Sicherheitsexperten sollten zusammen mit den verschiedenen Geschäftsbereichen eine flexible Cloud-Governance schaffen, die eine verantwortungsbewusste Cloud-Implementierung ermöglicht.

Unternehmen können nicht darauf warten, dass Sicherheitsanbieter Rahmenbedingungen für die Cloud-Implementierung schaffen, die streng und unflexibel sind. Schließlich soll die Cloud agil und geschäftsfördernd sein. Die Umstellung auf Home Office und die Zunahme der Cloud-Workloads aufgrund von Covid-19 machen deutlich, dass technische Agilität der Schlüssel sowohl für das Erzielen von Ge- schäftserfolgen als auch für das Überdauern von Krisen ist. 59 % der Unternehmen, die jüngst an einer von Flexera durchgeführten Umfrage teilgenommen haben, planen, die Einführung der Cloud aufgrund der Pandemie zu beschleunigen [1].

Dabei müssen Unternehmen mehr denn je ihre Daten schützen, die Privatsphäre der Nutzer wahren, die Geschäftskontinuität sichern und die Technologiekosten senken. Ein risikoreiches Finanzklima erhöht den Druck, die Kosten niedrig zu halten; eine Verlagerung des Arbeitsplatzes außerhalb des eigenen Systems verändert das Cyber-Bedrohungsprofil der Unternehmen. Um die Pandemie erfolgreich zu meistern, müssen finanzielle, betriebliche und sicherheitsbezogene Risiken unter Kontrolle gebracht werden.

Was macht Cloud-Governance wichtig? Cloud-Governance ist ein multidisziplinärer Ansatz, der sicherstellt, dass Cloud-Ressourcen so konzipiert, bereitgestellt und genutzt werden, wie es den individuellen Risiken verschiedener Stakeholder entspricht. Unternehmen stehen dabei vor einer Herausforderung, da die Umsetzung in der Regel in Silos erfolgt und oft von unterschiedlichen internen Motivationen getrieben wird.

Einzelne Gruppen nutzen verschiedene Tools, Methoden und Taxonomien, um ihren jeweiligen Bedürfnissen gerecht zu werden. Das führt zu überflüssiger Mehrarbeit im Unternehmen und übermäßigem Overhead für die Nutzung der Cloud. Durch isolierte Governance werden außerdem die verschiedenen technischen und nicht-technischen Risiken des Unternehmens nur punktuell abgedeckt. Cloud-Governance ist der Schlüssel zur Ausschöpfung der Vorteile der Cloud, darunter Agilität und Elastizität, bei gleichzeitiger Minimierung geschäftlicher oder technischer Risiken. Diese sind jedoch nicht auf jeweils einen Bereich beschränkt und sollten kollektiv und ganzheitlich angegangen werden.

Cloud-Governance muss resilient und anpassungsfähig sein, um den sich schnell ändernden Geschäftsanforderungen gerecht zu werden, nicht nur im Bereich der Cybersicherheit. Diese ist jedoch oft die treibende Kraft bei der Cloud-Governance. Es ist naheliegend, dass Sicherheitsexperten die Führung übernehmen, um einen Konsens unter den Kollegen zu schaffen. Eine koordinierte Vorgehensweise schafft Effizienz und Konsistenz und verringert die unnötige Mehrarbeit, die mit einer isolierten Verwaltung verbunden ist.

Leitplanken versus Handschellen. Ein übergreifender Cloud-Governance-Ansatz reicht allein jedoch noch nicht aus, um wirtschaftliche Erfolge zu erzielen. Auch eine gemeinsame Steuerung der Cloud-Governance kann noch unflexible und präskriptive Kontrollen und Prozesse schaffen, die mit der Agilität von Clouds nicht übereinstimmen. Es ist daher genauso wichtig, auf welche Weise Teams die individuellen Cloud-Risiken ihrer Bereiche mindern.

Die Entwicklung von Lösungen parallel zum Tagesgeschäft erfordert einen flexibleren Ansatz. Es ist wichtig, auf Bedenken einzugehen, eine zusätzliche Prüfung könne Ineffizienz mit sich bringen. Strenge Kontrollen hemmen die Agilität von Teams, die zwangsläufig einen Weg finden werden, um vermeintliche Hindernisse zu umgehen. Das Einbringen lockerer »Leitplanken« in der Cloud ermöglicht es ihnen jedoch, mit mehr Freiheit, aber immer noch innerhalb der Parameter zu operieren. Solche Leitplanken können viele Formen annehmen, sind aber oft technische Anforderungen, die innerhalb einer Cloud-Plattform implementiert werden (etwa Azure Policy), und manifestieren gut ausgearbeitete Cloud-Sicherheitsrichtlinien.

Wie sieht flexible Cloud-Governance aus? Alle wichtigen Cloud-Plattformen verfügen über das Konzept des Tagging – Metadaten in Form von Schlüssel/Wert-Paaren, die mit Cloud-Ressourcen verknüpft werden können. Eine Cloud-Policy erfordert, dass die Cloud-Compute-Ressourcen Tags für die interne Kostenstelle und die Einsatzumgebung enthalten. Die Cloud-Plattform kann dann so konfiguriert werden, dass diese Tagging-Richtlinie durchgesetzt und dabei sichergestellt wird, dass stets die für die Einrichtung zuständigen Teams die erforderlichen Informationen bereitstellen. Eine relativ geringe Anforderung, die für die verschiedenen Beteiligten an der Governance von großem Nutzen ist. Beispielsweise kann die Buchhaltung die Kosten ihrer Abteilung genau zuordnen, der Betrieb kann die erforderlichen Überwachungs- und Service-Level-Agreements für eine Produktionsauslastung zuweisen und die Cybersicherheit könnte über Kontextinformationen verfügen, die bei der angemessenen Priorisierung eines Sicherheitsvorfalls oder der Schwachstellenbehebung für verschiedene Ressourcen nützlich sein können.

Eine Reise, kein Ziel. Diesen Ideen folgend sollten Unternehmen in der Lage sein, einen gemeinsamen Ansatz zu entwickeln, der ein effektives Gleichgewicht von geschäftlicher Flexibilität und Risikominimierung schafft. Man könnte weiter auch anspruchsvollere Tagging-Beispiele erstellen, Governance-as-code implementieren und technische Cloud-Kontrollen wie ein Software-Entwicklungsprojekt erstellen und verwalten. Oder daran denken, wie dieses Modell die Demokratisierung der Technologie durch Low- und No-Code-Entwicklungsplattformen effektiv steuern könnte. Der wirkliche Test für dieses Modell besteht darin, wie es sich weiterentwickeln und an Veränderungen anpassen kann.

Philippe Borloz,
Vice President EMEA Sales
bei Kudelski Security

[1] https://info.flexera.com/SLO-CM-REPORT-State-of-the-Cloud-2020

Illustration: © Jack_Aloya/shutterstock.com

477 Artikel zu „Cloud Governance“

AUSGABE 11-12-2020 | NEWS | INFRASTRUKTUR | SICHERHEIT MADE IN GERMANY | STRATEGIEN

Datensicherheit von der Edge über Core bis in die Cloud – Modernes Datenmanagement

11. Dezember 2020

Seit drei Jahrzehnten gibt Veritas den Weg vor, wie sicheres und Compliance-konformes Datenmanagement funktioniert. Das Herzstück ist dabei die Lösung NetBackup, die aktuell in Version 8.3 verfügbar ist und Unternehmen die Freiheit gibt, ihre Anwendungen und IT-Infrastruktur unabhängig von der darunterliegenden IT-Architektur noch ausfallsicherer zu betreiben.

Sicherheitsexperten sollten zusammen mit den verschiedenen Geschäftsbereichen eine flexible Cloud-Governance schaffen, die eine verantwortungsbewusste Cloud-Implementierung ermöglicht.

Philippe Borloz, Vice President EMEA Sales bei Kudelski Security

[1] https://info.flexera.com/SLO-CM-REPORT-State-of-the-Cloud-2020

477 Artikel zu „Cloud Governance“

Philippe Borloz,
Vice President EMEA Sales
bei Kudelski Security