Cloud + Sicherheit = true
Von den Vorteilen des Cloud Computings haben wir mittlerweile alle zur Genüge gehört: Reduzierter Kapitalaufwand, 99.99 % Netzwerkverfügbarkeit und schnelle Internet Verbindungen.
Und obwohl das Jahr 2011 mit einer erwarteten Steigerung der Cloud-Einnahmen von 19 % schon heute als das Jahr des Cloud Computings zählt, ist es immer wieder ein Thema, welches den Einsatz von Cloud-Diensten verzögert: die Sicherheit. Diesbezüglich hat das Computing Magazine kürzlich eine Studie veröffentlicht, die von der Cloud-Industrie durchgeführt wurde. Sie belegt, dass 23 % der befragten Unternehmen keinem Cloud-Anbieter trauen würden, die Daten von Kunden zu verwalten und erstaunliche 54 % würden keine Arbeitnehmerdaten in die Cloud transferieren.
Unternehmen haben natürlich jederzeit das Recht, sich über die Speicherung ihrer Daten Gedanken zu machen und zumindest diskussionswürdig ist die Frage, ob extrem sensible Daten in eine Public Cloud gespeichert werden müssen, in der die Hoheit über die Daten teilweise abgegeben wird. Ganz anders schaut es allerdings mit einer Private Cloud aus.
Diese kann nach den exakten Vorgaben des Unternehmens konfiguriert werden und bis ins letzte Detail an die gewünschten Bedürfnisse angepasst werden. Die Infrastruktur wird nicht mit Dritten geteilt und der Cloud-Betreiber bietet eine Dienstgütervereinbarung (DGV), mit klar definierten Schadensersatzansprüchen im Falle von Leistungseinbußen an.
Private Cloud-Anbieter hosten Daten normalerweise mittels hochsicheren Tier 3 oder Tier 4 Speicher in Rechenzentren. Die Betreiber wissen jederzeit, wo sich die Daten befinden, wer sie verwaltet, wer darauf Zugriff hat und garantiert zugleich ein weitaus höheres Sicherheitslevel als üblicherweise in einer Public Cloud vorzufinden ist.
Sollten Sicherheitsbedenken eine unüberwindbare Barriere für den Einsatz von Cloud Computing darstellen? Absolut nicht! Wie viele Organisationen können selbstsicher von sich behaupten, dass ihre vor-Ort gespeicherten Daten sicherer sind, als die in einem Tier 4 Rechenzentrum eines Cloud- Anbieters, welches durch ISO 27001:2005 akkreditiert ist?
Unternehmen müssen die Cloud in ihre Überlegungen einbeziehen und vor allem darüber nachdenken, welche kostspielige, herausfordernde und zeitraubende Alternative die vor-Ort Lösung darstellt.
Kostspielige Infrastruktur
Die Entscheidung für eine in-House-Lösung geht mit hohen Kosten für IT-Infrastruktur und Servern einher. Dabei werden die Leistungsgrenzen nur in den seltensten Fällen völlig ausgeschöpft und somit wertvolle Ressourcen verschwendet. Cloud-basierte Technologie kann ad-hoc und je nach Bedürfnis bezogen werden und gestaltet sich aus finanzieller Sicht übersichtlicher, da beispielsweise monatlich die gleichen Kosten anfallen.
Rechenzentren
Hochsensible Daten, die Unternehmen nicht gerne in die Hände eines Cloud-Anbieters legen, müssten in einem eigenen, teuren Rechenzentrum gespeichert werden. Häufig sind diese Kosten aus ökonomischer Sicht nicht zu rechtfertigen. Zu einem Bruchteil der Kosten könnten Unternehmen ihre Daten an einen Privat Cloud-Anbieter auslagern und dort Zugang zu einem Tier 3 oder Tier 4 Rechenzentrum erhalten – beide wesentlich sicherer als vor-Ort Lösungen. Diese Zentren werden hervorragend gekühlt, sind feuersicher und haben Rund-um-die-Uhr Sicherheitsdienste. Sie werden geschützt von der neuesten Technologie: Von Firewalls über Anti-Spam zu Anti-Virus und real-time monitoring-Technologie. Alles Luxusgüter, die für ein einzelnes mittelständisches Unternehmen schwer zu realisieren sind.
Qualitätssicherung, Konformität und Zertifikate – mehr Ärger als Nutzen?
Um die Sicherheit von Daten zu gewährleisten, sollte die ISO 27001:2005 Sicherheitsnorm zum Standard gehören. Daneben müssen sich Unternehmen aber noch mit vielen anderen Baustellen beschäftigen:
Datenschutz, Schwachstellen-Management, physikalische und persönliche Sicherheit, Verfügbarkeit, Applikationssicherheit, Reaktionsmöglichkeiten und Privatsphäre, um nur einige zu nennen. Und was ist demgegenüber das aktuellste Bekenntnis um die Sicherheit zu erhöhen? Die Nutzung eines Cloud- Dienstes, der aufgrund seiner gemeinschaftlichen Kaufkraft in der Lage ist, eine größere Bandbreite technisch ausgereifterer Sicherheitsgeräte bereitzustellen, um weitaus mehrere potenzielle Attacken zu identifizieren, als die interne IT-Abteilung. Desweiteren muss ein Unternehmen, das beispielsweise Daten über Kreditkarten hält, PCI DSS unterstützen. Es klingt absurd, dass Firmen das Prüfungs-Prozedere auf sich nehmen, um ihre IT in-House zu verwalten. Schenken Sie einem Cloud Anbieter ihr Vertrauen, können sie von Anfang an auf bestehende Qualitätssicherung, Konformität und Zertifikate zugreifen.
Solange ein Unternehmen nicht zu den größten im Lande zählt, kann es mit den Ressourcen eines voll zertifizierten Cloud-Anbieters nicht konkurrieren. Erst Recht nicht, wenn dieser das richtige Know-how, die entsprechenden Räumlichkeiten und korrekt ausgebildete Angestellte hat. Hundertprozentige Sicherheit kann dieser zwar auch nicht garantieren, aber durch eine DGV, die im Umfeld einer 99.99 % Risiko Immunität abgeschlossen wird, die Risiken erheblich minimieren.
Wir von F5 helfen Ihnen gerne dabei, Ihre Bedenken beiseite zu legen und stattdessen Vertrauen zu schenken.