Kitabı oku: «Cloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing», sayfa 2

1 Wandel der IT
1.1 Historie

Für ein gutes Verständnis von modernen Cloud-Plattformen sowie den damit verbundenen Sicherheitskonzepten auf technischer und organisatorischer Seite ist es wichtig, eine kurze Zeitreise zu den Anfängen der IT in Unternehmen zu starten. Bei einer Nutzung von Cloud-Diensten wird jede darunterliegende Computer-Hardware im Rechenzentrum des Cloud-Anbieters automatisch für den Anwender durch die Virtualisierung unsichtbar. Allerdings werden diese Technologien immer noch verwendet. Für jeden jüngeren „Digital Native“ lohnt sich daher z.B. ein Besuch im Deutschen Museum in München, wo auch verschiedene Generationen von Computern angeschaut werden können.

Mainframe / Großrechner

Großrechner zeichneten sich durch hohe Zuverlässigkeit sowie einen hohen Datendurchsatz bei der Ein- und Ausgabe aus. Eine Wartung konnte ohne Unterbrechung oder Beeinträchtigung des Betriebes durchgeführt werden. Diese Eigenschaften wurden durch eine herstellerspezifische Abstimmung der Hardwarekomponenten und Betriebssysteme sowie einer integrierten Redundanz ermöglicht.

Der Betrieb der Großrechner sowie die Datenhaltung erfolgten entweder im Rechenzentrum des Herstellers, dem eines IT-Dienstleisters oder in einem firmeneigenen Rechenzentrum des Unternehmens, insofern Ressourcen und Kompetenzen vorhanden waren.

Der Zugriff erfolgte über Hardwareterminals, während die Benutzerverwaltung zentral auf dem Großrechner durchgeführt wurde.

Firmeneigenes Rechenzentrum ab dem Jahr 1980

In den Jahren ab 1980 gab es in den Büros der Unternehmen erste lokale Installationen von auf x86 basierenden Personal Computern (PCs), welche durch interne IT-Teams verwaltet wurden.

Gleichzeitig waren Großrechner in den Rechenzentren immer noch stark verbreitet, und es war eine Koexistenz zwischen beiden Technologien vorhanden. Die zentrale Verwaltung von Rechten erfolgte weiterhin auf dem Großrechner. Eine weitere Absicherung gegen Ausfälle neben den integrierten Hardwareredundanzen der Großrechner erfolgte durch ein Backup-Rechenzentrum beim Hersteller/Dienstleister.

Anbindungen an das damals noch nicht weit verbreitete Internet waren zu dieser Zeit nur in den Bereichen Forschung oder Verteidigung vorhanden. Üblich war hingegen die Verbindung von Bedienterminals z. B. in Unternehmensaußenstellen zum Großrechner über Telefoneinwahlverbindungen bzw. Standleitungen.

Die ersten Serverbetriebssysteme zur Bereitstellung von Dateisystemen, Druckern und Verzeichnisdiensten in einem Rechnernetz wurden verfügbar, welche unabhängig von der darunterliegenden Hardware eingesetzt werden konnten. Diverse Netzwerktechnologien wurden bereits unterstützt.

Eigenes Rechenzentrum ab dem Jahr 1990

Erste Betriebssysteme mit einer grafischen Oberfläche, welche auf unterschiedlichen Prozessorarchitekturen lauffähig waren, kamen auf den Markt und verbreiteten sich in den Unternehmen. Parallel dazu wurde die Zuverlässigkeit verbessert und dadurch ein Einsatz von systemkritischen Anwendungen attraktiv. Die Sicherheit stand zunehmend im Fokus, und eine Zuweisung von Rechten war nun auch im Bereich der Personal Computer, wie bereits zu früheren Zeiten bei Großrechnern, möglich. Eine zentrale Verwaltung in einem Verzeichnisdienst ermöglichte die Kontrolle der Anmeldungen an größere Umgebungen vom vernetzten Personal Computer. Eine Funktionalität für die Hochverfügbarkeit von Netzwerkbetriebssystemen wurde durch die Hersteller bereitgestellt. Zum Einsatz kamen überwiegend physische Server verschiedener Hersteller mit einer dedizierten Funktion (Betriebssystem und Anwendung).

Client-Server-Architekturen ermöglichten den Einsatz von Personal Computern (PCs) in Unternehmensnetzwerken. Großrechner waren immer noch bei den Unternehmen für geschäftskritische Anwendungen verbreitet. Allerdings erfolgte der Zugriff mittlerweile mit softwarebasierenden Terminals und neueren Netzwerktechnologien.

Die Anbindung an andere Standorte der Unternehmen erfolgte über Standleitungen oder gebündelte ISDN-Leitungen. Computerviren verbreiteten sich über Dateien und Wechselmedien, da eine Anbindung an das Internet noch nicht weit verbreitet war.

Gegen Ende des Jahrzehnts wurde das Internet verstärkt durch die Unternehmen verwendet. Die ersten Computerwürmer breiteten sich durch infizierte Dateien über PCs und Server aus, welche an das Internet angebunden waren.

Die ersten Softwareprodukte zur Virtualisierung von physischen Computersystemen auf der x86-Prozessortechnologie kamen gegen Ende des Jahrzehnts auf den Markt. Durch diese Technologie war es möglich, eine oder mehrere virtuelle Maschinen auf einer physischen Hardware zu betreiben. Erweiterungen der x86-Prozessorarchitekturen für eine Hardwareunterstützung der Virtualisierungsfunktionen waren zu diesem Zeitpunkt noch nicht verfügbar und wurden durch die Prozessorhersteller erst im Folgejahrzehnt bereitgestellt.

Der Betrieb der IT-Umgebungen in Unternehmen wurde überwiegend durch interne IT-Teams verantwortet, wobei auch erste Unternehmen ihre IT durch externe Dienstleister betreiben ließen. Der Begriff „Outsourcing“ wurde geboren.

Eigenes Rechenzentrum ab dem Jahr 2000

Der Trend zum Outsourcing verstärkte sich bei den Unternehmen, da eine Fokussierung auf der Kernkompetenzen im Vordergrund stand. Erste Verlagerungen von IT-Aufgaben an externe Dienstleister – auch bereits mit Personalressourcen in Ländern wie Indien – zur Einsparung von Kosten waren auf der Agenda von vielen Unternehmen. Jedoch war es für Unternehmen notwendig, dass ein interner IT-Bereich mit verschiedenen fachlichen Ausprägungen zur Steuerung der externen Dienstleister weiterhin vorhanden war.

Die verstärkte Anbindung an das Internet durch Unternehmen (für E-Mail-Dienste etc.) brachte neue Herausforderungen für die IT-Sicherheit in den Bereichen der Clients sowie der Netzwerkübergänge zum Internet Provider (über Wählverbindung/ Standleitung). Neue Technologien wie Firewalls, Proxy-Server, Anti-Virus-Gateways und Intrusion Detection waren nun bei den Unternehmen im Rechenzentrum vorhanden. Das Rechenzentrum mit seinen Grenzen galt als sicheres Perimeter. Jeder eingehende und ggf. auch ausgehende Datenverkehr wurde zur Absicherung gegen Angriffe kontrolliert.

Die Absicherung der Clients und Server erfolgte durch zentral verwaltete Anti-Virus-Lösungen sowie mit gehärteten Betriebssystemen.

Der erste Computerwurm Love Letter verursachte im Jahr 2000 geschätzte Schäden von bis zu 10 Milliarden Dollar. Bei weiteren darauffolgenden Infektionen durch Computerwürmer wurden Schwachstellen in Betriebssystemen und Anwendungen ausgenutzt.

Ein erster Einsatz von Produkten zur Server-Virtualisierung erfolgte in den Produktivumgebungen der Unternehmen. Hierbei wurden eine bessere Auslastung und Nutzung der x86-Hardware ermöglicht. Durch die Virtualisierung war es nun einfacher, Unternehmen gegen Szenarien wie den Ausfall eines Rechenzentrums abzusichern.

Durch den Einsatz von Multi-Tier-Architekturen wurde für Unternehmen die sichere Bereitstellung von Anwendungen mit Web-Technologien vereinfacht. Dazu wurden komplexe DMZ-Umgebungen² mit verstärkten Sicherheitssystemen aufgebaut. Ein besonderer Fokus auf IT-Sicherheit ergab sich durch die Bereitstellung von geschäftskritischen Anwendungen im Internet, da Serviceausfälle durch externe Angriffe oder fehlerhafte Hardware verhindert werden sollten.

Einige Vorhaben zur Ablösung von Großrechnern durch neue Client-Server-Technologien und verteilte Systeme wurden gestartet, um die teuren Lizenzkosten einzusparen und die Flexibilität bei der Auswahl der Hersteller zu verbessern.

Outsourcing

Zur Einsparung von Kosten und Freisetzung von Ressourcen übertrugen einige Unternehmen (vollständig oder teilweise) die Verantwortung für den IT-Betrieb an externe Dienstleister. Durch ein Transformationsprojekt wurde in vielen Fällen mit externer Expertise die gesamte IT eines Unternehmens modernisiert bzw. konsolidiert. Hierbei musste sich das Unternehmen auf die Zuverlässigkeit sowie Vertrauenswürdigkeit des Dienstleisters verlassen. Die Einhaltung der Regeln und Prozesse durch den externen Dienstleister musste regelmäßig durch das Unternehmen überprüft werden. Das Modell der Teilung der Verantwortlichkeit zwischen Provider und Kunden bewährte sich und wurde die Vorlage für spätere Zusammenarbeitsmodelle in der Cloud (vgl. Kapitel 1.1.2). Auch beim IT-Outsourcing war bereits die Qualität des Vertrages sehr entscheidend für die klare Regelung von Verantwortlichkeiten zwischen Provider und Kunden, um die damit verbundenen Probleme zu vermeiden.

Die Definition von Grundregeln der IT- und Datensicherheit basierend auf vorhandenen Standards sowie klar strukturierte Sicherheitsprozesse führen bei einem IT-Outsourcing teilweise zu einem höheren Sicherheitsniveau als bei einem internen Betrieb.

Virtualisierung (Compute, Netzwerk, Speicher, Hyperconverged)

Bereits bei den Mainframes / Großrechnern in den 1960er Jahren wurden die vorhandenen Ressourcen zwischen verschiedenen Anwendungen aufgeteilt. Im UNIX-Bereich war Hardwarevirtualisierung bereits bei sehr teuren High-End- und Midrange-Systemen vorhanden. Ab dem Jahr 2005 wurde durch die führenden CPU-Hersteller die Hardwarevirtualisierung unterstützt. Durch Verfügbarkeit von nativen Typ 1 Hypervisor („Bare-Metal-Hypervisor“, ohne darunterliegendes Betriebssystem) wurde die Virtualisierung von Servern für viele Unternehmen bezahlbar. Die Absicherung gegenüber Ausfällen von Rechenzentren erfolgte mit der Hardwarevirtualisierung.

Ein virtuelles Netzwerk teilte physische Netzwerke in logische Netzwerke auf, und ermöglichte somit eine Unterteilung in verschiedene Bereiche. Hierbei konnten flexible Anforderungen, die Performance sowie die Anforderungen zur Sicherheit berücksichtigt werden. Moderne Hypervisoren unterstützten gleichzeitig die Virtualisierung von Hardwareressourcen (z. B. CPUs, Speicher, Netzwerkschnittstellen etc.) sowie Netzwerken und ermöglichten somit eine Integration in vorhandene physische Netzwerkumgebungen.

Bei der Speichervirtualisierung wurden die physischen Eigenschaften der Speichersysteme gegenüber dem Benutzer abstrahiert. Physikalische Grenzen der Speichermedien mussten nicht mehr verwaltet werden und erschienen dem Benutzer demnach virtuell. Der Auslastungsgrad des physischen Speichers wurde dadurch verbessert. Außerdem konnten hierbei Redundanzen im Speichersystem (z. B. RAID, Reservekomponenten) vorgesehen werden, um die Ausfallsicherheit zu erhöhen, die hierdurch entstehenden Mehrkosten auf die Nutzer zu verteilen und dadurch zu minimieren.

Erste kritische Schwachstellen in den führenden Produkten zur Server-Virtualisierung wurden für unerlaubte Systemzugriffe ausgenutzt.

Eine hyperkonvergente Infrastruktur vereinte die verschiedenen Techniken zur Virtualisierung (Hypervisor, Speichervirtualisierung, Netzwerkvirtualisierung) in einer softwarezentrierten Architektur. Zusätzlich waren noch Werkzeuge zur Steuerung und Überwachung vorhanden. Andere Konzepte zur Anbindung an eine Cloud-Plattform sowie für die Schaffung von Redundanzen mit ggf. einem weiteren Rechenzentrumsstandort waren ebenfalls vorhanden. Die Vorteile lagen bei der Steigerung der betrieblichen Effizienz der IT, besseren Skalierbarkeit sowie schnelleren Bereitstellungszeiten. Die Betriebsverantwortung für eine hyperkonvergente Infrastruktur konnte bei einem internen IT-Team sowie auch bei einem externen Dienstleister liegen.