Immer mehr Unternehmen verfolgen im Rahmen ihrer digitalen Transformationsbemühungen einen Multicloud-Ansatz, um verteilte Teams zu unterstützen, die in Hybrid- und Remote-Modellen arbeiten. Und genauso wie hybride Arbeitsumgebungen nicht mehr wegzudenken sind, hat sich auch der Multicloud-Ansatz durchgesetzt. Gartner prognostiziert, dass der weltweite Cloud-Umsatz erreicht werden wird $ 474 Milliarden in 2022, mit 90% der Unternehmen Wir arbeiten bereits an einer Multicloud-Strategie.
Bei richtiger Anwendung kann eine Multicloud-Strategie viele Prozesse effizienter machen. Es bietet außerdem eine größere Ausfallsicherheit und mehr Anbieterflexibilität als eine Single-Cloud-Strategie. Weitere Vorteile sind:
- Vermeiden Sie die Abhängigkeit von einem einzigen Cloud-Anbieter. Ein Unternehmen mit globaler Präsenz und spezialisierten Daten kann den Standort des Rechenzentrums mit den geringsten Auswirkungen auf sein Geschäft auswählen. Beispielsweise ist Microsoft Azure derzeit im Nahen Osten führend, wenn es um den Standort von Rechenzentren geht.
- Die Möglichkeit, die besonderen Funktionen jedes Cloud-Anbieters zu nutzen, wie z. B. einzigartige Datenbanklösungen in Google Cloud oder die Möglichkeit, Ihre lokalen und Cloud-Ressourcen viel nahtloser in Microsoft Azure zu verwalten.
- Bessere Kosten und geschäftliche Ausfallsicherheit, da bestimmte Dienste durch einen bestimmten Anbieter kostengünstiger sind und Schutz vor Dienstunterbrechungen bietet. In beiden Fällen müssen Sie Ihre Dienste so gestalten, dass sie die Vorteile nutzen. Sobald Ihr Unternehmen jedoch etabliert ist, kann es seine Investition innerhalb von zwei bis drei Jahren amortisieren, was zu langfristigen Kosteneinsparungen führt.
Allerdings haben diese Vorteile ihren Preis. Es kann eine Herausforderung sein, sicherzustellen, dass die Daten- und Cloud-Infrastruktur sicher ist und Ihren Verpflichtungen und Kontrollen entspricht, wenn unterschiedliche Umgebungen von mehreren Anbietern gehostet werden. Es kann nahezu unmöglich sein, eine einheitliche Geschichte über die Daten, Konfiguration und Sicherheit in diesen Umgebungen zu erzählen.
CISOs, die a Multicloud-Datenansatz müssen sich auf zwei wesentliche Sicherheitsaspekte konzentrieren: die Bewältigung der von Anbietern und ihren unterschiedlichen Cloud-Betriebsmodellen ausgehenden Risiken und den Nachweis des Werts ihrer Sicherheitskontrollen und -strategien angesichts der gestiegenen Betriebskosten in einer Multicloud-Welt.
Risikomanagement über Clouds hinweg
Die Auswirkungen und Häufigkeit von Cyberangriffen haben parallel zur zunehmenden Fokussierung auf Multicloud-Strategien zugenommen. Ransomware-Angriffe, Datenschutzverletzungen und größere IT-Ausfälle kamen an der Spitze Allianz Risikobarometer Dies ist in diesem Jahr erst zum zweiten Mal in der Geschichte der Umfrage der Fall, wobei die Führungskräfte sie als besorgniserregender einstufen als Unterbrechungen der Lieferkette, Naturkatastrophen und die Pandemie. Unternehmen haben Recht, sich Sorgen zu machen: Organisationen auf der ganzen Welt erfahren 50 % mehr wöchentliche Cyberangriffe im Jahr 2021 im Vergleich zu 2020.
Unternehmensführer sind sich der Bedeutung von Cyberangriffen bewusst, aber die meisten sind nicht ausreichend über die von ihren Lieferantenpartnern ausgehenden Risiken informiert. In PwCs „Global Digital Trust Insights-Umfrage 2022„57 % der Unternehmensleiter gaben an, dass sie mit einem Anstieg der Angriffe auf Cloud-Dienste rechnen, aber nur 37 % gaben an, dass sie die Cloud-Risiken verstehen. Der Sicherheitsansatz und die Betriebsmodelle für die Sicherheit unterscheiden sich je nach Cloud-Anbieter, und der Schutz vor Risiken ist eine gemeinsame Verantwortung, die umso komplexer wird, je mehr gängige Cloud-Dienste hinzugefügt werden, die unterschiedliche Ansätze verwenden, wie z. B. Identitäts- und Zugriffsverwaltung (IAM) oder virtualisierte Server.
Beispielsweise haben verschiedene Cloud-Anbieter ihren eigenen Ansatz für den rollenbasierten Zugriff. Amazon Web Services verwaltet die Identität, indem es IAM-Richtlinien direkt an einen virtuellen Server anhängt, wodurch der Server die Möglichkeit erhält, Maßnahmen zu ergreifen. Im Gegensatz dazu konzentriert sich das Angebot von Google Cloud auf die Erstellung von Dienstkonten (Benutzern) und die anschließende Verknüpfung dieser Konten mit dem Server, damit dieser mit einer anderen Ressource interagieren kann. Diese kleinen Unterschiede summieren sich auf Unternehmensebene und erhöhen die Sicherheitskomplexität, um die geringsten Rechte und andere Sicherheitsanforderungen in beiden Clouds zu gewährleisten.
Da Cloud-Dienste nicht für die Integration mit ihren Mitbewerbern konzipiert sind, ist das Erlernen der Verwendung von Sicherheitstools für jeden Cloud-Anbieter nur der Anfang. IT-Teams müssen ihre Sicherheitsüberwachung mit einem SIEM-Tool (Security Information Event Management) zusammen mit anderen Tools von Drittanbietern zentralisieren, um die Interoperabilität von Cloud-Diensten zu verbessern. Diese zusätzlichen Systeme erfordern zusätzliche Schulungen und Ressourcen und möglicherweise sogar zusätzliches IT-Personal, um Fachwissen in jeder Cloud-Plattform sicherzustellen und wie diese Plattformen zusammenarbeiten.
Zusätzlich zu diesen integrierten Unterschieden zwischen ihren Diensten priorisieren die meisten Cloud-Anbieter ihre eigenen, speziell zugeschnittenen Sicherheitsangebote. Dies führt zu einer Vielzahl von Komplikationen, die die Cloud-Sicherheit beeinträchtigen. Beispielsweise kann eine Cloud-Webanwendungs-Firewall (WAF) zum Schutz Ihres Netzwerks verwendet werden, diese funktioniert jedoch nur mit einem bestimmten Cloud-Dienstanbieter und kann nicht auf mehrere Cloud-Angebote ausgeweitet werden. Die Duplizierung dieser Funktionalitäten für verschiedene Anbieter erfordert entweder die Verdoppelung von Teams zur Unterstützung und Verwaltung dieser wichtigen Sicherheitstools oder den Kauf eines Cloud-agnostischen Dienstes – wodurch ein weiterer Anbieter hinzukommt.
Dieses zusätzliche Risiko und die zusätzlichen Kosten, die in der Regel erst spät bei der Bereitstellung eines Multicloud-Modells entdeckt werden, können Zeitpläne verzögern, die Kosten erhöhen und Prüfungsergebnisse auslösen. Wenn diese Risiken nicht eingeplant und gemindert werden, kann ein Unternehmen anfällig für finanzielle Verluste, behördliche Maßnahmen, Rechtsstreitigkeiten und Reputationsschäden werden.
Wertkommunikation durch Risikoquantifizierung
Gartner schätzt, dass bis 2023 30 % der Effektivität von CISOs wird von ihrer Fähigkeit abhängen, Wert zu demonstrieren. Da Multi-Cloud-Datenstrategien zur Norm werden und die Kosten für Sicherheitskontrollen im Rahmen dieser Strategie steigen, kann die Risikoquantifizierung Führungskräften dabei helfen, ihren Wert konsistent zu kommunizieren, indem sie die Multi-Cloud-Risikolage in klaren Geldwerten ausdrücken.
Laut PwC hatten Organisationen, die die deutlichste Verbesserung der Datenvertrauensergebnisse meldeten, zwei Dinge gemeinsam: Sie prognostizierten einen Anstieg ihrer Ausgaben für Cybersicherheit und integrierten Business Intelligence und Datenanalysen in ihre Betriebsmodelle, einschließlich der Risikoquantifizierung.
Um die finanziellen Risiken einer Multicloud-Strategie einzuschätzen, müssen CISOs die Kosten jeder Plattform gegen ihre wahrgenommenen Risiken abwägen. Diese Überlegungen müssen die Datenverwaltungs- und Cybersicherheitspraktiken aller von Ihnen in Betracht gezogenen Cloud-Anbieter sowie alle Cloud-agnostischen Tools und Plattformen umfassen, die Sie für die gemeinsame Überwachung verwenden.
Da so viele Faktoren eine Rolle spielen, können Sie es sich nicht leisten, sich auf ungenaue, vom Bauchgefühl abhängige Messskalen wie „niedrig, mittel, hoch“ und „rot, gelb, grün“ zu verlassen. Das Ausdrücken von Risikodaten in finanzieller Hinsicht ist ein leistungsstarkes Instrument, da es eine gemeinsame Sprache bietet, um sich ändernde Risikoprioritäten zu kommunizieren, die Abstimmung zwischen CISOs und dem Vorstand zu verbessern und fundiertere Risikomanagemententscheidungen zu ermöglichen.
Hier ein Beispiel: Ein CISO untersucht den finanziellen Wert, der mit den verschiedenen Risiken einer Multicloud-Architektur verbunden ist. Durch den Vergleich der Taktiken zur Eindämmung eines Cybersicherheitsvorfalls stellten sie fest, dass eine bessere Kontrolle der Administratorrechte die finanziellen Kosten des Ereignisses weitaus stärker senkt als die Implementierung eines Cybersicherheitsschulungsprogramms. Während der CISO die technischen Details des Cyber-Risikos innerhalb der Multicloud-Architektur versteht, wird der Rest der Führungsebene von der Klarheit der mit jedem Risiko und der Risikominderungstaktik verbundenen Geldwerte profitieren. Indem die Risikoquantifizierung CISOs in die Lage versetzt, ihren Kollegen und dem Vorstand ihre Argumente darzulegen, sorgt sie für mehr Transparenz in den vielen beweglichen Teilen einer Multicloud-Strategie.
Laut Gartner werden bis 85 mehr als 2025 % der Unternehmen Cloud-First sein und ihre digitalen Strategien ohne den Einsatz cloudnativer Technologien nicht vollständig umsetzen können. Ein Gartner-Leiter hat es so ausgedrückt: „Es gibt keine Geschäftsstrategie ohne Cloud-Strategie.“
Es ist unerlässlich, dass Unternehmensleiter Strategien zum Schutz ihrer Daten verfolgen und ihre Multicloud-Prioritäten kommunizieren und sich im gesamten Unternehmen auf eine gemeinsame Wertesprache einigen.
