Die Marktforscher sind sich einig: Die meisten Unternehmen wollen die hybride Cloud, die Mischung aus lokaler IT-Infrastruktur und Diensten aus der Wolke. So besagt es zum Beispiel der RightScale State of the Cloud Report 2013, die Studie "Hybrid Cloud Market by Delivery Models, Market Forecasts & Analysis (2013 - 2018)" von MarketsandMarkets oder die Studie "Best Practices for Managing Integration in a Hybrid Cloud and On-Premises ERP World" von Wakefield Research im Auftrag von SAP.
Die zuvor genannte SAP-Studie beispielsweise weist aber auch auf die Sicherheitsbedenken der befragten CIOs hin: 52 Prozent sind der Meinung, dass ihre On-Premise-Lösungen sicherer sind als die Cloud-Dienste. Doch hybride Clouds haben zwei Seiten aus Sicht der IT-Sicherheit.
Neue Sicherheitskonzepte durch und für hybride Clouds
So hat eine internationale Umfrage von B2B International im Auftrag von Kaspersky ergeben, dass bereits ein Fünftel (21 Prozent) der befragten Unternehmen hybride Sicherheitslösungen nutzen. Solche Security-Lösungen setzen sich aus verteilten Komponenten oder Funktionen zusammen, die teils lokal im Unternehmen betrieben und zum Teil als Cloud-Dienst bezogen werden. Ein typisches Beispiel ist eine lokal betriebene Anti-Malware-Lösung, die Bedrohungsdaten in Echtzeit aus der Cloud erhält.
Bevor sich Unternehmen also für einen Hybriden-Cloud-Ansatz entscheiden, sollten sie genau prüfen, was dies für ihre IT-Sicherheit bedeuten kann, ob sich also neue Risiken ergeben oder aber neue Sicherheitsfunktionen möglich werden.
Anforderungen an hybride Clouds
Betrachtet man die Sicherheitsanforderungen, die an eine hybride Cloud gestellt werden müssen, setzen sich diese genauso zusammen wie die Hybrid Clouds auch: Eine sichere Hybrid Cloud erfordert eine sichere interne IT-Infrastruktur und eine sichere Cloud.
Daraus folgen erhöhte Anforderungen an zahlreiche Sicherheitsbereiche, wie Datenschutz, Identitätsmanagement, Zugangskontrolle, Schnittstellen, Datenspeicherung, Datenübertragung und Datenverfügbarkeit.
Datenschutz
Werden hybride Clouds zur Verarbeitung personenbezogener Daten genutzt und können dabei personenbezogene Daten in den Cloud-Bereich gelangen, muss vorab geprüft werden, ob die gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung erfüllt sind.
Besonders kritisch ist die Situation, wenn die Cloud außerhalb Deutschlands bzw. des EU-Raumes betrieben wird. Dann kann nicht mehr von einer Auftragsdatenverarbeitung ausgegangen werden. Vielmehr kann eine Datenübermittlung in Drittstaaten vorliegen, mit allen erforderlichen Einwilligungen und Prüfungen.
Zugangskontrolle und Identitäten
Die Daten in den Cloud-Bereichen und in den lokalen Bereichen der hybriden Datenverarbeitung müssen nicht nur durchgehend geschützt sein, sondern sollten für die Nutzer auch möglichst einheitlich erreichbar sein. Dazu gehören digitale Identitäten, die in der Cloud und in der lokalen IT genutzt werden können. Single-Sign-On-Lösungen (SSO) sollten sowohl die interne IT als auch die Cloud unterstützen.
Gleichzeitig sollte die Zugangskontrolle aber berücksichtigen, dass im Cloud-Bereich ein erhöhtes Risiko für unbefugte Zugänge bestehen kann, so dass zum Beispiel eine starke Authentifizierung möglich sein sollte. Hierfür kann unter anderem die Hybrid-Cloud-Lösung CloudPassage Halo sorgen.
Lösungen wie die IBM Hybrid Cloud Solution helfen, die Identitäten zwischen lokaler IT und Cloud-Diensten abzugleichen und zu vereinheitlichen. Für einheitliche Administrator-Identitäten und -Berechtigungen in der hybriden Cloud kann zum Beispiel Xsuite sorgen.
Sichere Schnittstellen
Die Verknüpfung von Cloud und lokaler IT bedeutet auch, dass von Fall zu Fall Anwendungen aus der Cloud mit internen Applikationen verbunden sein sollen. Dies setzt entsprechende Schnittstellen zwischen den Anwendungen voraus, aber auch eine Schnittstellensicherheit, damit die Datenübergabe zwischen den Anwendungen nicht zur Hintertür ins lokale Rechenzentrum oder umgekehrt in die Cloud wird.
Sichere Verknüpfungen werden zum Beispiel möglich durch spezielle VPN-Verbindungen (Virtual Private Networks) zwischen lokalem Rechenzentrum und Cloud-Service, wie bei VMware vCloud Hybrid Service mit der Direct-Connect-Funktion.
Sichere Datentransfers und -speicher
Hybrides Cloud Computing bedeutet in aller Regel, fortlaufend Daten zwischen der lokalen IT und der Cloud auszutauschen. Es kann zudem sein, dass Daten sowohl lokal als auch in der Cloud gespeichert werden. Die Forderung nach Vertraulichkeit und Integrität muss deshalb bei hybriden Clouds in beiden Speicherbereichen und bei der Übertragung zwischen lokalem Rechenzentrum und Cloud sichergestellt sein.
Ein Ansatz, die Datenspeicherung und die Datentransfers für die hybride Cloud-Nutzung abzusichern, kommt zum Beispiel von Afore Solutions. Die Lösung CypherX packt die Daten in verschlüsselte Container, regelt die autorisierte Entschlüsselung und protokolliert die Datenzugriffe und -änderungen sowohl im lokalen Rechenzentrum als auch in der Cloud.
Verfügbarkeit
Auch hinsichtlich Datenverfügbarkeit entstehen neue Anforderungen: Die lokalen Daten und die Daten in der Cloud müssen bei der Datensicherung und bei der Archivierung berücksichtigt werden. Es reicht also zum Beispiel nicht, die Cloud als Backup für die lokalen Daten zu nutzen, wenn in der Cloud ebenfalls Daten vorgehalten werden, die in einem Backup enthalten sein sollten. Die Backup-Strategie muss sämtliche Datenspeicherorte berücksichtigen und einbeziehen, dass auch in Clouds Datenverluste möglich sind.
Security-Tools für hybride Clouds
Die Sicherheitslösungen haben diese besonderen Situationen bei hybriden Clouds zu berücksichtigen. Sie müssen übergreifende Sicherheitsfunktionen bieten, die neben den internen IT-Diensten auch die Cloud-Services absichern.
Auf dem Markt gibt es verschiedene Lösungen beispielsweise im Bereich Web-Gateways, Virtualisierung, SIEM (Security Information and Event Management) oder IAM (Identity and Access Management), die speziell für den hybriden Ansatz der Cloud-Nutzung geeignet sind.
Security-Tools auf Basis hybrider Clouds
Doch hybride Clouds benötigen nicht nur spezielle Sicherheitslösungen, sie ermöglichen auch neue Security-Dienste. Die Kombination aus Cloud und On-Premise kann Unternehmen dabei helfen, Sicherheitslösungen schneller auszurollen, mobile oder externe Nutzer in die Sicherheitsstruktur zu integrieren, weitere Sicherheitsfunktionen zu ergänzen und in nahezu Echtzeit mit Bedrohungsdaten versorgt zu werden.
Doch hybride Clouds benötigen nicht nur spezielle Sicherheitslösungen, sie ermöglichen auch neue Security-Dienste.
Absicherung von Außenstellen
Lösungen wie Websense TruHybrid kombinieren das Management einer lokal betriebenen Security-Appliance in der Unternehmenszentrale mit der zentralen Steuerung der Cloud-basierten Sicherheit für Niederlassungen und mobile Mitarbeiter.
Dadurch erhalten auch kleine Außenstellen und externe Mitarbeiter ohne eigene Administratoren Sicherheitsfunktionen im Bereich E-Mail- und Internetsicherheit. Die Administratoren in der Zentrale arbeiten mit einer Management-Konsole, die die Sicherheitsfunktionen einheitlich steuert, ob lokal betrieben oder aus der Cloud bezogen.
Echtzeitinformationen für mehr Sicherheit
Lokal installierte Sicherheitssoftware profitiert auch hinsichtlich Aktualität und Echtzeit-Schutz von einer hybriden Struktur: Kaspersky Endpoint Security for Business zum Beispiel ist mit dem Kaspersky Security Network (KSN) verbunden. Das KSN sammelt nach Einverständnis der Nutzer anonymisierte Daten über Infizierungsversuche, gefährliche Web-Seiten und Spam-Attacken. Diese Informationen werden zur Analyse an Kaspersky geschickt. Dadurch lassen sich wesentlich schneller gefährliche Webseiten auf die schwarze Liste (Blacklist) setzen oder Signatur-Updates zur Malware-Erkennung bereitstellen.
Auch das Beispiel Web-Filterung wie der Barracuda Web Filtering Service zeigt, dass lokale Sicherheitsdienste sinnvoll um Cloud-Komponenten ergänzt werden können, wobei die Aktualität der sicherheitsrelevanten Informationen steigt.
Ebenfalls Kombinationen aus Sicherheitssoftware und Cloud-basierter Bedrohungsanalyse bieten Optenet GIANT, die Websense ThreatSeeker Intelligence Cloud oder Trend Micro mit Smart Protection Network.
Datensicherung für Außenstellen
Backup-Lösungen wie Symantec Backup Exec.cloud ermöglichen eine einheitliche Datensicherung in der Zentrale sowie in den Außenstellen, die über keine eigene Backup-Infrastruktur verfügen. Die Datensicherung in der Zentrale kann lokal oder in der Cloud erfolgen, die Niederlassungen und die mobilen Mitarbeiter nutzen die Cloud-Option der hybriden Lösung. Die Suche nach gesicherten Daten oder die Wiederherstellung von Daten geschieht dann über eine Lösung, unabhängig davon, wo die Daten in der hybriden Cloud gesichert wurden.
Ziel: Gemischte Datenhaltung, einheitliche Sicherheit
Bislang nutzen 51 Prozent der von B2B International befragten Firmen rein lokale Lösungen und 20 Prozent ausschließlich Cloud-basierte Security-Tools. Vergleicht man dies mit den Aussagen anderer Studien, dass in Zukunft verstärkt hybride Clouds genutzt werden, kann man den betreffenden Unternehmen nur empfehlen, die zusätzlichen Risiken durch den hybriden Ansatz zu beachten, aber auch die Möglichkeiten hybrider Sicherheitslösungen für sich zu entdecken.
Wer durch hybrides Cloud Computing die Datenschutzanforderungen steigen lässt, sollte umgekehrt die Möglichkeiten nicht ungenutzt lassen, die hybride Cloud-Strukturen für die IT-Sicherheit eröffnen. Die folgende Übersicht zeigt nochmals die Risiken und Chancen von hybriden Clouds aus Sicherheitsperspektive.