„Keine Berührungspunkte zum öffentlichen Internet“

  • Beitrag vom: 14.12.2018

Hybride Lösungen verbinden die eigene Bestands-IT mit der Public Cloud. Was bedeutet dies für die IT-Sicherheit? Ein Interview mit Martin König, Senior Product Manager für Cloud & IT bei der Deutschen Telekom.

Herr König, dank hybrider Lösungen können zum Beispiel auch Mittelständler von den Vorteilen der Public Cloud profitieren, ohne ihre eigene IT aufgeben zu müssen. Führt eine solche komplexe Infrastruktur nicht zu zusätzlichen Sicherheitsproblemen?

Natürlich bringt eine hybride Lösung aus Private und Public Cloud immer ein Plus an Komplexität mit sich. Doch da eine solche Lösung fast immer als Managed Service erbracht wird, verbessert sich die IT-Sicherheit sogar in den meisten Fällen. Denn die Außengrenze der Kundensysteme wandert in diesem Fall aus dem hauseigenen Serverraum in die Private Cloud. Und diese verfügt über eine sogenannte Managed Firewall. Dadurch hat der Nutzer immer und automatisch aktuelle Technologien im Einsatz und die Firewall ist stets mit den neusten Patches oder Sicherheitsfunktionen ausgestattet. Auch sonst profitiert der Kunde von den Security-Vorkehrungen eines professionellen Rechenzentrums. Mit hauseigenen Mitteln lässt sich ein solches Sicherheitsniveau nur sehr schwer und vor allem nur mit großem Aufwand erreichen.

Und wenn ein Unternehmen ganz spezielle Sicherheitsanforderungen hat?

Managed Firewalls, wie sie auch in Cloud-Lösungen zum Einsatz kommen, sind ja keine Kisten mehr. Vielmehr handelt es sich um virtualisierte Software-Lösungen, die sich flexibel und auf Knopfdruck um individuelle Schutzmechanismen erweitern lassen. Das Schöne dabei: Dafür muss kein IT-Administrator mehr Stunden investieren, das geschieht im Handumdrehen. Die meisten Funktionen kann der Kunde sogar eigenständig in seinem individuellen Dashboard, dem sogenannten Service Center, aktivieren oder auch wieder deaktivieren. Dadurch ist es auch möglich, dass ein Unternehmen einen Service ohne Aufwand einfach mal für ein paar Tage ausprobiert und dann erst entscheidet, ob sich diese Funktion lohnt. Außerdem bieten wir auf Wunsch jederzeit passende Beratungsleistungen rund um ganzheitliche IT-Sicherheit mit an, um den individuellen Schutzbedarf optimal zu bedienen.

Ließe sich eine Hybrid Cloud nicht auch auf herkömmliche Weise an das eigene Unternehmen anschließen?

Prinzipiell ist das denkbar, sozusagen über eine Ethernet-Verbindung mit einem langem virtuellen LAN-Kabel. Doch wenn wir von modernen Cloud-Diensten wie zum Beispiel Microsoft Azure oder einfach auch nur von Office 365 sprechen, dann reden wir automatisch auch von Themen wie Routing, verteilte Strukturen oder Backbone-Technologie. All das erfordert ein hohes Maß an Technik-Know-how. Mit einer solchen Komplexität setzt sich ein mittelständisches Unternehmen normalerweise im Tagesgeschäft nicht auseinander. Dafür benötigt es die Technologie und das Know-how eines Managed-Service-Anbieters.

Der Vorteil: Der Kunde kann seine individuellen IT-Anwendungen in die Cloud von sagen wir Microsoft Azure als „Virtuelle Private Cloud“ verlagern, verfügt dort aber weiter über seine eigenen privaten IP-Adressen. Somit hat er keinerlei Berührungspunkte mit dem öffentlichen Internet. Und diese Netztrennung ist ein ganz zentraler Punkt, wenn es um IT-Sicherheit geht.

Welche Rolle spielen dabei Webzugänge und E-Mail, die einen Zugang zum Internet benötigen?

Eine Managed Firewall ist nicht nur ein Betriebsdienst. Sie lässt sich auch mit Blick auf Skalierbarkeit, Hochverfügbarkeit oder Redundanz immer neu einstellen – je nach Kundenbedarf. Auch lassen sich Bausteine für E-Mail-Security oder Web-Security aktivieren. Diese beinhalten dann zusätzliche Schutzmaßnahmen für Mitarbeiter, die im Internet surfen. Oder zusätzlichen Virenschutz für die E-Mail-Kommunikation – für den Fall, dass Kunden weiterhin eigene E-Mail-Infrastrukturen betreiben, etwa mit Exchange-Servern vor Ort.

Wie sieht es mit den Security-Gefahren von innen aus?

Managed Firewalls können natürlich auch für eine interne Netztrennung genutzt werden. Wir reden hier ja nicht mehr um eine monolithische DSL-Leitung, über die der gesamte Datenverkehr ungefiltert abläuft. Über die virtualisierte Firewall in einer Private Cloud lassen sich bestimmte Business-Dienste flexibel definieren und voneinander separieren – sei es hier der WLAN-Zugang für Besucher und dort ein Extranetz für die Fernwartung des Maschinenparks. Die Managed Firewall fungiert in diesem Fall als zentrale Kontrollinstanz, welche die verschiedenen Datenflüsse nach den Vorgaben des jeweiligen Kunden strukturiert, separiert und auch wieder zusammenführt.

Welche Security-Komponenten nutzen Unternehmen über die Firewall hinaus am häufigsten?

Ein wichtiges Thema ist der Webschutz. Das Surfen der Mitarbeiter im Internet erfordert eine eigene Betrachtung und sollte getrennt von Cloud-Diensten wie beispielsweise Office 365 stattfinden. Insofern bewegt sich der Kunde dadurch, salopp formuliert, in zwei verschiedenen Internets. Diese Unterscheidung nimmt dann wiederum die Managed Firewall vor: auf der einen Seite ein – mit Blick auf die Verschlüsselung – gehärteter Dienst wie Office 365, auf der anderen Seite das Surfen der Mitarbeiter, bei dem es zusätzliche Sperrfilter oder zum Beispiel Malware- und Virenschutz braucht.

Ein weiterer wichtiger Baustein ist die E-Mail-Security. In einer gemanagten Hybrid Cloud befinden sich auch hier die Schutzmechanismen nicht auf dem eigenen Server, sondern eingebettet in die Infrastruktur eines ganzen Rechenzentrums. Die hier betriebenen Spamfilter verfügen natürlich über eine ganz andere Leistungsfähigkeit als Inhouse-Lösungen. Da geht so schnell nichts in die Knie.

Nun ist ja auch eine Managed Firewall am Ende nur Software, die sich entsprechend manipulieren lässt …

… nur mit dem Unterschied, dass solche Managed Firewalls im Gegensatz zu den herkömmlichen lokalen Lösungen extrem gehärtet und mit robusten Betriebskonzepten hinterlegt sind. Updates wie Security-Patches und -Fixes finden bei einem Managed Service-Anbieter rund um die Uhr statt. Außerdem sorgen Redundanzen dafür, dass wenn eine Firewall ausfällt andere Ressourcen ihre Aufgaben sofort übernehmen.

Macht es mit Blick auf die IT-Sicherheit eigentlich einen Unterschied, ob eine hybride Cloud-Lösung auf die Public Cloud von Amazon, Microsoft und Google zugreift?

Aus technischer Sicht nicht. Sicherheitsaspekte sind ja weniger auf der Transportebene, also bei Leitungen und Übertragungstechniken, zu suchen. Vielmehr geht es darum die Public Cloud konfigurativ so abzuschotten, dass sie als virtuelle Private Cloud agiert. Bei der Telekom bieten wir das unter anderem für Microsoft Azure an. Auch die Open Telekom Cloud als deutsche Public Cloud bietet solche Möglichkeiten. Doch wir könnten prinzipiell natürlich auch eine vergleichbare hybride Verbindung zu einer Amazon- oder Google-Infrastruktur aufbauen, die vom öffentlichen Internet abgeschirmt ist.

Beiträge empfohlen von der Deutschen Telekom


https://www.heise.de/brandworlds/cloud-services/keine-beruehrungspunkte-zum-oeffentlichen-internet/https://www.heise.de/brandworlds/cloud-services/keine-beruehrungspunkte-zum-oeffentlichen-internet/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.