CIO-Tipps aus der Praxis
Infrastructure as a Service - eine Herausforderung für den CIO
René Büst ist Research Director in Gartners Managed Business and Technology Services Team mit Hauptfokus auf Infrastructure Services & Digital Operations. Er analysiert Entwicklungen im Bereich Cloud Computing (Anbieter von Managed Cloud-Services und Public Cloud sowie Cloud-Strategien wie IaaS, PaaS und Multicloud), digitale Infrastrukturen und Managed Services sowie den Einfluss der digitalen Transformation auf die IT. Seit Mitte der 90er Jahre konzentriert sich Herr Büst auf den strategischen Einsatz der IT in Unternehmen und setzt sich mit deren Einfluss auf unsere Gesellschaft sowie disruptiven Technologien auseinander.
Enterprise IaaS: Empfehlungen für den CIO
Im Kontext ihrer Cloud-Strategie stehen CIOs vor der Herausforderung, das passende Angebot für ihre individuellen Anforderungen zu finden. Insbesondere unternehmenskritische Applikationen gilt es sensibel zu behandeln. Für die Auswahl eines Enterprise-ready IaaS-Angebots hat es sich bewährt, die folgenden Kriterien zu berücksichtigen:
Sicherheit: Ein hohes Sicherheitsniveau ist Hauptbestandteil einer Enterprise-ready IaaS-Umgebung. Dies sollte sich auf allen Ebenen, bis hinunter ins Netzwerk, zeigen. Regelmäßige, unabhängige Audits und eine Offenlegung der Sicherheitsarchitektur gegenüber dem Kunden sind das A und O eines IaaS-Angebots.
Compliance: Kontrolle und Transparenz der Nutzeraktivitäten sind essentiell wichtig, um für die erforderliche Compliance zu sorgen. Hierzu ist es erforderlich zu erkennen und festzuhalten, wie sich Nutzer auf der IaaS-Umgebung bewegen. Das bedeutet, zu verstehen und aufzuzeichnen, welche Ressourcen (Server, StorageStorage, Service, API usw.) zu welcher Zeit von welchem Nutzer verwendet wurden. Alles zu Storage auf CIO.de
Integration und API-Zugriff: Die Einbindung in eine hybride Cloud-Umgebung ist für die Mehrheit der deutschen Unternehmen die favorisierte Cloud-Strategie. Während des zukünftigen Ausbaus sollte jedoch strikt eine nahtlose Integration berücksichtigt werden, um keine System- und Datensilos entstehen zu lassen. Die Nutzung einer API unterstützt hierbei eine automatisierte Steuerung der Infrastruktur auf Skriptbasis oder direkt aus den Anwendungen heraus.
Hybrid Cloud: Moderne IT-Infrastrukturen können von vielen unterschiedlichen Cloud-Formen profitieren. Zum einen existieren Bereiche wie ERP-Systeme, die innerhalb einer Private Cloud-Infrastruktur betrieben werden sollten. Zum anderen stehen Web-Server bevorzugt innerhalb einer Public-Cloud-Infrastruktur. Eine Hybrid-Cloud-Umgebung, basierend auf Private- und Public-Cloud-Ressourcen, unterstützt deshalb bei einer ganzheitlichen Integration.
Disaster Recovery: Ein Backup-Service zur Notfallwiederherstellung (Disaster Recovery) ist ein elementarer Bestandteil einer Enterprise-ready IaaS-Umgebung. Zugleich sollte das Daten-Backup über mehrere Rechenzentrumsstandorte verteilt gespeichert werden, um eine geringe Fehlertoleranz und hohe Verfügbarkeit sicherzustellen.
Multi-Regionen-Betrieb: Ein europaweites oder globales Netzwerk von Rechenzentrumsstandorten hilft global tätigen Unternehmen dabei, schnell in weitere Ländermärkte vorzudringen, um auf einer einheitlichen Technologiebasis und mit einer geringen Latenz, ein lokales Angebot bereitzustellen.
Fazit
Cloud-basierte Infrastructure-as-a-Service Umgebungen gelten als gesetzter Standard für den Aufbau und Betrieb moderner IT-Infrastrukturen. Nur mit ihrer Hilfe lassen sich die notwendige Skalierbarkeit und Stabilität erzielen, um Applikationen zukunftsorientiert und ausfallsicher zu betreiben.
Im Zuge der voranschreitenden digitalen Transformation und dem immer größer werdenden Momentum des Internet of Things (IoT) rücken IaaS-Plattformen weiter in den Mittelpunkt, um als Infrastruktur-Backend zu dienen. Insbesondere die gute Konnektivität, aber auch die Möglichkeit des Multi-Cloud-Betriebs
helfen Anbietern von IoT-Services dabei, ihre Lösungen zeitnah und mit einer geringen Latenz schnell in weitere Ländermärkte auszuliefern.
- Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können. - Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst. - Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. - Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht. - Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. - Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. - Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden. - Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. - Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht. - Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium. - DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen. - Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.