Warum ein Governance-by-Design-Ansatz laut Red Hat für den Wechsel in die Cloud unerlässlich ist
Welche Sicherheitsrisiken ergeben sich mit einem Wechsel in die Cloud? Was sind die grössten Herausforderungen beim Aufbau einer sicheren Cloud-Umgebung? Und was bedeutet eine Cloud-Migration aus datenschutzrechtlicher Sicht? Antworten auf diese und weitere Fragen hat Thomas Bryner, Associate Manager Solution Architecture, Red Hat Schweiz.
Welche Vorbereitungen müssen Unternehmen treffen, bevor sie in die Cloud gehen?
Thomas Bryner: Der Schritt in die Cloud ist grundsätzlich gleich zu behandeln wie der Aufbau eines eigenen Rechenzentrums. Es braucht Gedanken zu Planung, Governance, Security, Services und Prozessen. Hinzu kommen Architektur- und Betriebsüberlegungen. Wichtig ist ausserdem eine klare (betriebswirtschaftliche) Zielsetzung auf Unternehmensebene. Oder noch besser: eine Unternehmensstrategie, welche die Cloud als festen Kern der Wertschöpfungskette versteht.
Welche Sicherheitsrisiken ergeben sich mit einem Wechsel in die Cloud?
Da Unternehmen die Bereitstellung respektive den Betrieb einiger Schichten des IT-Stacks dauerhaft und kaum im Detail beeinflussbar fremd beziehen, müssen vor allem die Übergänge auf Kundenseite sauber geklärt sein. Und grundsätzlich gilt auch in Sachen Cloud: Wer zuletzt patcht, hat die schlechtesten Karten.
Was sind die grössten Herausforderungen beim Aufbau einer sicheren Cloud-Umgebung?
Wenn etwas schnell gehen soll oder mangelnde Automatisierung vorherrscht, dann ist der Human Error meist nicht fern. Der schieren Menge an Patches, CVEs und anderen Anforderungen kann nur mit Automation zielführend begegnet werden. Bei DevOps-Projekten ist dagegen ein konsequenter DevSecOps-Ansatz Pflicht.
Welche sicherheitstechnischen Vorteile bietet eine Cloud-Infrastruktur im Vergleich zu einer On-Prem-Lösung?
Die Vorteile reichen vom physischen Zugang bis hin zu den einzelnen Cages. Denn die Ressourcen, die Cloud-Anbieter sowie Datacenter-Betreiber in die Sicherung und den Betrieb ihrer Anlagen investieren, sind um ein Vielfaches höher als das, was sich Unternehmen für ein traditionelles On-Prem-Rechenzentrum leisten können. Schliesslich sind Infrastruktur- und Platform-as-a-Service ihr Kerngeschäft.
Inwiefern entsteht durch die Nutzung von Multi-Cloud ein Security-Mehraufwand?
Entscheidend ist hier, wie eine Multi-Cloud oder eine hybride Multi-Cloud ausgestaltet sind. Stehen alle Deployment-Modelle für sich, ist der Aufwand grösser, als wenn sie mittels einer geeigneten Plattform abstrahiert sowie standardisiert sind und sowohl Entwicklung als auch Bereitstellung von den unterliegenden Schichten entkoppelt werden.
Was bedeutet ein Wechsel in die Cloud aus datenschutzrechtlicher Sicht?
Damit Flexibilität und Agilität im Sinne der Unternehmensziele erhalten bleiben, ist ein "Governance-by-Design"-Ansatz nötig, der von Anfang an konsequent mitgedacht und mit den notwendigen Prozessen und Policies untermauert wird. Dabei gilt es, die funktionale Ausgestaltung der gewählten Umgebung einzubeziehen und das jeweilige Entwicklungs- und Bereitstellungsmodell zu unterstützen.
Die Antworten der weiteren Teilnehmenden des Podiums finden Sie hier.