Public Cloud und Apps
CW: Und wo ist das Problem bei der Public Cloud?
Rickmann: Bei der Public Cloud haben Sie keinerlei Sicherheit, wo Ihre Daten gehostet werden. Damit haben Sie aufgrund des Patriot Act (in den USA) und anderer gesetzlicher Vorschriften auch keine hundertprozentige Gewissheit darüber, wer außer Ihnen noch auf Ihre Daten zugreift. Allerdings werden Anbieter auch Public-Cloud-Angebote, gepaart mit Infrastructure as a Service, schnüren. Hier wird der Hosting-Ort dann zugesichert.
CW: Wo sehen Sie bei einer Cloud-Migration typische Fallstricke?
Rickmann: Entscheidend ist, dass ein Anwender überprüft, inwieweit seine Applikationslandschaft überhaupt virtualisierbar ist. Diese Hausaufgaben gilt es vorher zu machen. Dazu zählt auch die Frage: Was will ich in die Cloud bringen, und was betreibe ich weiter selbst? Oder wie sieht es mit der Interoperabilität aus? Anwender, die glauben, sie könnten einfach in die Cloud migrieren, werden in Probleme rennen. Meine Empfehlung ist, dies vorher zu prüfen, bevor über ein Cloud-Modell nachgedacht wird.
CW: Sie sprachen Applikationen an. Gibt es Anwendungen die für die Cloud besonders geeignet sind?
Rickmann: Ja, moderne Standardapplikation etwa von SAP können Sie gut in die Cloud bringen. In meinen Augen ist ein Großteil der SAP-Anwendungen für die Private Cloud bereit. Bei der Telekom betreiben wir SAP aus der Private Cloud und wickeln so 1,5 Millionen Rechnungen pro Monat ab.
CW: Und was eignet sich nicht?
Rickmann: Anwendungen, die durch die Migration höhere Kosten verursachen könnten als vorher. Beispielsweise Legacy-Systeme, die - wegen veralteter Software und proprietärer Schnittstellen - nur mit hohem Aufwand in die Cloud-Umgebung eingepasst und betrieben werden können. Auch Anwendungen in Produktionsbetrieben können hierunter fallen. Zwar kann etwa die Logistik-IT rund um die Herstellung eines Autos in der Wolke liegen, jedoch wäre es fatal, wenn an der Produktionsstraße zeitkritische Prozesse unterbrochen würden. Deshalb gilt hier das Prinzip der verteilten Intelligenz: so viel wie möglich in die Wolke - so viel wie nötig am Produktionsstandort.
CW: Wo liegen für den Anwender im LAN und WAN die Herausforderungen bei der Cloud-Migration?
Rickmann: Das ist ein Riesenthema, denn die Leitungsanforderungen werden größer. Auch die Anpassung an die Kundenbedürfnisse und damit eine Variabilisierung wird kommen, ebenso wie SLAs für die Leitung. (jh)
- Security-Tipps für die Cloud
Wer sich für Cloud Computing entscheidet, sollte den Anbieter nach den Standards ISO 27001 und 27002 fragen. Dieser und sieben weitere Ratschläge von Cyber-Ark. - 1. Management privilegierter Benutzerkonten:
Der Service-Provider muss ein Privileged-Identity-Management-System für die Verwaltung privilegierter Accounts im gesamten IT-Betrieb implementiert haben. Das soll dem Nutzer der Cloud garantieren, dass Policies, Prozesse und Practices seine Anforderungen an die Datensicherheit erfüllen. Dabei sollte der Dienstleister Standards wie ISO 27001 oder 27002 einhalten. - 2. Policy-Konformität:
Die Policies und Prozesse des Privileged Identity Management auf Providerseite müssen denen des Unternehmens entsprechen. Im Idealfall sind alle ISO-basiert. - 3. Evaluierung:
Im Auswahlprozess sollten Entscheider die Security-Struktur des Service-Providers genau überprüfen und evaluieren. Dabei ist insbesondere darauf zu achten, dass Tools für das Privileged Identity Management eingesetzt werden, die die Security-Policies und -Prozesse automatisch unterstützen. - 4. Dokumentation:
Die Richtlinien und Prozesse des Privileged Identity Management müssen Audit- und Reporting-Anforderungen erfüllen. Die verwendeten Lösungen und Technologien sollten dabei schriftlich in Verträgen und Service Level Agreements festgehalten werden. - 5. Definition von Rollen:
Policies müssen den privilegierten User-Zugang regeln und limitieren. Dabei ist eine "Separation of Duties" zwingend erforderlich. - 6. Keine versteckten Passwörter:
Es sollten keine eingebetteten Applikationspasswörter verwendet werden, die Zugang zu Backend-Systemen oder Datenbanken bieten. - 7. Überwachung:
Der Service-Provider muss die privilegierten Benutzerkonten permanent kontrollieren und überwachen. - 8. Reporting:
Zu allen privilegierten User-Accounts muss es hinsichtlich Zugriffen und Aktivitäten Protokolle und Reportings geben. Dabei sollte der Service-Provider seinem Kunden ein wöchentliches oder zumindest monatliches Reporting zur Verwendung privilegierter Accounts zur Verfügung stellen.