Die Kunst der Einfachheit ist die Komplexität des Puzzle

Über die gestiegene Akzeptanz von Cloud Services und die damit verbundenen Herausforderungen in Bezug auf das Zugriffsmanagement haben wir im letzten Blogbeitrag bereits berichtet. Im folgenden Beitrag beleuchtet Christoph Stoica weitere Stolpersteine, die bei der Integration von Cloud Diensten in die vorhandene Infrastruktur zu beachten sind, um Business Continuity, Sicherheit und Compliance in heterogenen Umgebungen zu gewährleisten.

Laut IDC werden bis 2018 mindestens die Hälfte der IT-Ausgaben in cloudbasierte Lösungen fließen. Ohne Cloud Services wird zukünftig nichts mehr gehen, denn Cloud bildet sowohl die Basis für neue digitale Produkte als auch Services.  Keine Frage, Cloud Computing ist jetzt auch bei den deutschen mittelständischen Unternehmen angekommen und die Anpassung geht mit großen Schritten voran. Fast jedes Unternehmen nutzt jetzt irgendeine Form von Cloud Services,  allerdings gibt es viele  Herausforderungen im Betrieb dieses Service-Modells.  Für die Unternehmensführung  steht bei der Entscheidung für den Einsatz von Cloud Ressourcen vorrangig  die Erfüllungen von Zielen  wie Flexibilität, Skalierbarkeit und Schnelligkeit im Vordergrund. Eine moderne IT-Infrastruktur ist heute ohne mobile Komponente und ohne Cloud Dienste nicht mehr komplett.  Darüber hinaus punkten Cloud Dienste vor allem damit, dass sie standardisierte Leistungen schneller und zu einem günstigeren Preis anbieten als die Unternehmen selbst dies mit ihrer internen IT können.

Aus Business-Sicht im Zuge von immer knapper werdenden IT Budgets scheint dies ein idealer Schachzug – weg von der Komplexität hin zur Lean-IT.  Doch so verlockend die operativen Vorteile auch sein mögen, eine 100 % Migration in die  Cloud wird es in Realität wohl eher kaum geben. Das liegt unter anderem an den immer noch großen Sicherheits- und Datenschutzbedenken gegenüber Public Cloud Diensten. Cloud-Integration ist daher ein wichtiges Stichwort.  Man kann davon ausgehen, dass in den Unternehmen ein Mix aus verschiedenen Modellen entstehen wird. Neben dem herkömmlichen, lokalen IT-Betrieb (der Legacy IT oder Static IT)  wird es parallel dazu eine dynamische IT in Form von virtualisierten Private Clouds und Public Clouds geben.

CloudPieces

Bei der Konvergenz von herkömmlicher, statischer IT und dynamischer IT geht es nicht nur darum, Best-of-Breed-Lösungen zu finden, sondern auch darum, sie zusammenzufügen. Wie tief soll man integrieren? Wie organisiert man die Datenhaltung, damit nicht an unterschiedlichen Stellen sich widersprechende Informationen gespeichert werden? Wie automatisiert  man das Zugriffsmanagement über die verschiedenen Plattformen hinweg? Neben Herausforderungen wie Integration und Management, wächst für IT-Organisationen  natürlich auch die Angriffsfläche. Der klassische Schutz der IT-Netze und Systeme an den Außengrenzen der Unternehmen erodiert zusehends. Die Integration von hybriden Cloud Architekturen  muss daher gleichzeitig mit einer Evolution der IT-Sicherheitsmaßnahmen auf allen Ebenen Hand in Hand gehen, damit die Verteidiger gegenüber den Angreifern technologisch nicht ins Hintertreffen geraten.  Die Agilität, die man durch Virtualisierung und „Cloudifizierung“ gewinnt, bringt es naturgemäß mit sich, dass ständig und vor allem schnell eine große Zahl von Zugriffsregeln in Dutzenden oder gar Hunderten von Systemen modifiziert werden muss. Um Business Continuity, Sicherheit und Compliance in derart heterogenen Umgebungen wie hybriden Clouds zu gewährleisten, ist die Auswahl der richtigen Werkzeuge essenziell. Manuelle Prozesse können einfach nicht mehr mit der Dynamik dieser hybriden Welten mithalten.

Zum Glück gibt es mittlerweile Lösungen, wie die von Micro Focus, die genau solche Orchestrierungen von Sicherheitsrichtlinien ermöglichen. Sie bieten eine holistische Sicht auf die gesamte heterogene Umgebung und erlauben ein automatisiertes Change-Management von Security Policies – vom Design über die Implementierung bis hin zur Nachverfolgung für die Auditierung.

Christoph

 

 

 

 

 

Christoph Stoica

Regional General Manager DACH

Micro Focus

Alles Wolke 7 oder doch eher Wolkenbruch? – Cloud Computing ist Realität, hybride Lösungen sind die Konsequenz

Cloud Computing rückt 2016 in Fokus vieler deutscher mittelständischer Unternehmen. Verständlich denn, getragen von der digitalen Transformation sorgt Cloud Computing für die Optimierung der Kapitalbasis, indem sich ausgewählte IT-Kosten von einem Investitions- hin zu einem Betriebskostenmodell verlagern. Doch wie sieht es mit Sicherheitsrisiken und der Durchsetzung von Compliance dabei aus? Sind die Daten in der Cloud wirklich sicher und wo liegen sie und wer kontrolliert sie? Christoph Stoica erläutert im neuen Blogbeitrag, welche Aspekte aus der IT-Security Sicht beachtet werden sollten.

Wenn man einen Blick in den aktuellen Cloud Monitor 2015 der Bitkom wirft, dann ist es keine Frage mehr : Cloud Computing ist jetzt auch bei den deutschen mittelständischen Unternehmen angekommen und die Anpassung geht mit großen Schritten voran.  Einer der maßgeblichen Treiber für die gestiegene Akzeptanz der Cloud in Deutschland ist die digitale Transformation.  Auf Basis von neuen Technologien und Applikationen werden Produkte, Services und Prozesse umgestaltet, so dass sich Unternehmen nach und nach zu einer vollständig vernetzten digitalen Organisation wandeln. Wer jetzt denkt, dies alles sei Zukunftsmusik und gehöre nicht auf die Agenda der  TOP-Prioritäten, dem sei gesagt : weit gefehlt!

Schon jetzt bewegen wir uns mit einer Höchstgeschwindigkeit in eine voll vernetzte Welt.  Immer mehr Menschen verfügen über mobile Endgeräte, hinterlassen digitale Spuren in sozialen Netzwerken, tragen Wearables  die  ihre persönlichen Daten – ob freiwillig oder nicht – senden und für Unternehmen verfügbar machen. Maschinen und Gegenstände sind über  Sensoren und SIM-Karten jederzeit digital ansprechbar, was zu veränderten und erweiterten Wertschöpfungsketten führt.  Die Vielzahl der so gesammelten Daten stellt für Unternehmen  einen  wichtigen Rohstoff dar, der, durch geschickte Analytics Tools richtig genutzt, den entscheidenden Wettbewerbsvorteil verschaffen kann. Es stellt sich also nicht die Frage, ob die digitale Transformation erfolgt, sondern vielmehr wie schnell die Unternehmensführung die entsprechende Weichenstellung in der IT-Infrastruktur vornimmt.

Die digitale Transformation erfordert skalierbare Infrastrukturen – sowohl technisch als auch hinsichtlich der internationalen Reichweite. Cloud Dienste, ob public oder private, mit ihren Merkmalen wie Agilität,  Anpassungsfähigkeit, Flexibilität und  Reaktivität sind hierfür bestens dafür geschaffen. Doch wie sieht es mit den Sicherheitsrisiken und der Durchsetzung von Compliance dabei aus? Sind die Daten in der Cloud sicher? Wo genau liegen meine Daten und wer kontrolliert sie? Auch wenn nach dem kürzlich gefallenen Safe Harbor Urteil „Big Player“ wie Amazon Web Services, Profitbricks, Salesforce und Microsoft nun ihre Rechenzentren in Deutschland oder zumindest an einen EU Standort verlagern, löst das immer noch nicht alle Sicherheitsfragen. Reicht ein Zugriffsmanagement basierend auf einer einfachen Authentifizierung mittels Benutzername und Passwort angesichts der größeren Angriffsfläche noch aus?

dataprotection

Benutzernamen und Passwörter lassen sich heutzutage leicht überlisten, das neue Zaubermittel heißt  Multi-Faktor Authentifizierung. Eine  erweiterte Authentifizierungsmethode unter Nutzung zusätzlicher Faktoren ermöglicht  eine schnelle und präzise Identifikation. Unterschiedliche Benutzer oder Situationen erfordern unterschiedliche Authentifizierungen, die verwendete Methode muss zur  Rolle als auch zum Kontext des Benutzers passen und natürlich der Risikoeinstufung der angeforderten Informationen gerecht werden. Nicht jede Interaktion birgt dasselbe Risiko für ein Unternehmen. Einige Interaktionen stellen eine größere Gefahr dar. Bei einer risikobehafteten Interaktion wird eine strengere Authentifizierung benötigt, die beispielsweise durch eine zusätzliche Information (die nur dem Benutzer bekannt ist), die zusätzliche Verifizierung der Identität über getrennte Kanäle – man spricht von Out of Band – oder andere Elemente gewährleistet wird.

Jedoch kann die Verwendung und Verwaltung solcher mehrstufiger Authentifizierungsverfahren kostspielig und unübersichtlich werden. Micro Focus bietet mit Advanced Authentication eine Lösung zur zentralen Verwaltung aller Authentifizierungsverfahren – ob für Ihre Mitarbeiter, Lieferanten oder Geräte.

Christoph

 

 

 

 

Christoph Stoica

Regional General Manager DACH

Micro Focus