ERP-Betrieb

IT-Security als Designkriterium für Cloud-Lösungen

Lesedauer: 5 Minuten

11. April 2021 von Oliver Henrich

IT-Security als Designkriterium für Cloud-Lösungen

Cloud-Anwendungen sind aus deutschen Unternehmen mittlerweile nicht mehr wegzudenken. Laut aktuellem Cloud-Monitor von Bitkom und KPMG setzen derzeit bereits 76 Prozent aller Unternehmen in Deutschland auf Cloud-basierte Rechenleistung. Bei der Wahl des für sie passenden Anbieters ist ihnen das Thema Sicherheit besonders wichtig. Bestehen native Cloud-Anwendungen aber aus verteilten Mikroservices, sind klassische Security-Konzepte in diesem Zusammenhang nicht länger ausreichend. Einer der Gründe hierfür ist, dass im Vergleich zu vor Ort installierten Software-Lösungen klassische Firewalls keinen ausreichenden Schutz mehr bieten, da es in diesem Fall kein klar lokalisierbares Davor oder Dahinter gibt. In jeder segmentierten Cloud-Umgebung ist es daher notwendig, wirksame Security-Mechanismen bereits in jedem kleinsten Cloud-Bestandteil selbst zu verankern. Die Sicherheit eines IT-Systems lässt sich bei dieser Art von Architektur damit nicht länger im Nachhinein realisieren. Der Schutz der Software-Anwendung muss daher als integraler Bestandteil des Systemdesigns von Anfang an im Entwicklungsprozess miteingeplant werden und alle Ebenen und Bestandteile der Cloud-Anwendungsarchitektur umfassen.

Identity- und Access Management sowie stete Kontrolle als zentraler Grundpfeiler

Identity- und Access Management Identitätsnachweise sowie Mechanismen zur Identitätsüberprüfung, auch bekannt als Authentisierung und Authentifizierung, erfordern in verteilten Cloud-Szenarien einen anwendungs- und plattformübergreifenden Ansatz. Für Software-Anbieter, die auch native Cloud-Systeme im Portfolio haben und diese etwa über eine eigene Plattform zur Verfügung stellen, empfiehlt es sich, ein eigenes Identitätsmanagement zu implementieren. Wenn diese Plattform beispielsweise in der Microsoft Azure Cloud betrieben wird, werden Rollen und Zugriffsrechte aus dem Azure Active Directory importiert. Als technologische Basis für ein plattformeigenes Identitätsmanagement bietet sich Auth0 aufgrund seiner Multiproviderfähigkeit an. Theoretisch könnten sich User künftig also auch mit einer Bank-ID in Buchhaltungs- oder Warenwirtschaftsmodule einloggen. 

Neben dem Zugriffsschutz durch ein plattformweites Identity- und Access-Management zählt das Thema Transparenz zu den tragenden Säulen eines jeden ganzheitlichen Cloud-Security-Konzepts. Denn die große Stärke einer Cloud, nämlich die Verarbeitung dynamisch wechselnder Work-Loads, bringt auf der anderen Seite die Notwendigkeit mit sich, diese oftmals weiträumig verteilten Work-Loads permanent zu überwachen. Folglich müssen Monitoring-Funktionen über alle Anwendungen, Services und Architekturebenen hinweg tief in der Cloud-Infrastruktur integriert sein – was sich zum Beispiel mit den erprobten Tools aus dem Azure Security Center realisieren lässt.

End-to-End-Verschlüsselung 

Hinsichtlich der wichtigen Themen Datenschutz und Informationssicherheit ist es empfehlenswert, auf eine durchgängige End-to-End-Verschlüsselung zu setzen. Hierbei sind zwei verschiedene Szenarien für den aus- und eingehenden Datenverkehr in Cloud-Rechenzentren zu unterscheiden: Für die Clientkommunikation mit dem Server via Internet, etwa bei der Nutzung von OneDrive for Business, kommen ausschließlich SSL/TLS-Verbindungen mit 2048-Bit-Verschlüsselung zum Einsatz. Das zweite Szenario betrifft Datenbewegungen zwischen zwei oder mehreren Rechenzentren, um die Datensicherheit durch Georedundanz zu maximieren. Egal ob klassische SQL-Server-Transaktion oder BLOB-Deltas für Multi-Target-Anwendungen – Datenströme dieser Art sollten gehärtet durch eine zusätzliche Verschlüsselung und ausschließlich über ein privates Netzwerk transportiert werden. Darüber hinaus garantieren SSL-Zertifikate die Echtheit von Quelle und Ziel des verschlüsselten Datentransfers.

Mosaikartig zusammengesetzte Cloud-Anwendungen, deren Servicebausteine auf ganz verschiedenen, geografisch mitunter weiträumig verteilten Servern laufen, sind in besonderer Weise anfällig für DDoS-Angriffe: Wenn es Cyberkriminellen gelänge, nur einen dieser Server zum Beispiel per IP-Stressing in die Knie zu zwingen, können fehlende Dienste eine komplette Cloud-Anwendung lahmlegen. Genauso wie das Monitoring sollten daher auch unterschiedliche DDoS-Schutzvorkehrungen schon auf der Ebene der Serviceinfrastruktur implementiert sein. Eine Möglichkeit sind beispielsweise selbstlernende DDoS-Protection-Services für die fortlaufende Überwachung und Untersuchung des gesamten Datenverkehrs. Die zugrundeliegenden Algorithmen decken verdächtige Verkehrsmuster und andere Indikatoren auf, die auf einen möglicherweise bevorstehenden DDoS-Angriff hindeuten. 

Einsatz von Mikroservices

Im Kontext der Bereitstellung Cloud-basierter Services spielt auch die Frage nach den Architekturansätzen für den Einsatz von Mikroservices eine Rolle. Entscheidend ist in diesem Zusammenhang auch, welchen Hosting-Provider der Anbieter für seine Cloud-basierten Services gewählt hat. Im Fall der Microsoft Azure Cloud kann er beispielsweise seine Anwendungen als Docker Container innerhalb der Azure Kubernetes Service-Umgebung (AKS) laufen lassen. Diese Plattform bringt zwei bewährte Architekturansätze für den Einsatz von Mikroservices zusammen, nämlich serverlose Dienste als Function-as-a-Service sowie Container mit zugehöriger Orchestrierung. AKS ermöglicht die effiziente Verwaltung von Anwendungen auf Containerbasis inklusive aller involvierten Speicher- und Netzwerkkomponenten. Und zwar aus der Perspektive der Work-Loads – also weitgehend unabhängig von der zugrundeliegenden Infrastruktur. 

AKS-Dienste basieren generell auf unabhängigen Prozessen, die via APIs mit einem sogenannten ETCD-Cluster kommunizieren. Zur API-Authentifizierung können solche Cluster wahlweise LDAP-Server, digitale Zertifikate, statische Token oder das Auth0-Protokoll OpenID Connect (OICD) verwenden. Darüber hinaus bietet Kubernetes ein integriertes Tool zur rollenbasierten Zugriffskontrolle (RBAC) von API-Servern, womit sich individuelle Schreib- und Leserechte von Pods und darin enthaltenen Containern präzise steuern lassen. An dieser Stelle wird deutlich, inwiefern das Security-by-Design-Prinzip gleichsam als DNA in AKS verankert ist.

Designprinzip Sicherheit

Die Verlagerung von On-Premises-Work-Loads in die Cloud verlangt ein grundlegend neues Entwicklungsparadigma, das bei der Entwicklung jedes einzelnen Servicebestandteils verteilter Anwendungen IT-Security als Designprinzip zugrunde legt. Außerdem aber muss selbstverständlich auch die physische Plattform gegen Cyberangriffe abgesichert sein. Bei der Beurteilung der Frage, inwieweit dies für eine konkrete Lösung zutrifft, können sich Unternehmen an Zertifikaten wie FISMA, ISO und SOC orientieren.

tipps sage1
Oliver Henrich ist Vice President Product Engineering Central Europe bei Sage.

Sage GmbH

Franklinstraße 61-63
60486 Frankfurt am Main

zum AnbietereintragView Provider Entry









Das könnte Sie auch interessieren

Anbieterportal

Premium

Eintragung ins ERP-Anbieterportal


alle Anbieter
Sharer Icon: facebookSharer Icon: TwitterSharer Icon: LindekInSharer Icon: XingSharer Icon: EnvelopeSharer Icon: Print
Banner

Neu: ERP 3/2022

Die vorliegende Ausgabe von ERP Management befasst sich mit der ERP-Implementation.  Lesen Sie hier, welchen Nutzen erfolgreiche Strategien der digitalen Transformation bringen.

Inhaltsverzeichnis

Leseprobe

JETZT bestellen!

The World of ERP in One Event!

The ERP competition of the year 2022

  • Meet the trendsetters in ERP – the best of the best and the most innovative
  • Intelligent solutions for the future – 11 winning categories
  • An independent jury with top-class digital and industry experts
  • Registration deadline ends June, 2022

Get your ticket now!

Wir verwenden Cookies, um die Nutzererfahrung stetig zu verbessern. Mehr Erfahren.

We use cookies to constantly improve our users’ experience. Learn more.

Essentielle Cookies

Essential Cookies

Cookie Settings
Speichert Einstellungen, die hier getroffen werden. (1 Jahr)

Cookie Settings
Saves selected settings. (1 Year)

Statistik

Statistics

Google Analytics | Google LLC | Datenschutz
Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert gespeichert. (2 Jahre)

Google Analytics | Google LLC | Privacy Notice
Cookie used by Google for web site analysis. Collects statistical data on how visitors use the website. This data does not contain personal information. (2 years)