Welche Security-Aspekte sind bei einer Hybrid-Cloud besonders zu beachten?

Matt Middleton-Leal, Managing Director EMEA bei Qualys

Matt Middleton-Leal, Managing Director EMEA North bei Qualys, erläutert im Interview, was Unternehmen in puncto IT- und Cyber-Sicherheit bei einer Hybrid-Cloud-Konstellation ihres Unternehmensnetzwerks besonders beachten müssen. 

 

Netzpalaver: Gibt es deutliche Unterschiede in Bezug auf die Herangehensweise an die Sicherheit von Hybrid-Clouds?

Matt Middleton-Leal: Der größte Unterschied in Bezug auf die Sicherheit von Hybrid-Clouds besteht darin, wie viele Infrastrukturinseln Sie unterstützen müssen. Bei einer Hybrid-Cloud befindet sich ein Teil der IT im eigenen Rechenzentrum und ein Teil in der Cloud, und einige dieser Arbeitslasten werden gleichzeitig auf beide Inseln verteilt. Das bedeutet, dass Sie Informationen von all diesen verschiedenen Orten einholen und gleichzeitig in der Lage sein müssen, deren Sicherheit zu beurteilen.

Wenn Sie eine Hybrid-Cloud eingerichtet haben, werden Sie wahrscheinlich auch Anwendungen in Software-Containern ausführen und Kubernetes für die Verwaltung dieser Anwendungen verwenden. Wenn Sie Container eingerichtet haben, müssen Sie ihre Container-Sicherheitsstrategie berücksichtigen, die die Betrachtung aller Container-Images, die sich in Ihrem Repository befinden, und der ausgeführten Images umfasst. Dies ist ein anderes Modell als die herkömmliche IT- oder Cloud-Sicherheit, daher sollten Sie dies berücksichtigen.

 

Netzpalaver: Ist die Hybrid Cloud für Unternehmen eine „sicherere“ Option im Vergleich zur Public- oder Multi-Cloud?

Matt Middleton-Leal: Sie ist weder sicherer noch riskanter, solange Sie einen Überblick darüber haben, was Sie installiert haben und was ausgeführt wird. Wenn Sie mehr Plattformen einsetzen, erhöht sich die Anzahl der potenziellen Risiken in ihrer Infrastruktur, und Sie müssen Prioritäten setzen, welche Risiken am dringendsten behoben werden müssen.

 

Netzpalaver: Welche Hauptrisiken sind mit der Hybrid-Cloud verbunden?

Matt Middleton-Leal: Die größten Risiken bestehen in Bezug auf die Sichtbarkeit und Durchsetzung von Kontrollen. Wenn ich ein einzelnes System absichern, kann ich tief in die Materie eintauchen und verstehen, was erforderlich ist. Wenn ich mehrere Systeme mit unterschiedlichen Schnittstellen, Kontrollen usw. absichere, wird es sehr fragmentiert. Fragmentierung in der Sicherheit führt zu Lücken, und genau das versuchen Hacker auszunutzen.

Unternehmen müssen die Sicherheit über die gesamte Hybrid-Cloud hinweg schichten, um eine einheitliche Sicht und Durchsetzung ihrer grundlegenden Sicherheit zu ermöglichen. Wie bereits beschrieben, kann dies schwierig sein, insbesondere da Cloud-Dienste oft ohne das Wissen der Sicherheitsteams eingerichtet werden!

 

Netzpalaver: Werden Erfolge bei der Sicherheit von Hybrid-Clouds durch Qualifikationslücken eingeschränkt?

Matt Middleton-Leal: Es mangelt generell an Kenntnissen im Bereich Cloud-Sicherheit, und auch Hybrid-Cloud-Umgebungen leiden darunter. Es gibt Leitfäden für bewährte Verfahren und Benchmarks für die wichtigsten Cloud-Anbieter-Plattformen wie das Center for Internet Security Benchmarks, die es einfacher machen, die Sicherheit ihrer Cloud-Bereitstellungen zu überprüfen. Diese Regeln sind jedoch eher auf Public-Cloud-Bereitstellungen als auf Hybrid-Cloud-Bereitstellungen ausgerichtet. Sie müssen ihre Bereitstellung verstehen, wissen, welche kritischen Infrastrukturen und Anwendungen Sie haben, und dann im Voraus planen, wie Sie diese Ressourcen schützen können.

Sehen Sie sich außerdem ihre Kommunikations- und Zusammenarbeitsprozesse an, damit Sie ihre Mitarbeiter in die Lage versetzen können, auf potenzielle Probleme zu reagieren, bevor sie auftreten. Die Sicherheitsabteilung muss mit den Entwicklern zusammenarbeiten, die Anwendungen erstellen, die in der Hybrid-Cloud-Umgebung ausgeführt werden, und mit dem IT-Betriebsteam, das die Cloud-Bereitstellung verwaltet, damit Sie Ihre Arbeitsabläufe im Voraus planen können. Idealerweise sollten Sie Sicherheitstools und -aufrufe in den Arbeitsablauf ihrer Entwickler einbetten, damit Sie schneller reagieren und Risiken beseitigen können, bevor sie sich auf ihre Abläufe auswirken.

#Qualys