Sind private Clouds sicherer?

Von: Ludger Schmitz
Letzte Aktualisierung:
2_02326187_2326188.jpg

Aachen. Weil Anwender Public-Cloud-Angeboten oft noch misstrauen, suchen sie Sicherheit in einer Private oder Corporate Cloud oder kombinieren beide Cloud-Varianten.

Cloud Computing entsteht nicht aus dem Nichts. Es setzt immer auf bestehenden IT-Strukturen auf, die eine Cloud zum Teil ersetzt, zum größten Teil aber erweitert. Diese On-Premise-Umgebungen sind oft schon weitgehend virtualisiert, viele Anwender verfügen daher bereits über eigene Erfahrungen mit einer Basistechnik des Cloud Computing. Da liegt es nahe, sogenannte Private oder Corporate Clouds einzuführen, die dann schrittweise durch Nutzung von Services aus der Public Cloud erweitert werden. Als ein Hauptargument für dieses Hybridmodell der Cloud-Technologie wird immer wieder das Thema Sicherheit genannt. Denn in einer Provate Cloud könne der Anwender sensible Daten im Unternehmen belassen und gleichzeitig von zusätzlichen Services aus der Public Cloud profitieren.

So weit das Konzept. Bei seiner praktischen Umsetzung sind jedoch viele Detailfragen zu klären: Die Integration von interner und externer Infrastruktur sowie das zentrale Management beziehungsweise die Administration beider Seiten sind keine triviale Angelegenheit. Tatsächlich sieht sich manches Anwenderunternehmen gar nicht in der Lage, seine bestehenden Technologien auf neue Cloud-Parameter auszurichten. Die Gewährleistung des IT-Betriebs erfordert erfahrenes Personal. Und das hat seine praktischen Erfahrungen meist nur mit den klassischen IT-Komponenten.

Außerdem hemmen oft eingeschliffene Prozesse die Verbreitung von Cloud Computing. Das Modell des IT-Self-Service, bei dem sich die Fachabteilung ihre Ressourcen bei Bedarf kurzfristig selbst besorgt, klingt für viele Entscheider verlockend, doch wie wird dabei eine Anforderung autorisiert? Die alte Methode über drei Unterschriften wie bei jedem Bestellvorgang ist in der Cloud absurd. Eine mögliche Lösung sind sogenannte Quotas, Handlungsspielräume, in deren Rahmen jeder Benutzer selbst entscheiden darf, wie und wann er ihn nutzt.

„Anwenderunternehmen erleben auch auf dem Weg in die Cloud die Schwächen ihrer bisherigen IT-Strukturen und Unternehmensprozesse”, erklärt Maximilian Ahrens, Chief Product Officer beim Berliner Unternehmen Zimory, einem Anbieter von Cloud-Lösungen für Provider. „Das gilt auch für alle Sicherheitsprobleme und Gefahrenmomente. Die werden in der Cloud auf ein höheres, weniger bekanntes Niveau gehoben.”

Auf dieser Ebene entstehen eigene Probleme, die sich so in der hausinternen IT nicht stellen. So gibt es in einer Cloud-Umgebung beispielsweise höhere Anforderungen an die Anonymisierung von Testdaten. Für die Anwender gilt es zum Beispiel zu klären: Wo läuft eine Testumgebung in der Cloud? Es ist keinesfalls anzunehmen, dass sie exklusiv beim Provider läuft. Denn der hat in der Regel weitere externe Service-Rechenzentren eingeschaltet. Die Frage ist dabei nicht nur, ob sich die Daten nun beim Partner X, Y oder Z befinden und wo die Rechenzentren geografisch verortet sind. Es geht außerdem darum, wie und in welcher Form verschlüsselt sie übertragen und zurücktransportiert werden.

Hinzu kommen weitere Fragen: Wie werden Daten bei Subunternehmen verarbeitet - in physikalisch separierten Servern oder in virtuellen Maschinen? Ist deren Trennung vertrauenswürdig organisiert? Mit welchen Verschlüsselungsmethoden werden Daten an den verschiedenen Stellen zwischengespeichert? Wie erfolgt das Backup, wie werden Recovery-Medien transportiert und abgelegt? Und wie sieht es eigentlich mit der Langzeitarchivierung aus?

Schon ist aus einem Datenschutzproblem eine bedeutende Sicherheitsfrage geworden. Zimory-Manager Ahrens empfiehlt deshalb: „Anwender sollten sich erstens sehr detailliert mit ihren Use Cases befassen, also mit den Szenarien der geplanten Cloud-Anwendungen. Zweitens müssen sie in Erfahrung bringen, wie Cloud-Provider arbeiten. Daraus können Anwender ableiten, welche Anbieter überhaupt für sie in Frage kommen und für welche Applikationen Cloud-Formen nicht zu empfehlen sind.”

Viele deutsche, global agierende Großunternehmen haben ihre Private Cloud aufgebaut. Diese Firmen haben große und kompetente IT-Stäbe. Trotzdem fällt auf, dass sie ihre Private Cloud oft nicht selbst betreiben. Den Outsourcing-Auftrag dafür haben Firmen wie T-Systems, die bestimmte Sicherheitsniveaus wie die Trennung der Mandanten zwischen physikalisch separierten Servern garantieren. Im Übrigen aber gelten für Hosted Private Clouds grundsätzlich die gleichen Rahmenbedingungen wie bei Public Clouds. Sie sind lediglich, wenn gut verhandelt, in ihrer Arbeitsweise genauer bekannt.

Die komplexe Aufgabe, den Ressourcenpool aus der Cloud dynamisch in die firmeneigene IT einzubinden, liegt beim Kunden - und damit auch das Risiko. Es gibt allerdings Private-Cloud-Hoster, die sich auch damit befassen - und um mit einem wichtigen Aspekt mehr. „Es liegt doch nahe, dass solch ein Hoster sich auch gleich um alle Security-Aspekte kümmern sollte”, erklärt Pim van der Poel, als Regional Sales Manager Central Europe zugleich Leiter eines großen europäischen Sicherheitsteams bei Cisco. Die vom Hos-ter verwendeten Technologien wie HTTPS und Virtual Private Networks (VPNs) sind auch den Anwendern bekannt.

Gleichwohl bleibt die Frage, ob ein Mix aus On-Premise und Private Cloud angesichts des zusätzlichen Integrationsaufwands unter dem Strich wirklich sicherer ist als eine Public-Cloud-Lösung aus einer Hand. Sicherheit ist jedenfalls auch in Cloud-Zeiten kein allein technisches Problem. Die Cloud-Anwender müssen vielmehr vor allem lernen, dass IT-Sicherheit nicht mit Firewalls, Virenschutz, Spam-Blockade, VPNs etc. automatisch erzeugt wird. Und dass „Private Cloud” nicht mit „sicherer Wolke” gleichzusetzen ist.

© IDG / In Zusammenarbeit mit computerwoche.de
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert