Sichere Konfiguration von IT-Infrastrukturen aus mehreren Clouds Sichere Konfiguration von IT-Infrastrukturen aus mehreren Clouds
Unternehmen verschiedenster Industriezweige stehen unter einem hohen Digitalisierungsdruck. Neben Kompetenzen in der Software-Entwicklung ist vor allem die Nutzung von Cloud-Technologien eine Basis für die Entwicklung innovativer digitaler Geschäftsmodelle. Fehlkonfigurationen von Cloud-Plattformen führen jedoch immer wieder zu schwerwiegenden Sicherheitsvorfällen. Ursachen dafür sind meist mangelnde Kontrolle und Transparenz in Bezug auf Organisationsstrukturen und Cloud-Zugriffe. Für Unternehmen ein Dilemma: Auf der einen Seite erfordern moderne Entwicklungsmethoden eine hohe Agilität und eine freie Technologiewahl. Andererseits müssen IT-Infrastrukturen zuverlässig kontrolliert und sicher konfiguriert werden, um Sicherheitsrisiken zu vermeiden. Letzteres soll möglichst die Kreativität und die Effizienz der Mitarbeiter nicht einschränken.
Im Projekt MultiSecure wird ein Beschreibungsformat zum sicheren Umgang mit IT-Infrastrukturen aus mehreren Clouds (Multi-Cloud-Umgebungen) entwickelt. Dieses Beschreibungsformat namens „SecOrgAsCode“ soll ein konsistentes Sicherheitsniveau über sämtliche von einem Unternehmen genutzte Clouds ermöglichen und so die sichere Konfiguration von Multi-Cloud-Umgebungen vereinfachen. Dazu werden Organisationsstrukturen (Personen und Teams, Prozesse, Richtlinien/Policys, Projekte u. a.) zentral modelliert, um die Cloud-Infrastruktur des Unternehmens abzusichern. Die so modellierte Sicherheitskonfiguration soll anschließend technologisch in aktuell eingesetzten Cloud-Plattformen umgesetzt werden. Dazu werden im Vorhaben die Sicherheitsmerkmale gängiger Cloudanbieter analysiert und abgeglichen, um daraus plattformübergreifende einheitliche Sicherheitsniveaus zu entwickeln. So können Sicherheitsanforderungen konsequent erfüllt und über die Zeit erhalten werden. Im Projekt wird die entwickelte Technologie Partnern in ersten Pilotprojekten zur Verfügung gestellt, um ihre komplexe Cloudinfrastruktur konsistenter und sicherer zu gestalten.
Konsistente Sicherheitskonfigurationen von Cloud-Umgebungen legen den Grundstein für die sichere Entwicklung digitaler Anwendungen, um sich im internationalen Wettbewerb durchzusetzen. Durch einen hohen Grad der Automatisierung bietet die Nutzung der im Projekt entwickelten Technologie Unternehmen eine Balance zwischen Agilität und der notwendigen Kontrolle über ihre Infrastruktur. So können die ohnehin schon knappen Ressourcen im Bereich der Softwareentwicklung optimal eingesetzt werden. Zugleich werden aber auch sicherheitskritische Routineprozesse automatisiert und damit konsistent und nachhaltig umgesetzt. Die Standardisierung von Organisationsstrukturen reduziert zudem die Abhängigkeit von einzelnen Technologieanbietern und bietet den Unternehmen mehr Freiheit bei der Auswahl ihrer Tools.