Zeitgemäße Sicherheit für die Multi-Cloud-InfrastrukturIntelligentes Risikomanagement gefragt
8. Januar 2021Die Multi-Cloud gehört für viele Unternehmen zur neuen Realität, ob als Strategie gewählt oder durch andere Mittel erzwungen – wie Kundenpräferenz, Fusionen und Übernahmen oder staatliche Vorschriften.
Vorausschauende Unternehmen haben sich damit abgefunden, dass diese Realität für ihr Unternehmen eintreten wird – oder bereits eingetreten ist. Unternehmen planen, mehrere Clouds intelligent zu verwalten und proaktiv Maßnahmen zu ergreifen, um eine kontinuierliche Compliance zu gewährleisten.
Neben den zahlreichen Chancen und Vorteilen ist der Multi-Cloud-Ansatz jedoch auch mit Risiken verbunden. Einige der Risiken, die Unternehmen verwalten müssen, sind technischer Natur, zum Beispiel Unterschiede bei der Authentifizierung und bei Autorisierungslösungen oder bei der Konfiguration von Netzwerk-Routing und Sicherheit. Andere Risiken liegen auf der menschlichen Seite der Unternehmen. Ein häufiges Risiko, das durch übermäßige Prozesse und Verfahren verursacht wird, kann dazu führen, dass schnelllebige Teile der Unternehmen ein wenig aus dem Ruder laufen und zu einem IT-Kopfschmerz werden.
Automatisierung ist die neue Grundlinie
Es ist nahezu unmöglich für ein Unternehmen, sich alle Fähigkeiten anzueignen, die nötig sind, um die Feinheiten zu erlernen, wie man alles in jeder Cloud macht. Es sind enorme Mengen an Anlaufzeit und Budget erforderlich, um die notwendige Expertise zu finden. Automatisierung ist der Grundstein für die Unterstützung mehrerer Clouds.
Wenn Unternehmen mit einem Multi-Cloud-freundlichen Automatisierungsprodukt beginnen, sparen sie eine unermessliche Menge an Zeit. Dies gilt insbesondere dann, wenn es sich um ein Produkt handelt, das dieselben Bereitstellungen und dieselben Compliance-Prüfungen für jede Cloud im Mix durchführen kann. Da die Automatisierung wiederholbar ist, fällt weniger Zeit für das Cross-Training neuer Teammitglieder an – egal, ob es sich um eine Rolle als Sicherheitsadministrator oder DevOps-Ingenieur handelt. Ansible, Puppet und Terraform sind führende Multi-Cloud-Automatisierungs-Frameworks.
Flexible Richtlinien und Prozeduren
Ein Automatisierungsframework übernimmt den Großteil der Implementierung. Dadurch können Unternehmen Richtlinien und Prozeduren etwas flexibler gestalten und die Unterschiede zwischen Cloud-Implementierungen berücksichtigen. Sie sind in der Lage, sich auf das Ziel zu konzentrieren und nicht auf die genaue Vorgehensweise. Dies steht im krassen Gegensatz zu Prozeduren, die traditionell in On-Premises-Umgebungen geschrieben werden, wo die verwendeten Technologien viel strenger kontrolliert werden.
Ein einzelnes Netzwerk in Google Cloud kann zum Beispiel Subnetze aus mehreren Regionen unterstützen. Damit Subnetze aus verschiedenen Regionen überhaupt voneinander wissen, sind in Azure mehrere virtuelle Netzwerke mit konfiguriertem Peering erforderlich.
Flexibilität ist im DevOps-Bereich nach Meinung von Palo Alto Networks sogar noch wichtiger. Es gibt viel mehr Variablen und Optionen. Angefangen bei der Art und Weise, wie die Anwendung verpackt wird, bis hin zum Deployment auf Kubernetes, Fargate, AppEngine und sogar auf einer vorhandenen, gemeinsam genutzten virtuellen Maschine.
Wie Teams Zugang zu Clouds erhalten, erfordert weitere Flexibilität. Herkömmliche, unternehmensinterne Beschaffungsprozesse, die konkurrierende Angebote und andere bürokratische Hürden beinhalten, sind kontraproduktiv. Die Kontrollpunkte der Unternehmen werden oft umgangen, was zu kritischen Sicherheitslecks und technischen Schulden führen kann. Instanzen können nur durch umfangreiche Durchsuchungen von Spesenabrechnungen gefunden werden. Dies ist „Schatten-IT“ – und das ist nach Erfahrung von Palo Alto Networks ein echtes Problem.
Standardisierung der Komponenten so weit wie möglich
Auch wenn mehrere Clouds im Einsatz sind, ist es möglich, die Anzahl der im Spiel befindlichen Technologien zu minimieren. Dies geschieht durch die Standardisierung so vieler Kerntechnologien wie möglich. Oft beinhaltet dies die Verwendung von Komponenten von Drittanbietern.
Wann immer möglich, sollten Unternehmen sich an Lösungen halten, die mehrere Clouds unterstützen. Dies kann bedeuten, dass man bei einer sehr spezifischen punktuellen Lösung auf ein Nice-to-have-Feature verzichtet. Die gewonnene Konsistenz und Effizienz überwiegen jedoch die Vorteile eines „Nice-to-have“-Features bei weitem. Nur wenn es sich um eine Must-Have-Anforderung handelt, sind Single-Cloud-Management-Lösungen den Aufwand wert.
Ansätze zur Standardisierung beginnen bereits in der Anwendungsentwicklungspipeline. Dies wäre Verwendung von generischen und beliebten IDEs wie Visual Studio Code zum Beispiel, oder einer einzigen CI/CD-Pipeline, die alle Anwendungen mit Containern erstellt, die auf etwas wie Red Hat UBI als Cloud-unabhängige Basis basieren. Wenn sich dann den Stack nach oben verschiebt, empfiehlt es sich, bei der Verwendung von Kubernetes für die Container-Orchestrierung zu bleiben und immer eine PostgreSQL-basierte Datenbank-Engine zu verwenden. Monitoring- und Log-Aggregation-Tools von Drittanbietern gewährleisten eine möglichst einheitliche Sicht auf alle aktiv genutzten Clouds.
Es gibt noch viel mehr Beispiele. Aber es geht darum, einen Schritt zurückzutreten und nur bei Bedarf Cloud-spezifische Tools zu verwenden, um eine Anbieterbindung zu vermeiden, genau das, was alle Cloud-Anbieter zu erreichen versuchen. Ein Beispiel wäre, dass es besser ist, MongoDB von MongoDB zu erwerben, anstatt eine Cloud-eigene Implementierung davon zu nutzen.
Multi-Cloud-Management für Compliance und Kostenverfolgung
In Multi-Cloud-Umgebungen ist es von größter Wichtigkeit, dass Einblicke in die Kosten und die Einhaltung von Sicherheitsvorschriften für diejenigen, die diese Informationen benötigen, auf Abruf verfügbar sind. Es gibt eine Kategorie von Tools, die eine oder beide dieser Aktivitäten durchführen können. Diese arbeiten eng mit den größten Hyperscale-Cloud-Anbietern zusammen, damit die Lösungen aktuell sind. Sie beinhalten die neuesten Erweiterungen der Sicherheitsrichtlinien, um sicherzustellen, dass eine Richtlinie, wenn sie angewendet und validiert wird, so konsistent wie möglich über alle Clouds im Mix ist.
Diese Tools für das Cloud Security Posture Management, kurz CSPM, können Unternehmen dabei helfen, die mit Multi-Cloud-Umgebungen verbundenen Risiken intelligent zu verwalten. (rhh)