Ausgabe August 2018 | 9. August 2018 | SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen | Alle Beiträge anzeigen von
Christian Müller
| 257 Besucher

Cloud Computing – aber sicher!



Auch Mittelständler und öffentliche Einrichtungen beschäftigen sich zunehmend mit Cloud-Diensten. Damit dies in keinem Desaster endet, das morgen in der Zeitung steht, gilt es einige Punkte zu beachten. Als erstes sollte die Frage gestellt werden, welche Anwendungen prädestiniert sind, in eine Cloud ausgelagert zu werden.

Es haben sich folgende Anwendungsfälle als besonders geeignet erwiesen:

  • dynamische Webapplikationen und DevOps-Anwendungen
  • temporäre Umgebungen für Test und Entwicklung, zeitlich begrenzte Projekte oder Lastspitzen
  • Nutzung der Netzwerkressourcen großer Anbieter für ein optimales Peering oder Auslieferung von digitalen Inhalten
  • Vorhalten von Off-Site-Backups und Desaster-Recovery-Ressourcen
  • Auslagerung von Applikationen

Die Abrechnung erfolgt nach tatsächlicher Nutzung der Ressourcen. Werden Umgebungen längerfristig benötigt, können Ressourcen auch dediziert angemietet werden. Dies sorgt für niedrigere Kosten und bessere Planbarkeit, erhöht aber auch die Bindung an einen Anbieter. Klassische Systeme im 24×7-Betrieb innerhalb der Cloud rechnen sich jedoch in den wenigsten Fällen. Als Berechnungsgrundlage dienen meist verwendete Compute-Ressourcen, benötigter Speicherplatz und sowie Transfervolumen. Letzteres erschwert eine genaue Kostenkalkulation.

Cloud-IT-Services werden hierbei in folgende Kategorien unterteilt:

  • Infrastructure as a Service (IaaS)
  • Plattform as a Service (PaaS)
  • Software as a Service (SaaS)

Je nach Kategorie hat der Kunde unterschiedliche Verantwortlichkeiten zum sicheren Betrieb der Dienste. Diese sind im sogenannten „shared responsibility model“ festgehalten und sind wie folgt definiert:

Abbildung: Shared Responsibility

Generell gilt: Unternehmen sind für die Einhaltung von rechtlichen Bestimmungen und den Schutz ihrer Daten selbst verantwortlich. Aber auch das Berechtigungsmanagement und beim PaaS und IaaS das Patch- und Update-Management gehören zur Verantwortung eines jeden Kunden. Wichtig ist die Datensicherheit bereits bei der Planung zu berücksichtigen. Ist ein geeigneter Workload für einen Cloud-Dienst gefunden, so stellt sich meist die Frage nach der Authentifizierung der Benutzer. Zwar bieten die Cloud-Anbieter meist eigene Verzeichnisdienste sowie die Synchronisation mit diesen an, es empfiehlt sich jedoch die Authentifizierung gegen den eigenen Verzeichnisdienst. Hier hat sich der Active-Directory-Federation-Service als Quasi-Standard für Unternehmen etabliert. Die Authentifizierung des Benutzers erfolgt hierbei gegen den Verzeichnisdienst des Unternehmens. Lediglich die User-ID wird mit der Cloud synchronisiert. Passwort-Hashs und andere sensible Daten bleiben aber im Unternehmen.

Dieses Verfahren ist für mehrere Cloudanbieter universell einsetzbar. Zusätzlich ist diese Art der Authentifizierung mittels einer Multifaktorauthentifizierung erweiterbar. Dabei wird das Domainpasswort des Benutzers z.B. durch Wissen (z.B. Pin) und Besitz (Hardware- oder Softwaretoken) ersetzt. Damit ist die Identität des Benutzers zweifelsfrei feststellbar und eine Entwendung durch Dritte massiv erschwert. Die folgende Skizze zeigt den Einsatz am Beispiel von Office 365:

Abbildung: Authentifizierung mittels ADFS an Office 365

Abbildung: Authentifizierung mittels ADFS an Office 365

Doch welche Funktionen bieten große Cloud-Anbieter wie Amazon, Microsoft und Google an?

 

Generell können diese in folgende Kategorien eingeteilt werden:

  • Compute
  • Netzwerk
  • Storage
  • Webservices
  • Identity & Access Management
  • Backup und Desaster Recovery
  • Key Management Services

Beim Bereich Compute handelt es sich um die Bereitstellung von Rechenressourcen in Form von virtuellen oder dedizierten Servern, den Betrieb von Containern und einen Zusammenschluss mehrerer Systeme mit automatischer Skalierung der Systemanzahl.

Für den Transport der Daten werden entsprechende Netzwerke bereitgestellt. Diese ermöglichen auch zusätzliche Dienste wie DNS, Gateways, Load Balancer, MPLS-Anbindungen und Content Delivery Netzwerke. Für die Speicherung wird ein entsprechender Storage benötigt. Hier stehen unterschiedlichste Dienste für unterschiedliche Einsatzszenarien zur Verfügung. Generell kann in Volume- und Objektstorage unterschieden werden. Für diese stehen unterschiedliche Preiskategorien zur Auswahl. Compute, Storage und Netzwerk vereinigen hierbei die Funktionen klassischer Infrastrukturen.

Für die Bereitstellung von Webservices werden jedoch meist PaaS-Angebote genutzt. Dabei stellt der Cloud-Anbieter die Umgebung bis hin zum Webserver zur Verfügung und betreibt diese. Der Kunde stellt entsprechende Applikationen auf dieser Basis bereit. So sind auch komplexere Frontend- und Backendszenarien möglich, sowie die Aufteilung in mehrere Worker-Rollen. Eine Integration mit gängigen Entwicklungsumgebungen ist gegeben. Das Deployment erfolgt teilweise in sogenannte Slots, die innerhalb von Sekunden gewechselt werden können und somit ein Fail-Back-Szenario für DevOps-Umgebungen bieten.

Der Bereich Identity und Access Management vereint die Bereiche Verzeichnisdienste, Identitätsvalidierung und rollenbasierte Berechtigungsvergabe. Um keine Abhängigkeiten vom Cloud-Anbieter zu erhalten, sollte die Validierung der Identitäten mit einem externen Dienst realisiert werden, welcher den Einsatz von mehreren Cloud-Umgebungen unterstützt. So können z.B. Office 365, AWS EC2 Instanzen und Google-Apps Instanzen mit einem organisationsweiten und einheitlichen Authentifizierungsverfahren versehen und abgesichert werden.

Der Datenaustausch und die Ablage sollten immer verschlüsselt erfolgen. Für letzteres bieten Cloud-Anbieter einen sogenannten Key Management Service an. Dieser ermöglicht die Verwaltung des Schlüsselmaterials. Die Verschlüsslung ist meist out-of-the-box aktiv. Jedoch obliegt die Hoheit über das Schlüsselmanagement standardmäßig dem Anbieter. Die Absicherung erfolgt durch Hardware-Security-Module (kurz HSM), welche dem FIPS 140-2 entsprechen sollten. Für sensible Daten, z.B. solche, die gesetzlichen Regularien – wie der EU-DSGVO oder dem Bundesdatenschutz – unterliegen, ist dies jedoch ein unzureichender Schutz. Hier sollte das Schlüsselmanagement dem Kunden obliegen, dafür werden eigene HSMs benötigt. Um Daten nachweislich zu löschen, kann dann der entsprechende Krypto-Key vernichtet werden. In Abhängigkeit vom gewählten Kryptoverfahren sind die Daten vor jeglichem Zugriff geschützt und eine höhere Bindung an den Anbieter wird vermieden.

Der Bereich Backup- und Desaster-Recovery bietet die Möglichkeit, Daten außerhalb des Unternehmens zu lagern. Abhängig von der Datenmenge und der Anbindung des Unternehmens, ist ein reiches Backup jedoch meist nicht ausreichend, da die Wiederherstellung der Daten am Unternehmensstandort aufgrund des Volumens meist zeitlich nicht vertretbar ist. Somit sollte immer auch die Möglichkeit eines Desaster-Recovery in der Cloud betrachtet werden, da hier viele Stolpersteine lauern. Zum Beispiel Inkompatibilitäten der virtuellen Maschinen zur Cloud-Umgebung.

Für die Einführung von Cloud-Services empfiehlt SHD folgendes Vorgehensmodell:

Im Grobkonzept sollten ferner folgende Punkte bereits abgedeckt werden:

  • Anwendungsfälle
  • zu erwartendes Kommunikationsverhalten u. Auswirkungen auf die Organisations-IT
  • Vorschriften und Schutz der Daten
  • zu erwartende Kosten
  • Benutzerakzeptanz
  • Exit-Strategie, z.B. bei Problemen mit dem Cloud-Dienst

Insbesondere die Exit-Strategie wird von vielen Organisation gern vernachlässigt. Ändert der Cloud- Anbieter jedoch den Funktionsumfang der Plattform oder stellt dieser den Betrieb ein, ist eine Exit- Strategie essentiell. Meist werden derartige Änderungen kurzfristig bekannt gegeben und erfordern ein schnelles Handeln. Dies hat zum Beispiel der Fall von Nirvanix 2013 gezeigt hat.

Sie wünschen eine umfassende Beratung zu Ihrer Cloud-Strategie? Kontaktieren Sie uns!

 

Christian Müller
Autor:
Christian Müller | Technology Consultant
Website:
Bildquelle/Copyright: © Designed by macrovector / Freepik + 5°sued

Bitte bewerten Sie diesen Beitrag

Es wird kein Zusammenhang zwischen Ihrer Bewertung und Ihrer E-Mail-Adresse hergestellt, falls Sie unseren Newsletter erhalten haben.

Ausführliche Informationen auf unserer Website

SHD . NewsAlle Beiträge dieser Kategorie anzeigen

SHD erneut als notenbankfähiges Unternehmen zertifiziert

In diesem Jahr hat SHD erneut die Einstufung als „notenbankfähiges Unternehmen“ durch die Deutsche Bundesbank erhalten. Mit dieser Zertifizierung sichern wir unseren Kunden gerade bei der Übernahme von IT-Prozessen ein Höchstmaß an wirtschaftlicher Solidität und Finanzkraft ...

188 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Zertifizierung von Experten im Bereich IT-Security nach CISSP

Seit 2015 bzw. 2016 sind Mitarbeiter von SHD nach CISSP zertifiziert. Die Zertifizierung belegt die qualifizierte und herstellerunabhängige Beratung hinsichtlich aller IT-Sicherheitsbelange und bietet damit die Möglichkeit der Qualitätssicherung. Die Inhalte der Schulung orientieren ...

262 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

SHD als Praxispartner der Berufsakademie Leipzig

SHD verfügt über langjährige Erfahrung in der Ausbildung von BA-Studenten. Von Beginn an bildet SHD an der BA Dresden aus, seit geraumer Zeit auch an der HWR in Berlin. Mit dem Ziel, die Nachwuchsförderung zunehmend zu verstär­­ken, ist SHD seit 2018 nun auch Praxispartner an der ...

186 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

i-doit Tour 2018: IT-Sicherheit geht uns alle an!

i-doit geht auf große Tour und wir nehmen Sie mit! Besuchen Sie uns am 27.09.2018 im 25 hours Hotel Bikini Berlin und erfahren Sie, welche Tools und Lösungsansätze für den Aufbau Ihrer IT-Dokumentation sinnvoll sind und wie Sie Ihre IT-Strukturen nachhaltig schützen. Weitere ...

200 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

WEBINAR: Erfolgreich Digitalisieren

Emails, Exceltabellen und ein ERP-System als Garant für Flexibilität? Wohl kaum! Das Gegenteil dürfte der Fall sein. Damit Sie weiterhin Schritt halten können und Fehlerquellen zukünftig vermeiden, zeigen wir Ihnen in der Webinarreihe “Erfolgreich Digitalisieren – von der ...

195 Besucher