesamtgesprächs sein, dass ein IT-Mitarbeiter am Tisch saß, war das Wichtigste, dann ist es Sache der Vorstände, über ihre Risikobereitschaft zu entscheiden und diese Risiken entsprechend zu managen.

Bildnachweis: Nomadenseele1/Depositphotos.com



Vorheriger ArtikelUbuntu Linux 20.10 ‚Groovy Gorilla‘ Beta zum Download verfügbar
Nächster ArtikelBis Apple diese Sicherheitslücke behebt, ist Ihr VPN-Datenverkehr möglicherweise nicht sicher

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein