Zehn goldene Regeln für Cloud Security Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


10.03.2010 Edmund E. Lindau

Zehn goldene Regeln für Cloud Security

Cloud Services sind heute in aller Munde, doch wie steht es um die Sicherheit dieser Dienste? Technische Maßnahmen zur Absicherung sind wichtig und bereits heute überwiegend einsetzbar.

Die Diskussion rund um die Sicherheit in verteilten Hard- und Softwareumgebungen wird heute oftmals auf technologischer Ebene geführt, doch der wahre Schlüssel zum Erfolg liegt in den Aktivitäten rund um Risikoanalysen, Service Level Agreements und Provider Management. Dann lässt sich auch durch extern bezogene Cloud Services mit vertretbarem Aufwand durchaus ein höheres Sicherheitsniveau als bei der Inhouse-Variante erzielen.

»Die Situation erscheint paradox: grundsätzlich ermöglichen es externe Cloud Services der Mehrzahl der Kunden, die Sicherheit bestimmter Anwendungen und Dienste auf ein höheres Niveau als bislang zu heben« sagt Wolfram Funk, Senior Advisor bei der Experton Group. »Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben.« Bedenken bezüglich der Sicherheit ist auch einer der Faktoren, der laut der Markforschungsgesellschaft Gartner die Verbreitung von Public-Cloud-Angeboten hemmt. Firmen setzen demnach derzeit stärker auf Private Clouds, die sie besser kontrollieren können.

Solide technische Maßnahmen zur Absicherung von Cloud Services sind einsetzbar. Noch wichtiger jedoch ist die Ausgestaltung der Beziehung zum Cloud-Dienstleister und den damit verknüpften Aktivitäten, die den Rahmen für die technologische Ausgestaltung prägen. »Risikoanalysen, Service Level Agreements und Provider-Management sind mit Blick auf Cloud Security der Schlüssel zum Erfolg«, stellt Wolfram Funk fest. Wie aufwändig die Prozesse rund um Cloud Security werden, hängt vom spezifischen Dienst ab. Tendenziell erlaubt es das SaaS-Modell (Software as a Service) am ehesten, mit überschaubarem Aufwand ein hohes Sicherheitsniveau zu erreichen.

Bei SaaS ist die Schnittstelle zwischen Provider und Kunde in der Regel sehr gut beschrieben, da der Zugriff über einen Webbrowser erfolgt und für die Verschlüsselung der Übertragungsstrecke SSL/TLS als Standard gesetzt ist. Der Anbieter kümmert sich komplett um die Sicherheitsmaßnahmen in seiner Cloud-Infrastruktur. Allerdings sollten im Vorfeld unbedingt Fragen rund um Compliance, Reporting und Auditierung aus der SaaS-Anwendung heraus sowie Backup und E-Discovery geklärt werden. Außerdem müssen die Anforderungen an das Identitäts- und Zugriffsmanagement beim Kunden eingehend geprüft werden.

Schwieriger wird es bei PaaS (Platform as a Service) oder gar IaaS (Infrastructure as a Service). Dort werden höhere Anforderungen an die detaillierte Festlegung der Arbeitsteilung zwischen Kunde und Anbieter gestellt, was das Thema Informationssicherheit angeht. Unternehmen, die wenig Erfahrung mit Outsourcing allgemein und speziell auch mit Blick auf den zur Debatte stehenden Service haben, sollten einen kompetenten Sourcing- und Sicherheitsberater hinzuziehen. »Die Anbieter von Cloud Services müssen heute die Standards für Cloud Security aktiv mitgestalten und dafür sorgen, dass anbieterübergreifend ein hohes Sicherheitsniveau erreicht wird«, fordert Funk. Sie sollten großes Augenmerk auf vertrauensbildende Maßnahmen bei den künftigen Kunden legen und vor allem mehr Transparenz in den Cloud-Service-Angeboten schaffen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr

Hosted by:    Security Monitoring by: