Zum Hauptinhalt springen

Die Integration der Cloud-Technologie

Die Auswahl geeigneter Cloud Services

In der Cloud wird zwischen verschiedenen Bereitstellungsmodellen unterschieden: Public, Private und Hybride Cloud. Zudem können verschiedene Service Modelle wie Infrastructure-as-a-Service, Platform-as-a-Service oder Software-as-a-Service zu Anwendung kommen. Wir geben einen Überblick und Handlungsempfehlungen.

Bei der Public Cloud bietet ein Anbieter - auch Public Cloud Service Provider genannt - verschiedene Dienste in einer von ihm verwalteten Umgebung für eine Vielzahl von Kunden an. Public Cloud Services bieten einen einfachen Einstieg in die Cloud und eignen sich daher für eine Vielzahl von Anwendungsfällen.

Unter einer Private Cloud hingegen versteht man eine dedizierte Cloud-Umgebung, welche exklusiv für eine Organisation betrieben wird. Kostenvorteile und Skalierbarkeit sind hierbei deutlich eingeschränkt, während die Hoheit über die Steuerung der Cloud Services im Vergleich zu Public Cloud Services ungleich größer ist.

Die Hybride Cloud stellt eine „Mischform“ von Public und Private Cloud Services dar, z. B. durch Integration von Public Cloud Technologien in privat verwaltete Cloud Services. Die Hybride Cloud verbindet die Vorteile von Public Cloud Services mit denen der Private Cloud, stellt jedoch häufig auch eine komplexere Umsetzung dar.

Unabhängig der Bereitstellungsart der Cloud Services werden verschiedene Service Modelle unterschieden.

Die Cloud Service Modelle und ihre Vorteile

 

Public-, Private- und Hybrid-Clouds bieten flexible und skalierbare "as-a-Service"-Modelle, welche unterschiedliche Anwendungsfälle bedienen.

Infrastructure-as-a-Service (IaaS)

Beim IaaS-Service Modell bietet der Cloud Service Provider den Unternehmen Zugang zu seinen Infrastrukturressourcen, wie z. B. Servern, Netzwerk- oder Speicherkomponenten. Dies ermöglicht die schnelle, bedarfsgerechte und skalierbare Nutzung von extern bereitgestellten IT-Ressourcen wie Netzwerkkomponenten, Servern oder Speicher im Gegensatz zu einer eigenen Beschaffung von Hardware. Die über das Internet zur Verfügung gestellten Komponenten sind dabei häufig auch global organisiert und somit von jedem Ort und zu jeder Zeit verfügbar.

Die Vorteile für Unternehmen gegenüber On-Premises-Lösungen sind neben dem Wegfall von Investitionskosten insbesondere die erhöhte Skalierbarkeit und Flexibilität in der Nutzung von Cloud Infrastruktur. Dem gegenüber steht eine umfangreichere Verantwortlichkeit und Komplexität für die Umsetzung von Sicherheitsanforderungen, z. B.:

  • Design einer sicheren Netzwerkarchitektur mit Trennung kritischer Netzbereiche und Restriktion des Datentransfers zwischen Zonen
  • Konfiguration bzw. Anbindung von Verschlüsselungslösungen, ggf. Generierung und Management von kundenspezifischen Schlüsseln
  • Auswahl bzw. Definition von Regeln für die Protokollierung sicherheitsrelevanter Ereignisse, Analyse der Protokolldaten und Umsetzen von Folgemaßnahmen als Reaktion auf Sicherheitsvorfälle
  • Kontinuierliches Scanning auf technische Schwachstellen, Design der Verfahren für die (automatisierte) Behebung von Schwachstellen

 

Platform-as-a-Service (PaaS)

Das PaaS-Service Modell erweitert das IaaS-Modell in dem Sinne, dass der Cloud Service Provider zusätzlich zur Infrastruktur die Plattform-Komponenten bereitstellt. Das Unternehmen kann somit vordefinierte Tools für Entwicklung, Verwaltung und Testen von Applikationen nutzen, während der Cloud Service Provider u. a. die Steuerung von Patches und Sicherheits-Updates für diese Ressourcen übernimmt.

Der Vorteil für Unternehmen bei der Nutzung von PaaS-Services liegt insbesondere in verringertem Aufwand und Komplexität für die Verwaltung von Plattform-Diensten, sodass beispielsweise Entwicklungsumgebungen für globale Teams schnell und effizient bereitgestellt werden können.

 

Software-as-a-Service (SaaS)

SaaS ist ein Modell, bei dem Software-Applikationen von einem Cloud Service Provider gehostet und Unternehmen zur Verfügung gestellt werden.

Anders als bei eigens verwalteten Applikationen erfolgt üblicherweise kein Kauf, sondern eine Miete der Software für die Dauer der Nutzung. Hierdurch ergeben sich sowohl eine Umverteilung der Investitionskosten als auch veränderte Lizenzbestimmungen, die es zu beachten gilt.

Der Vorteil für Unternehmen ergibt sich vor allem durch den minimalen administrativen Aufwand für die Bereitstellung und Pflege der Software.

Dem gegenüber stehen deutlich reduzierte Gestaltungs- und Steuerungsmöglichkeiten hinsichtlich diverser (sicherheits-)technischer Fragestellungen, wie beispielsweise der Art der Verschlüsselung der Daten. Zudem verbleiben weiterhin dedizierte Verantwortlichkeiten für die Umsetzung von Sicherheitsanforderungen beim Unternehmen, z. B.:

  • Analyse des Schutzbedarfs der durch die SaaS-Anwendung verarbeiteten Daten, ggf. Durchführung einer Datenschutzfolgeabschätzung
  • Definition und Umsetzung von Berechtigungskonzepten für den Zugriff auf Applikationen und Daten
  • Überprüfung der durch den Provider bereitgestellten Funktionen zur Verschlüsselung von Daten, ggf. Design und Implementierung zusätzlicher Verfahren zur Datenverschlüsselung unabhängig vom Provider
  • Initiale Überprüfung des Sicherheitsniveaus jedes SaaS-Providers durch z. B. Zertifikate, ggf. Einholen spezifischer Nachweise zur Überprüfung der Einhaltung der definierten Schutzmaßnahmen

Die Wahl des Cloud Anbieters

 

Neben der Entscheidung für ein Cloud Bereitstellungs- und Service Modell ist die Wahl eines geeigneten Cloud Service Providers entscheidend für die angemessene Berücksichtigung von sicherheitstechnischen und regulatorischen Anforderungen. Insbesondere die Frage nach dem Sitz des Anbieters, der Lokation der Datenspeicherung und -verarbeitung sowie der verfügbaren Cloud-nativen Sicherheitsfunktionen sind im Kontext von Informationssicherheit und Datenschutz zu beachten. Daneben ist die Entscheidung hinsichtlich eines Einzel-Anbieters versus einer Multi-Cloud-Umgebung von strategischer Bedeutung. Zur Vermeidung eines Vendor Lock-in werden Unternehmensanwendungen idealerweise bereits zu Beginn so konzipiert, dass sie portierbar bzw. plattformunabhängig und somit Cloud-agnostisch betreibbar sind.

Die technologische Vielfalt der Cloud nutzen

 

Die Cloud kann durch ihre wesentlichen Charakteristika eine Reihe von Vorteilen mit sich bringen:

Broad Network Access

Für die Nutzung von Cloud Services bedarf es zunächst nur einer Internetverbindung, um Zugang zu Ressourcen plattformunabhängig zu erhalten und diese Ressourcen verwalten zu können. Die Zugangswege zu Cloud Services sind dabei meist global aufgestellt und ermöglichen Zugriff von jedem Ort und zu jeder Zeit.

Diese Vorteile stellen gleichzeitig eine Herausforderung dar: zur Erfüllung von Informationssicherheit und Datenschutz ist eine Restriktion möglicher Zugriffe auf sensible Daten unerlässlich. „Zero Trust“ Modelle können hier moderne Lösungsansätze bieten.


Rapid Elasticity

Herkömmliche Beschaffungswege für Hardware sind oft langwierig und erfordern eine vorherige Kapazitätsplanung. Die Cloud hingegen stellt benötigte Infrastruktur- und Plattformkomponenten sowie Anwendungen mit nur wenigen Mausklicks zur Verfügung und ermöglicht somit eine ungleich größere Skalierbarkeit.

Ein erheblicher Vorteil der Cloud ist hierbei die Möglichkeit der zentralen Überwachung von aktiven Ressourcen samt ihrer Sicherheitsstatus nahezu in Echtzeit.

 

Pay-per Use & On Demand Self-Service

Eine weitere Cloud-Charakteristik ist das „Pay-as-you-Go“ Modell. Dies bedeutet, dass nur die tatsächlich genutzten Ressourcen zu zahlen sind und keine Kosten für ungenutzte Ressourcen entstehen. Anpassungen der Kapazitäten können bedarfsgerecht innerhalb kürzester Zeit flexibel umgesetzt werden.

Die Nutzung von Cloud Services bedeutet jedoch nicht zwangsläufig eine Kostenreduktion gegenüber dem Betrieb von On-Premises-Lösungen. Daher sollte unbedingt im Vorfeld einer Cloud Transition eine Analyse der Kosten für die initiale Bereitstellung und den laufenden Betrieb von Cloud Services erfolgen. Zudem sollte während der Laufzeit kontinuierlich ein effektives Kostenmanagement erfolgen, um versteckte Kosten für nicht mehr benötigte Ressourcen zu reduzieren.

Wesentliche Handlungsempfehlungen

 

  • Die Auswahl geeigneter Cloud Arten und Service Modelle sollte sich an den Zielen und Anwendungsfällen orientieren, die für die Cloud Nutzung definiert wurden.
  • Ausgehend von den gewählten Cloud Arten und Service Modellen variieren auch der Umfang und die Komplexität der umzusetzenden Sicherheits- und Datenschutzmaßnahmen erheblich.
  • Potentielle Cloud Service Provider sollten im Vorfeld einer Cloud Transition hinsichtlich der Erfüllung der Sicherheits- und Datenschutzanforderungen bewertet werden. Wesentliche Rahmenbedingungen, z. B. die Lokation der Datenhaltung oder durch Regularien geforderte Zertifikate, sollten vor Vertragsabschluss geprüft werden.

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback