Multi-Cloud, aber sicher!

Multi-Cloud-Umgebungen sind in vielen Unternehmen Alltag, denn sie entstehen fast zwangsläufig aus den Anforderungen an die IT-Infrastruktur. So stellen Unternehmen bei der Auswahl von Clouddiensten häufig die Funktionalität in den Vordergrund. Durch Produktvergleiche oder Testprojekte identifizieren sie den optimalen Anbieter für eine bestimmte Aufgabe. Häufige Folge: Für IoT-Projekte wählen sie diesen, für den Betrieb einer Entwicklungsumgebung jenen und für die Produktivsysteme einen dritten Anbieter.

Auf diese Weise entsteht eine echte Multi-Cloud. Dieses Konzept des IT-Betriebs umfasst die Cloudvarianten Platform- oder Infrastructure as a Service (PaaS, IaaS). Dabei wird unabhängig von den genutzten Anwendungen die Infrastruktur eines Unternehmens von einem (Colocation)-Rechenzentrum abgezogen und in die Cloud verlagert. Sollten Teile der Infrastruktur on premises verbleiben, handelt es sich zusätzlich um ein Hybrid-Cloud-Szenario. Der Einsatz mehrerer Anbieter für Software as a Service (SaaS) dagegen erzeugt keine Multi-Cloud, da hierbei Anwendungen nur punktuell in die Cloud verschoben werden.

Mit der Multi-Cloud lassen sich Kosten senken, das Ausfallrisiko der IT verringern und Skalierbarkeit sicherstellen. Zudem sind die Unternehmen nicht mehr von einem einzelnen Anbieter abhängig. Auch in Sachen Datenschutz gibt es Vorteile: So können sie kritische Daten entsprechend dem EU-Datenschutz innerhalb nationaler Grenzen speichern und verarbeiten.

Diesen Vorteilen stehen Herausforderungen gegenüber. So wächst durch die Multi-Cloud die Angriffsfläche für unterschiedliche Cyber-Bedrohungen. Hinzu kommt die gestiegene Komplexität. Ein einzelner Cloudservice macht das Infrastrukturmanagement einfacher, doch jeder zusätzliche steigert den Aufwand – unter anderem durch unterschiedliche Begrifflichkeiten, Tools und Schnittstellen für eine sichere Konfiguration.

Die Provider bieten Tools und Verfahren für Security, aber die Nutzer müssen sie auch einsetzen. Denn die Absicherung der Daten ist nicht mehr Aufgabe der Provider. Beim Einsatz von Cloudservices gilt das Prinzip der geteilten Verantwortung. Der Infrastrukturanbieter ist lediglich für den Betrieb der IT verantwortlich und für ihre Verfügbarkeit und Zuverlässigkeit. Der Nutzer dieses Service dagegen ist für die Sicherheit seiner Daten verantwortlich.

Hier liegt die eigentliche Schwachstelle von Multi-Cloud-Szenarien verborgen, es fehlt in vielen Unternehmen an Know-how. Es ist für IT-Teams mit ihren begrenzten Personalressourcen nicht einfach, mit der Weiterentwicklung der Cloudservices nur eines Providers Schritt zu halten. Ab dem zweiten steigt das Risiko, dass die Dienste nicht optimal auf Security und Availability getrimmt werden.

Unternehmen benötigen für ihre Multi-Cloud-Szenarien eine klare Strategie zur Auswahl eines Anbieters, der ihre Ziele und Projekte unterstützt sowie das richtige Maß an Security bietet. Denn die Unterschiede bei den Hyperscalern finden sich im Detail. Nicht jede Plattform eignet sich für jede Aufgabe in gleicher Weise. Die Stärke der Cloud ist die schnelle Verfügbarkeit von neuen Technologien, die im eigenen Rechenzentrum nur mit übergroßem Aufwand genutzt werden können.

Die Provider bieten moderne Technologien als einfach zu nutzende Plattform samt benötigter Ressourcen an, beispielsweise für die Vernetzung von Maschinen über das Internet der Dinge (IoT), Business Analytics, Künstliche Intelligenz oder Machine Learning. Vor allem die großen Netzwerke der Hyperscaler sind hier sehr attraktiv, da durch die Einteilung in zahlreiche Regionen und Zonen niedrige Latenzen entstehen, die beispielsweise für IoT wichtig sind.

Die Unternehmen nutzen die Plattformen und Services der jeweiligen Anbieter, um Wartung und Bereitstellung ihrer IT auszulagern. Je mehr Provider ins Spiel kommen, desto größer wird der Zielkonflikt zwischen der Einfachheit des IT-Managements und dem Vermeiden eines Vendor Lock-ins für kritische Anwendungen.

Unabhängigkeit – ein Aspekt, auf den Unternehmen bei der Definition ihrer Multi-Cloud-Strategie achten sollten. Dabei kann der Verzicht auf proprietäre Services der jeweiligen Anbieter helfen, was wiederum den Umzug von einem Provider zu einem anderen erleichtert.

Hier kommen in der IT-Architektur Technologien wie Container in Frage. IT-Umgebungen mit Docker, die mit Kubernetes orchestriert werden, lassen sich vergleichsweise leicht zwischen einzelnen Providern umziehen. Diese Technologien sind stark standardisiert, sodass eine entsprechende Umgebung mit den jeweiligen Container-Instanzen bei einem anderen Dienst schnell wieder aufgebaut ist. Auch hier ist wieder der Verzicht auf proprietäre Werkzeuge der entscheidende Punkt.

Ein wichtiger Aspekt beim Management einer Container-Infrastruktur ist die Automatisierung. Auch hierfür sollten Unternehmen besser auf Open-Source-Lösungen und das Konzept „Everything as Code“ (EaC) setzen. Dabei werden alle Workflows für das Bereitstellen, Konfigurieren und Betreiben der Infrastruktur von den Technologien entkoppelt und in einer Skriptsprache als Code geschrieben.

Eine weitere Möglichkeit, strategisch die Unabhängigkeit in den Vordergrund zu stellen, ist ein Cloud Broker als Abstraktionsschicht zwischen Nutzer und Cloud. Vorteile sind Interoperabilität und Portabilität, doch es gibt auch Nachtteile: Diese bieten zumeist nur einen Ausschnitt der Möglichkeiten der Cloudprovider in ihrem Angebot und neue Technologien sind erst mit einiger Verzögerung verfügbar.

Eine weitere wichtige Komponente moderner Cloudservices sind die Identitäten, die sich nicht nur auf einige Benutzerkonten beschränken. So agieren Software-Komponenten, aber auch Edge-Gateways und Industrieanlagen als virtuelle Nutzer innerhalb der IT-Infrastruktur. Wichtiger Bestandteil der IT-Infrastruktur ist deshalb ein übergreifendes Identity und Access-Management. Es sorgt dafür, dass es unternehmensweit einheitliche Zugriffsrechte auf alle IT-Ressourcen gibt, inklusive der Multi-Cloud.

Dazu gehört ein Single-Sign-On, sodass sich menschliche Nutzer*innen nur einmal authentifizieren müssen – auch beim Zugriff auf unterschiedliche Cloudplattformen, was sie im Idealfall in der Nutzung überhaupt nicht bemerken. Allerdings: Die Koordination zwischen der dafür benötigten Public-Key-Infrastruktur (PKI) mit der zugehörigen Schlüsselverwaltung und dem Identity und Access-Management zusätzliche Komplexität. Vor allem kleinere Unternehmen erreichen hier schnell wieder die Know-how-Grenze.

Als Fazit lässt sich festhalten: Eine sichere Multi-Cloud ist machbar. Doch jeder Provider kocht gerne sein eigenes Security-Süppchen. Deshalb müssen die Unternehmen die Absicherung ihrer Daten und Anwendungen selbst in die Hand nehmen, entweder mit den eigenen IT-Teams oder einem Managed-Service-Anbieter.