Um erfolgreich zu sein, benötigen viele SaaS-Lösungen Zugriff auf die Daten ihrer Kunden. Nehmen wir ein Unternehmen, das von vielen Großunternehmen für die Verarbeitung, Analyse und Vermarktung von Datensätzen genutzt wird. Zu diesem Zweck muss der Dienstleister eine Verbindung zu den Cloud-Konten seiner Kunden herstellen, um Daten zu verarbeiten und zu speichern. Dabei müssen sie Sicherheit und Skalierbarkeit im Auge behalten.
Die Übermittlung von Daten an Anbieter zur Verarbeitung ist jedoch mit verschiedenen Herausforderungen verbunden. Die explosionsartige Zunahme des Datenvolumens und der Komplexität der Daten macht diesen Ansatz unpraktisch, da oft erhebliche Kosten für die Datenverarbeitung und den Datentransfer für den Austritt aus der Cloud des Kunden, den Eintritt in die Cloud des Anbieters oder beides anfallen. Und was vielleicht am wichtigsten ist: Der Verlust der Kontrolle führt zu Bedenken hinsichtlich Datenschutz, Souveränität und Sicherheit.
Um diese Herausforderungen zu bewältigen, hat sich eine neue Architektur entwickelt, die als Bring Your Own Cloud (BYOC) bezeichnet wird. BYOC bedeutet, dass der Teil der Datenebene des Software-Stacks des SaaS-Anbieters in der Umgebung des Kunden bereitgestellt wird, um Kundendaten zu speichern, zu verarbeiten und zu analysieren. Die Steuerungsebene besteht aus allen Backend-Diensten und Rechenressourcen, die für die Konfiguration und Verwaltung von Datensätzen im Netzwerk des Anbieters erforderlich sind. Sie wird in der Cloud-Umgebung des SaaS-Anbieters ausgeführt und ist über APIs mit der BYOC-Datenebene verbunden, die im Netzwerk des Kunden läuft. BYOC-Software löst Datenschutz-, Souveränitäts- und Kostenprobleme, aber SaaS-Anbieter stehen vor vielen Hürden bei der Anbindung an Kundennetzwerke.
Die Einrichtung des Netzwerkzugriffs auf die Datenebene in der Umgebung eines Kunden kann ein komplexer und zeitaufwändiger Prozess sein. Anbieter haben oft mit VPNs, VPC-Peering, Private-Links und Firewall-Konfigurationen zu kämpfen, die umfangreiche Sicherheitsprüfungen und Genehmigungen von mehreren Beteiligten erfordern, einschließlich der NetOps- und SecOps-Teams des Kunden. Die Umgebung jedes Kunden ist einzigartig und erfordert maßgeschneiderte Netzwerkkonfigurationen, was eine schnelle Skalierung über mehrere Accounts hinweg verhindert. Dies bedeutet, dass die Endbenutzer keine schnelle Wertschöpfung erfahren, was zu einer schlechten Einführungserfahrung, allgemeiner Unzufriedenheit zu Beginn eines Engagements und sogar zur Abwanderung führt.
Darüber hinaus könnte der Gedanke, Anbietern Zugang zur Cloud zu gewähren, einige Unternehmen verunsichern. Im Jahr 2022 nahmen allein die Fälle von Cloud-Exploitation laut dem 2023-Global-Threat-Report (https://crowdstrike.com) um 95 Prozent zu, was Crowdstrike-Intelligence darauf zurückführt, dass Bedrohungsakteure gültige Cloud-Konten und öffentlich zugängliche Anwendungen nutzen, um einen ersten Zugang zu erhalten. Unternehmen können Best-Practices zur Bewältigung dieser Herausforderungen implementieren, um die Netzwerksicherheit zu gewährleisten und eine schnelle Wertschöpfung zu erzielen.
Bewährte Verfahren für den Zugriff auf Kundennetzwerke mit BYOC
Eine problemlose Konnektivität ist für die Implementierung von BYOC entscheidend. Kunden sollten keine Netzwerkkonfigurationen ändern oder eingehende Ports, Site-to-Site-VPNs, VPC-Peering oder Private-Link aktivieren müssen, um Anbietern Zugriff auf die BYOC-Datenebene in ihrem Netzwerk zu gewähren.
Obwohl es sowohl Aufgabe der Anbieter als auch der Kunden ist, für die Sicherheit ihrer Netzwerke zu sorgen, sollte der Zugang zu BYOC-Zielen durch Authentifizierungsrichtlinien klar definiert werden. Kunden sollten sicherstellen, dass jeder Anbieter, der BYOC verwendet, Richtlinien für gegenseitiges TLS (mTLS), IP-Beschränkungen, OAuth, SAML, Open ID Connect (OIDC) und JWT-Authentifizierung unterstützt. Für Anbieter ist es wichtig, dass nur autorisierter Datenverkehr aus den Umgebungen ihrer Kunden in ihr Netzwerk gelangen kann.
Die Zukunft von BYOC
Mit dem wachsenden Datenvolumen steigt auch die Notwendigkeit, sicher und kosteneffizient auf die Daten zuzugreifen, sie zu verarbeiten und zu speichern. Es gibt Dutzende von Anwendungsfällen, bei denen Anbieter sicher auf Kundendaten zugreifen müssen. Hier sind die drei wichtigsten, die BYOC als erstes nutzen werden:
- Dateneinblicke und Analysen: Unternehmen nutzen BYOC, um Datensätze in den Clouds ihrer Kunden zu verarbeiten, zu analysieren und zu vermarkten. Um die Kosten für den Datentransfer zu eliminieren und die Datenkontrolle aus Compliance-Gründen aufrechtzuerhalten, werden mehr Kunden verlangen, dass Datenanalyseunternehmen BYOC anbieten.
- Training großer Sprachmodelle und künstliche Intelligenz (KI): Die nächste Generation von KI-Unternehmen trainiert ihre Modelle auf beim Kunden vorhandenen Datensätzen. Die Übertragung von Trainingsdaten aus Kundennetzwerken heraus ist ein Tabu, da dies die Datensicherheit und -hoheit gefährdet, teuer und langsam ist. Mit BYOC können Unternehmen KI-Software in Kundennetzwerken ausführen, in denen die Daten vorhanden sind, um Modelle auf geschützten Informationen zu trainieren, ohne dass diese jemals ihre Cloud verlassen.
- SaaS-basiertes Schwachstellenmanagement: Um Schwachstellenmanagement in Echtzeit anbieten zu können, müssen SaaS-Anbieter eine Verbindung zu den Kundennetzwerken herstellen, um Assets zu scannen, zu erkennen und kontinuierlich zu überwachen. Außerdem sollten sie robuste Sicherheitsmaßnahmen implementieren, um sensible Daten zu schützen und die Unternehmensrichtlinien und -vorschriften einzuhalten, wie es BYOC vorsieht.
In dem Maße, wie der Bedarf an Datenschutz, Souveränität, Kontrolle und Kosten wächst, werden weitere Anwendungsfälle hinzukommen. Dabei werden die Kunden taktischer vorgehen, wenn es darum geht, welche Daten ihre Umgebungen verlassen und wer Zugriff darauf erhält. BYOC-Lösungen mit umfassenden Sicherheits- und Authentifizierungsrichtlinien sind die beste Möglichkeit für Anbieter, sicheren Zugang zu Netzwerken zu erhalten, die sie nicht kontrollieren, und gleichzeitig sich selbst und ihre Kunden zu schützen.
Von Mathias Hein, Consultant, Buchautor, Redakteur
powered by Borlabs Cookie 