The Doppler Quarterly (DEUTSCHE) Sommer 2017 | Page 17
Sicherheitskonzept
Wie bei jeder cloudbasierten Bereitstellung ist die
Sicherheit für einen Enterprise Data Lake von ent-
scheidender Bedeutung und muss von Anfang an
berücksichtigt werden. Zudem kann die Sicherheit
für einen Data Lake nur erfolgreich greifen, wenn sie
im Rahmen der gesamten Sicherheitsinfrastruktur
und -steuerung des Unternehmens bereitgestellt und
verwaltet wird. Im Allgemeinen gibt es drei primäre
Sicherheitsdomänen, die für eine Data-Lake-Bereit-
stellung relevant sind:
• Verschlüsselung
• Sicherheit auf Netzwerkebene
• Zugriffssteuerung
Verschlüsselung – Praktisch jedes Großunterneh-
men benötigt die Verschlüsselung von gespeicherten
Daten; wenn nicht voll umfänglich, dann zumindest
für die meisten Datenklassifikationen, die nicht
öffentlich verfügbar sind. Alle führenden Cloud-An-
bieter unterstützen die Verschlüsselung ihrer primä-
ren Objektspeichertechnologien (z. B. AWS S3) ent-
weder standardmäßig oder als Option. Ebenso bieten
die Technologien, die für andere Speicherebenen
verwendet werden, wie z. B. sekundäre Daten-
speicher zur Datennutzung, ebenfalls eine
Verschlüsselung.
Das Schlüsselmanagement spielt dabei ebenfalls eine
wichtige Rolle, wobei die Anforderungen in der Regel
von den allgemeinen Sicherheitskontrollen des
Unternehmens festgelegt werden. Zu den Optionen
gehören Schlüssel, die vom Cloud-Anbieter erstellt
und verwaltet werden, vom Kunden generierte
Schlüssel, die vom Cloud-Anbieter verwaltet werden,
und Schlüssel, die vom Kunden vor Ort erstellt und
verwaltet werden.
Der letzte damit zusammenhängende Aspekt ist Ver-
schlüsselung während der Übertragung. Dies umfasst
Daten, die über das Netzwerk zwischen Geräten und
Services verschoben werden. In den meisten Fällen
kann diese Verschlüsselung problemlos mit bereits
integrierten Optionen für jeden Service oder mithilfe
von Standard-TLS/SSL mit zugehörigen Zertifikaten
konfiguriert werden.
Sicherheit auf Netzwerkebene – Eine weitere wich-
tige Sicherheitsebene befindet sich auf der Netzwer-
kebene. Cloud-native Konstrukte, wie Sicherheits-
gruppen sowie traditionelle Methoden wie
Netzwerk-ACLs und CIDR-Block-Restriktionen, spie-
len bei der Implementierung einer zuverlässigen
Strategie für detaillierte Abwehrmaßnahmen eine
wichtige Rolle, indem unpassende Zugriffspfade auf
der Netzwerkebene umfangreich abgewehrt werden.
Diese Implementierung sollte einheitlich zu dem
gesamten Sicherheitsframework eines Unterneh-
mens sein.
Zugriffssteuerung – Diese bezieht sich auf die
Authentifizierung (Wer sind Sie?) und Autorisierung
(Was dürfen Sie tun?). Praktisch jedes Unternehmen
verfügt bereits über Standard-Authentifizierungs-
und Benutzerverzeichnis-Technologien, wie Active
Directory zum Beispiel. Ebenso unterstützt jeder
führende Cloud-Anbieter Methoden zur Zuordnung
der Corporate Identity-Infrastruktur auf die Berech-
tigungsinfrastruktur der Ressourcen und des Ser-
vices des Cloud-Anbieters. Auch wenn die Installa-
tion kompliziert sein kann, können die mit der
Zugriffsverwaltungsinfrastruktur des Cloud-Anbie-
ters (wie IAM auf AWS) verknüpften Rollen von
authentifizierten Benutzern übernommen werden,
sodass eine fein abgestimmte Berechtigungssteue-
rung über autorisierte Vorgänge ermöglicht wird.
Dasselbe gilt üblicherweise auch für Produkte von
Drittanbietern, die in der Cloud ausgeführt werden,
z. B. Reporting- und BI-Tools. LDAP und/oder Active
Directory werden normalerweise zur Authentifizie-
rung unterstützt und die toolinternen Autorisierun-
gen und Rollen können mit den Identitäten der
authentifizierten Benutzer korreliert und von diesen
gesteuert werden.
Etablierung von Governance
Üblicherweise bezieht sich die Data Governance auf
die gesamte Verwaltung der Verfügbarkeit, Nutzbar-
keit, Integrität und Sicherheit der in einem Unter-
nehmen verwendeten Daten. Sie basiert sowohl auf
Unternehmensrichtlinien als auch auf technische
Verfahren. Ähnlich wie bei anderen beschriebenen
Aspekten einer Cloud-Bereitstellung muss auch die
Data Governance für einen Enterprise Data Lake von
übergeordneten Verfahren und Richtlinien für das
gesamte Unternehmen gesteuert werden und mit
diesen konsistent sein.
In herkömmlichen Data Warehouse-Infrastrukturen
wird die Kontrolle über Datenbankinhalte in der
Regel mit den Geschäftsdaten abgeglichen und nach
Geschäftseinheit oder Systemfunktion in Silos aufge-
teilt. Um die Vorteile der Zentralisierung von Unter-
nehmensdaten optimal zu nutzen, ist jedoch eine
zentrale Ansicht der Data Governance erforderlich.
Selbst wenn das Unternehmen in seinen Data Gover-
nance-Verfahren noch nicht vollständig ausgereift
ist, ist es von entscheidender Bedeutung, dass ein
SOMMER 2017 | THE DOPPLER | 15