The Doppler Quarterly (DEUTSCHE) Sommer 2016 - Page 66

Achten Sie bei der Auswahl Ihrer MVC-Pilotanwendung auf folgende Merkmale: • Enthält vertrauliche Daten – Sie wollen vertrauliche Daten in der MVC 1.0. Warum? Weil das Unternehmen darauf achten muss, was genau Sie tun. Wenn Sie das Thema „sensible Daten“ aussparen, heißt dies nur, dass Sie das Problem vor sich herschieben. Kümmern Sie sich bereits im Vorfeld um dieses Thema und räumen Sie Bedenken frühzeitig aus. • Hat weniger als zehn Server – Übernehmen Sie sich nicht. Das Ver- schieben einer großen Anwendung ist nicht als Ziel einer Pilotanwen- dung zu sehen. Wählen Sie etwas, das überschaubar und sinnvoll ist. • „Lift and Shift“-Prinzip vorhanden – Verzichten Sie auf das Refacto- ring oder das Neuschreiben einer Anwendung. Dies sind oft langwierige Prozesse, die Sie nur aufhalten. Suchen Sie nach einer Anwendung mit Betriebssystem- und Datenbankservices, die von Ihrem Cloud-Provider unterstützt werden. • Hat einen Bastion-Host – Ein Bastion-Host ist ein Internetportal, über das Entwickler von außerhalb auf die Anwendung zugreifen. Obwohl dies nur eine Option ist, handelt es sich um einen wichtigen organisatori- schen Schritt, da der Geschäftsbereich Risk and Compliance bei der Öff- nung der Cloud-Plattform für das Internet eher verunsichert wird. Wenn Sie Code entwickeln, muss dies auf jeden Fall erfolgen – wenn nicht in MVC 1.0, dann definitiv in MVC 1.1 oder 1.2. • Hat kooperative Anwendungsverantwortliche – Dies scheint ein Kinderspiel zu sein. Aber Sie sollten nicht übersehen, wie wichtig eine Anwendung ist, die einem Team gehört, das auf die Cloud umstellen möchte. Nicht alle Anwendungsverantwortlichen sind gleich. Treffen Sie Ihre Auswahl also mit Sorgfalt. Punkt 7: Führen Sie eine Bewertung der Lücken bei Sicherheit und Governance durch. Das Cloud Adoption Program von CTP baut auf einem sehr präskriptiven Ansatz auf. Nach Hunderten von Cloud-Projekten stellten wir fest, dass die von Client zu Client verwendeten cloudspezifischen Sicherheitstechnologien nahezu identisch sind. Es gibt wiederholbare Muster von Referenzarchitekturen, die die Basis bilden, anhand derer wir Lücken in Ihrem Programm bewerten kön- nen. Wir haben diese wiederholbaren Muster in das MVC-Modell integriert. Die Muster sind mittlerweile Standard bei jeder MVC, die wir aufbauen. Oft wird jedoch wird die Bewertung der Kontrollobjekte für Sicherheit und Governance übersehen, die den wiederholbaren Mustern in der MVC zugeord- net sind. Diese kontrollspezifischen Zielsetzungen können von Kunde zu Kunde sehr unterschiedlich sein. Bei einigen Kunden müssen PCI- und SOX-Vorgaben eingehalten werden, andere wiederum müssen NIST, FISMA und vielen ande- ren Industriestandards entsprechen. Die Herausforderung besteht darin, zu verstehen, wie sich diese Standards und Vorschriften auf Ihr Cloud-Programm übertragen lassen. Die Cloud Security Alliance (CSA) ist die weltweit führende Organisation, die sich der Definition und Sensibilisierung für Best Practices widmet, um eine sichere Cloud Computing-Umgebung zu gewährleisten. Die CSA hat die Cloud Controls Matrix (CCM) als akzeptierte Baseline von Kontrollobjekten für Cloud Computing im Unternehmen entwickelt, die im Zentrum unserer cloudbasier- ten Sicherheitsmethodik steht. 64 | THE DOPPLER | SOMMER 2016