Sicherheitsprobleme bei der Private Cloud vermeiden

Gegenüber einer Public Cloud hat eine Private Cloud theoretisch einige Sicherheitsvorteile. Bei der Planung darf man dennoch nicht schludern.

Viele Firmen liebäugeln mit dem Einsatz einer Private Cloud, da sie bei der Public Cloud zu viele Bedenken haben. Security-Profis sind natürlich auf der Hut, wenn es um das Thema Public Cloud geht. Auf der anderen Seite wird die Sicherheit bei der Private Cloud oftmals stiefmütterlich behandelt. Eine Private Cloud gewährt den internen Mitarbeitern mehr Kontrolle. Dieser Umstand erlaubt aber nicht, dass man die Sicherheit einfach ignorieren kann. Es gibt einige sehr reale Security-Risiken, die auf jedes Cloud-Modell zutreffen, inklusive der Private Cloud. Security-Profis sind außerdem bei den Risiken einer Private Cloud oft weniger sensibel. Somit ist die Chance höher, dass sie Bedrohungen übersehen.

Jede Installation unterscheidet sich von anderen. Deswegen kommt es zu einzigartigen Einschränkungen und Sicherheitsrisiken. Es gibt aber einige nennenswerte Security-Probleme beim Cloud Computing, die man beim Einsatz einer Private Cloud beachten sollte.

Security bei einer Private Cloud: Gemischte, regulatorische Umgebungen

Security-Profis wissen, dass sich nicht jede IT-Umgebung für jede Situation eignet. Zum Beispiel würde eine durch PCI DSS geregelte Instanz eine Umgebung für das Speichern von Kreditkarteninformationen inakzeptabel finden, die PCI nicht entspricht. Das gilt ebenso für die Public und Private Cloud.

Bloß weil eine Infrastruktur ausschließlich von Ihnen genutzt wird, bedeutet das nicht, dass dort alles mit einer gewissen Ungezwungenheit vor sich geht. Die Private Cloud garantiert wie bereits erwähnt mehr Kontrolle. Dennoch sollte das Befolgen von Auflagen einer Planung immer voraus gehen. Das gilt vor allen Dingen dann, wenn mehrere Arten an regulierten Daten im Spiel sind. Möglicherweise gibt es bei Ihnen eine Mischung aus Kreditkartendaten, sensibler Business Intelligence und Kundendaten.

Zuverlässigkeit der Security-Tools

Wenn ein Unternehmen einen physischen Host virtualisiert, also von dedizierter Hardware auf ein virtuelles Abbild migriert, muss es immer evaluieren, auf welche Tools sich das auswirkt, die sich des Netzwerks bewusst sind. Es könnte jedes Tool betroffen sein, das Einblicke in den Traffic voraussetzt. An dieser Stelle sind zum Beispiel Netzwerk-IDS, Traffic-Monitore und Sniffer gemeint.

Nehmen Sie zum Beispiel eine Webapplikation, die auf mehrere Computer verteilt ist. Web, Applikation und Datenbankserver hängen dabei an einem Switch, den ein IDS überwacht. Verschiebt man diese drei Geräte auf virtuelle Teile, die sich auf einem Hypervisor befinden, ist der Traffic an der physischen Leitung nicht mehr länger sichtbar. Somit verliert das IDS die notwendigen Einblicke. Bei öffentlichen Einsatzgebieten ist das ein bekanntes Problem. In privaten Umgebungen überprüft man an dieser Stelle oftmals nicht sehr genau. Plant das Unternehmen nicht für diesen Fall und installiert zum Beispiel einen virtuellen Tap oder konfiguriert den Hypervisor, damit dieser Traffic preisgibt, funktionieren existierende Tools womöglich nicht mehr. Das gilt im Speziellen, wenn man eine große Anzahl an Hosts gleichzeitig virtualisiert. Mehr Hosts bedeuten normalerweise, dass man weniger Planungszeit für den einzelnen aufwenden kann.

Ausweitung der Daten

Die Cloud eignet sich hervorragend, wenn man Ressourcen zentralisieren möchte. Eine komplett virtualisierte Umgebung ermöglicht es unter Umständen, dass man sehr weit verstreute Ressourcen in einer Umgebung unterbringt. Zentralisieren sich die Ressourcen, werden die Daten logischerweise dichter. Für das Management ist das ein Segen, aus Sicht der Sicherheit kann es allerdings zu einer Herausforderung werden. Das gilt vor allen Dingen, wenn bestimmte Tools datenübergreifend operieren und aggregieren.

Verschlüsselung, Antimalware-Scanning und Tools für Datenidentifikation (Data Discovery Tools) tun sich wesentlich schwerer, wenn sie mit einer großen Menge an Daten arbeiten müssen. Genau das ist bei den meisten Private und Public Clouds der Fall. Bei vorhandenen Tools sollte man deswegen prüfen, ob sie mit den erhöhten Datenmengen auch umgehen können oder wie sie davon beeinflusst werden. Kommen die alten Tools nicht mehr zurecht, muss man an dieser Stelle nachrüsten oder neu kaufen.

Verantwortlichkeiten definieren

Beim Einsatz einer Public Cloud wendet man einiges an Zeit auf und definiert, wer für was und wann verantwortlich ist. Bei einer Private Cloud könnte die Zuständigkeit für die Sicherheit von einer Gruppe zu einer anderen wandern. Das hängt davon ab, wo die Seite gehostet ist. Das gilt auch dann, wenn sie sich bei einem Service-Provider befindet. Es ist an dieser Stelle aber genauso wichtig, die Verantwortlichkeiten genau festzulegen. Das gilt vor allen Dingen dann, wenn die Security-Kontrollmechanismen nahe beim Endanwender liegen. Ein Beispiel wäre, dass die für die Applikationen oder Services verantwortlichen Geschäftsinhaber ein zwangloses Arrangement mit Gruppen haben, die für die Wartung der Infrastruktur zuständig sind. Wechselt die Zuständigkeit, sollte man auf existierende Absprachen besonderes Augenmerk legen.

Zukunftssicherheit

Viele assoziieren Private Cloud mit am eigenen Standort. Das muss aber nicht sein. Eine Private Cloud definiert sich dadurch, wer die Infrastruktur nutzt und nicht wer sie verwaltet. Viele Private Clouds nutzen mit Sicherheit eine Infrastruktur am eigenen Standort. Eine Voraussetzung ist das aber nicht. Selbst wenn eine Installation derzeit dedizierte Ressourcen nutzt, heißt das aber nicht, dass man in der Zukunft zu einem Service-Provider migriert oder auf eine gemeinsam genutzte Infrastruktur setzt. Steigen Unternehmen gerade auf eine Infrastruktur für eine Private Cloud um, sollten sie die Barriere gering halten, um von einer Private auf eine Public Cloud migrieren zu können. Das bedeutet ganz einfach: Was man heute in eine Private Cloud legt, könnte morgen schon migriert werden.

Selbstverständlich hat der Einsatz einer Private Cloud viele Vorteile im Hinblick auf die Sicherheit. Vorteile bedeutet aber nicht, dass man keine Sorgfalt mehr an den Tag legen muss. Einer Private Cloud ist ebenso viel Aufmerksamkeit zu schenken wie einer Public Cloud. Das fängt bereits bei der Planung an.

Über den Autor:
Ed Moyle ist derzeit Leiter von „Emerging Business and Technology“ bei ISACA. Er hat vorher als Senior-Security-Stratege bei Savvis Inc. und als Senior-Manager bei CTG gearbeitet. Davor war er als Vize-Präsident und Information Security Officer bei Merrill Lynch Investment Managers tätig.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im September 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close