Microsoft verdient gut mit der Cloud

Anzeige

Microsoft geht es den aktuellen Geschäftszahlen zufolge glänzend. Im ersten Geschäftsquartal 2021 wurden die Erwartungen der Analysten laut Handelsblatt deutlich übertroffen. Sowohl Umsatz (37,2 Milliarden US-Dollar/+12 Prozent) als auch Gewinn (13,9 Milliarden US-Dollar/+30 Prozent) stiegen von Juli bis September zweistellig. Maßgeblich für die guten Zahlen ist das Cloud-Geschäft das für rund 38 Prozent des operativen Gewinns verantwortlich ist. Wichtigster Umsatztreiber des Segments ist die Cloud-Plattform Azure mit einem Wachstum von 48 Prozent. Mathias Brandt

https://de.statista.com/infografik/8016/cloud-umsatz-und-gewinn-von-microsoft/?


Die Cloud verändert alles –Auswirkungen von »as a Service« auf die Cybersicherheit

Illustration: Absmeier, Elchinator

Auf die eine oder andere Art haben praktisch alle Unternehmen Berührungspunkte mit der Cloud, selbst wenn es vielen nicht unbedingt direkt bewusst sein mag. Je nach Art und Umfang der Cloud-Nutzung entstehen dadurch direkte Folgen für die Cybersicherheit, die Andreas Müller, Director DACH bei Vectra AI erläutert.

 

Die Migration von Unternehmen in die Cloud ist ein weit gefasster Begriff, der viele verschiedene Trends umfasst.

Zum Ersten die Verlagerung bestehender Anwendungen von privaten Rechenzentren zu einem Cloud Service Provider (CSP) wie AWS, Azure oder Google Cloud Platform, oft auch als Lift-and-Shift oder Infrastructure-as-a-Service (IaaS) bezeichnet. Möglich ist auch die völlige Umstrukturierung der Art und Weise, wie Anwendungen erstellt werden, um die auf diesen Cloud-Service-Plattformen verfügbaren vorkonfigurierten Dienste – oft als Lift-and-Shift, Serverless oder Platform-as-a-Service (PaaS) bezeichnet – stärker zu nutzen. Zum Dritten die Entscheidung, auf die Ausführung von Kopien von Standardanwendungen zu verzichten und sie stattdessen vom Anbieter der Anwendung hosten zu lassen – manchmal auch als Drop-and-Shop oder Software-as-a-Service (SaaS) bezeichnet.

Jede dieser drei Migrationen bringt nach Meinung von Andreas Müller verschiedene Sicherheitsherausforderungen mit sich:

 

  1. Infrastructure-as-a-Service

Auf den ersten Blick zieht die IaaS-Migration die geringste Veränderung nach sich. Schließlich ist es nur so, dass in der Cloud eine Anwendung auf dem Computer des Cloud-Betreibers läuft. CSPs stellen diesen Computer zur Verfügung, zusammen mit einer völlig neuen und ungewohnten Verwaltungs- und Steuerungsebene, neuen Identitäts- und Zugriffsparadigmen und neuen Formen der Speicherung.

Die erste Generation von Sicherheitsvorfällen im Zusammenhang mit der Cloud war darauf zurückzuführen, dass Unternehmen dieses neue Paradigma nicht verstanden. Sie legten vertrauliche Informationen in Cloud-Speichern ab, während der Zugang zum Internet offenblieb. Vor Ort, in On-Premises-Umgebungen war dies nicht der Fall, da Netzwerk-Firewalls und Segmentierung diese Art von Fehlkonfiguration verhinderten. Was sich änderte, war die Tatsache, dass es keine echte Möglichkeit gab, alle Ressourcen in der Cloud physisch mit einem Netzwerk zu umgeben und Firewalls an den Rand dieses Netzwerks zu stellen. Leider ist der über das Internet zugängliche Speicherplatz nur ein Symptom dafür, dass sich die IaaS-Cloud stark von der Einrichtung im eigenen Rechenzentrum unterscheidet.

Der Angriff auf AWS im August 2019, der Capital One zu seinem sichtbarsten Ziel zählte, gibt einen Einblick in die Komplexität der Management- und Kontrollebenen von AWS und die Schwierigkeit, alle Sicherheitskontrollen richtig durchzuführen. Das Vorhandensein einer einfachen Schwachstelle in einer Web-Application-Firewall (WAF), die über das Internet ausgenutzt werden konnte, führte zu einem groß angelegten Durchsickern vertraulicher Informationen über mehrere AWS-Kunden hinweg.

Der Kern des Problems ist einfach: CSPs stellen unglaublich komplexe Ökosysteme zur Verfügung, die ständig im Wandel begriffen sind, wenn neue Funktionen hinzugefügt werden. Bei der Einführung von Cloud-Diensten wird die Sicherheit von Natur aus zu einem Modell der geteilten Verantwortung. In diesem Modell obliegt es den CSP-Kunden, ihre Hälfte des Sicherheitsbetriebs, der sich perfekt an die sich ändernde Bedrohungsoberfläche der CSP-Architektur anpassen muss, beizusteuern.

 

  1. Platform-as-a-Service

Bei PaaS gibt es keine Illusionen, dass alles dasselbe ist. Viele Kunden verstehend jedoch die Auswirkungen der Einführung von PaaS auf die Sicherheit nicht richtig. Die fraglichen Dienste reichen von einfachen (Storage) bis hin zu recht komplexen (Analytik-Stacks). Und jeder dieser Dienste hat seine eigenen Sicherheitseigenheiten.

Im Falle von Amazon DynamoDB muss das Ingenieurteam verstehen, wie sich AWS-Identität und rollenbasierte Zugriffskontrolle (RBAC) mit DynamoDB überschneiden. Es gilt separate Best Practices für die Sicherheit zu befolgen – für präventive Sicherheit und andere für detektivische Sicherheit – und das nur für DynamoDB.

Zusätzlich zum komplizierten Schutz von Diensten wie DynamoDB gibt es bei PaaS-Diensten eine größere Herausforderung: Sicherheitsteams haben keine bereits existierenden Modelle, die zeigen, wie ein in eine Anwendung eingebetteter Dienst gesichert werden kann, ohne ihn mit einem sicheren Netzwerk zu umgeben. Es gibt keine Möglichkeit, dieses Modell auf PaaS-gelieferte Dienste anzuwenden. Bei der Einführung neuer Dienste werden CSPs, die diese Dienste entwickeln, anhand der Akzeptanz des Dienstes beurteilt.

Wenn CSPs Entscheidungen über die Standardsicherheit eines neuen Dienstes treffen, beseitigen sie in der Regel eher Barrieren, um den Kunden die Einführung zu erleichtern, anstatt zusätzliche Sicherheitskontrollen hinzuzufügen. Diese könnten die Akzeptanz des Dienstes seitens der Kunden bremsen.

 

  1. Software-as-a-Service

SaaS hat sich in großem Stil durchgesetzt. Unternehmen erkennen, dass sie damit buchstäblich über Nacht neue Anwendungen auf den Markt bringen können und sich nie um Software-Upgrades, Backups und andere alltägliche Supportaufgaben kümmern müssen. Die meisten SaaS-Anwendungen bieten jedoch wenig Einblick in Netzwerk- und Sicherheitskontrollen. Kunden haben eine gewisse Autorität darüber, wer auf Anwendungen, Berechtigungen, Datenzugriff und – im Idealfall – eine API zugreifen kann, die Zugriffsprotokolle zur Validierung extrahiert.

Das Sicherheitsmodell von SaaS hängt im Wesentlichen von der Identität und dem Zugriff ab. Die Konfiguration von SaaS-Anwendungen ist jedoch unglaublich komplex geworden. Der Versuch, alle Aspekte von Office 365 oder Salesforce zu verstehen und zu schützen, würde die meisten IT-Fachkräfte vor Herausforderungen stellen. Dies ist zudem nur ein Teil einer viel größeren Aufgabe für IT-Teams ist, die mit der Bereitstellung des Zugriffs und der Überwachung von Sicherheitsfragen für Anwendungen betraut sind. Da immer mehr Unternehmen mehrere SaaS-Anwendungen nutzen, wird das Ein- und Aussteigen von Mitarbeitern beim Zugriff auf SaaS-Anwendungen ziemlich umständlich. In einigen Fällen haben Mitarbeiter auch noch lange nach ihrem Ausscheiden Zugriff auf Anwendungen.

Viele Unternehmen wenden sich an Identitätsprovider und Verbundlösungen zwischen verschiedenen SaaS-Anwendungen, um diese Aufgabe zu automatisieren, wobei häufig ein Cloud-basiertes HR-System als Hauptdatenbank verwendet wird. Leider ist nur eine kompromittierte SaaS-Anwendung oder ein Konto für einen Angreifer erforderlich, um vollen Zugriff auf andere Anwendungen und Server im Verbund zu erhalten. Dies bietet Angreifern einen ausgezeichneten Ausgangspunkt für weitere laterale Bewegungen. Darüber hinaus gibt es kein sicheres Netzwerk, das als Sicherheitsnetz fungiert, wenn ein Endbenutzer erfolgreich Phishing zum Opfer fällt oder ein Fehler bei der Konfiguration eines Teils des Cloud-Modells mit geteilter Verantwortung vorliegt.

 


1057 Artikel zu „Cloud Microsoft“

Microsoft Teams professionell nutzen – Megatech setzt auf AvePoint Cloud Governance

Cloud Computing ist weiterhin auf Wachstumskurs – laut Bitkom setzen mittlerweile drei von vier Unternehmen auf Rechenleistung aus der Cloud. Die Gründe dafür sind eindeutig: Cloud-Anwendungen wie Microsoft Office 365 sind kosteneffizient, bieten eine hohe Flexibilität und Skalierbarkeit, sie erhöhen die Produktivität und stellen die Basis für zukunftsfähige Geschäftsmodelle dar. Doch mit der Nutzung der…

Microsoft rät Kunden mit Windows Server 2008 zum schnellen Umstieg auf Azure-Cloud

Support-Ende für Windows Server 2008 und Windows Server 2008 R2 am 14. Januar 2020: Ohne Migration riskieren Unternehmen Sicherheitsprobleme und Compliance-Verstöße Am 14. Januar 2020 endet der erweiterte Support für Windows Server 2008 und Windows Server 2008 R2. Doch es gibt noch immer Unternehmen, die keine konkreten Pläne für die Migration auf ein neues Betriebssystem…

Microsoft: keine Angst vor Stadia Cloud Gaming

Obwohl Mountain View von der Präsentation von Google Stadia beeindruckt war, gab es rund um den Big G Streaming Service Zweifel und Skepsis, ob er in der Lage ist, die in der Ankündigung gemachten Zusagen zu erfüllen, so dass nicht jeder bereit ist, ALLES SPITZE MERKUR zu tun oder seine Konkurrenz zu fürchten. Unter den…

Huawei und Microsoft starten All-Flash-Azure-Stack-Lösung zur Beschleunigung hybrider Cloud Services

Auf der Huawei Eco-Connect 2018 haben Huawei und Microsoft gemeinsam eine All-Flash-Azure-Stack-Lösung vorgestellt, die Unternehmen dabei unterstützt, hybride Cloud-Services zu beschleunigen, die Datenzuverlässigkeit zu verbessern und ultimatives Erlebnis zu bieten.   Neben der Azure Stack-Software von Microsoft umfasst die gemeinsame Lösung den Huawei FusionServer 2288H V5, ES3000 V5 NVMe SSD, CloudEngine 6865 Switch (CE6865, entwickelt…

Das Ende der Microsoft Cloud Deutschland – ein Abgesang und eine sichere Alternative

In puncto Sicherheit auf einen Public Cloud Provider zu vertrauen, kann problematisch sein. Das wird am Beispiel von Microsoft deutlich. Ab 2019 bietet der Softwaregigant die Microsoft Cloud Deutschland nicht mehr an. Unternehmen, die den Service bereits einsetzen, können ihn zwar auch weiterhin nutzen und erhalten die nötigen Sicherheitsupdates. Es wird künftig jedoch keine neuen…

Microsoft und SAP sorgen gemeinsam für die digitale Transformation in die Cloud

Microsoft und SAP haben integrierte Angebote vorgestellt, die Unternehmenskunden eine effizientere und sichere Migration in die Cloud ermöglichen sollen, so dass diese sich auf die digitale Transformation ihres Geschäfts fokussieren können. Als Zeichen ihrer intensiveren Zusammenarbeit gaben die beiden Unternehmen außerdem bekannt, künftig intern die Cloud-Lösungen des Partners nutzen zu wollen. Im Rahmen dieser besonderen…

Hybride Cloud: Rackspace lanciert Fanatical Support für Microsoft Azure Stack

Rackspace kündigte auf der Microsoft-Inspire-Konferenz in Washington D.C. Fanatical Support für Microsoft Azure Stack an. Damit wird die Hybrid-Cloud-Lösung für Unternehmen aller Größen zugänglich, unabhängig von deren Erfahrung oder Expertise mit Cloud-Lösungen. Als globaler Supportpartner von Microsoft Azure Stack wird Rackspace im Rahmen eines Rund-um-die-Uhr-Service an 365 Tagen im Jahr betriebliche Unterstützung und Expertise für…

Cloudspeicher: Microsoft verdient gut mit der Cloud

Microsoft geht es den aktuellen Geschäftszahlen zufolge glänzend. Für das vierte Quartal 2016 verzeichnete das Unternehmen rund 24 Milliarden US-Dollar Umsatz und 5,2 Milliarden US-Dollar Gewinn. Maßgeblich für die guten Zahlen ist das Cloud-Geschäft das für mehr als ein Drittel des operativen Gewinns verantwortlich ist. Mathias Brandt https://de.statista.com/infografik/8016/cloud-umsatz-und-gewinn-von-microsoft/

Telekom wird Daten-Treuhänder für Microsoft Cloud in Deutschland

Langjährige Partner bieten deutschen und europäischen Kunden erweitertes Cloud-Angebot für mehr Flexibilität und Wahlfreiheit. Microsoft Azure, Office 365 und Dynamics CRM Online kombiniert mit einzigartigem Datenschutz-Modell. Geschäftsbereiche intensivieren Cloud-Aktivitäten konzernübergreifend. Microsoft macht die Deutsche Telekom zum Treuhänder für ihr Cloud-Angebot in Deutschland. Microsoft wird künftig Azure, Office 365 und Dynamics CRM Online aus zwei deutschen…

Cloud Services: Microsoft und Telekom »verschwören« sich gegen die NSA

Unsicherheit ist immer schlecht fürs Geschäft. Das gilt natürlich auch für das Cloud-Business. Die gegenwärtige Rechtsunsicherheit rund um Safe Harbor ist ein Paradebeispiel dafür [1]. Da kommt die Ankündigung von Microsoft genau zur rechten Zeit. Durch zwei Telekom-Rechenzentren in Deutschland möchte auch Microsoft künftig Cloud Services für Kunden entsprechend den deutschen Bestimmungen des Datenschutzes anbieten.…

»Dynamics 365« als neues Microsoft Dynamics NAV-Mietmodell aus der Cloud

Unter der Marke »Dynamics 365« hat COSMO CONSULT [1] ein neues Angebot gestartet, das Microsoft Dynamics NAV-basierte ERP-Pakete per Mietmodell als Cloud-basierte Services »out of the box« zur Verfügung stellt. Insbesondere kleinere Unternehmen und Start-ups sind damit in der Lage, klassische ERP-Funktionalitäten ohne aufwendige Systemimplementierung zu beziehen. Dynamics 365 setzt mit Microsoft Dynamics NAV als…

Gartner platziert Jedox zum 4. Mal in Folge im Magic Quadrant for Cloud Financial Planning & Analysis Solutions

Jedox wurde zum vierten Mal in Folge im Gartner Magic Quadrant für Cloud Financial Planning and Analysis Solutions ausgezeichnet [1]. In ihrem Bericht würdigen die Analysten des unabhängigen US-Unternehmens Gartner in diesem Jahr 12 Anbieter.   Gartner definiert den Markt für Cloud-Finanzplanung und -Analyse (FP&A) als Lösungen, die die Finanzabteilung bei Budgetierung, Planung und Performance…

Datenschätze in den Wolken: Best Practices für Cloud Data Warehouses

Die Cloud bietet Unternehmen zahlreiche Vorteile und sorgt auch im Bereich Data Warehousing für hohe Skalierbarkeit und Flexibilität. Da es mittlerweile notwendig ist, Daten aus einer Vielzahl sich ständig weiterentwickelnden Datenquellen effizient zusammenzuführen und sie auf einfache Weise einem immer breiteren Kreis an Entscheidungsträgern zugänglich zu machen, haben deshalb viele Data-Warehousing-Teams begonnen, ihre Data-Warehouse-Bemühungen auf…

Schutz der Enterprise-Daten in der Cloud – neue Prioritäten durch die Pandemie

Wie haben sich die Prioritäten zum Schutz von Daten in der Cloud verlagert? IT-Verantwortliche haben weiterhin alle Hände voll zu tun, aber für 80 Prozent der Unternehmen spielte „Cloud Disaster Recovery“ eine besonders wichtige Rolle. Das ergab eine Umfrage unter mehr als 100 Unternehmenskunden des Datenmanagement-Experten Commvault. Die Pandemie legt offen, was Unternehmen gut gemacht…

Sicherheitslücken in der Public Cloud

Mehr als die Hälfte der Unternehmen in Deutschland hat in den letzten zwölf Monaten Verdachts- oder Vorfälle der Datensicherheit in der Public Cloud registriert. Laut KPMG Cloud-Monitor 2020 ist der Anteil der Unternehmen mit bestätigten Vorfällen von 2018 auf 2019 um vier Prozent gesunken, allerdings haben im gleichen Zug mehr Public Cloud-Nutzer Verdachtsfälle geäußert. 2019…

IT-Führungskräfte setzen zur Budget-Kontrolle in der Post-Corona-Ära auf Cloud-Optimierung

Eine aktuelle Umfrage von Rackspace Technology zeigt, dass drei Viertel der IT-Führungskräfte infolge der Pandemie Bedenken hinsichtlich des Budgets haben: Die meisten sehen Cloud-Optimierung als den Schlüssel zur Kostenkontrolle.   Die Corona-Krise hat IT-Abteilungen in einer bisher unbekannten Weise gefordert. Das schlägt sich auch bei den Ausgaben nieder: Mehr als drei Viertel (76 Prozent) der…

Netflix Cloud und die Abhängigkeit von Amazon

Die IT-Strategie eines Unternehmens ist für dessen Zukunft ein entscheidender Maßstab, so natürlich erst recht bei dem Konzern Netflix, ein direkter Konkurrent von Amazon. Beide wildern im gleichen Markt, dennoch ist Netflix von seine IT-Infrastruktur von Amazon maßgeblich abhängig. Das Unternehmen wurde bereits 1997 gegründet, zunächst waren die Filme auf DVD im Postversand zum Ausleihen…

IT-Entscheidungsträger greifen für Data Warehouses und Datenbanken zur Cloud

Analysedaten in die Cloud verschieben: Das sehen 43 Prozent der Umfrageteilnehmer einer globalen Studie als einflussreichsten Cloud-Trend. In Deutschland gehen 37 Prozent der Befragten mit dieser Einschätzung mit. Die MariaDB Corporation befragte in einer globalen Studie deutsche und internationale IT-Führungskräfte zu allgemeinen Cloud- und Datenbanktrends und zu den Auswirkungen von Covid-19 auf IT-Entscheidungen. In Deutschland…

Die Verlagerung großer Workloads in die Cloud

Daten sind mittlerweile nicht das Endprodukt, sondern der Ausgangspunkt für die Geschäftstätigkeit moderner Unternehmen. Aus Daten lassen sich tiefe Einblicke gewinnen, die Innovationen vorantreiben, das Kundeninteresse erhöhen und die Geschäftsergebnisse verbessern. Wie Unternehmen mit ihren Daten umgehen, kann einen tiefgreifenden Einfluss auf die Erkenntnisse haben, die sie aus den Daten ziehen, und den Geschäftserfolg, den…