The Doppler Quarterly (DEUTSCHE) Sommer 2016 | Page 66

Achten Sie bei der Auswahl Ihrer MVC-Pilotanwendung auf folgende
Merkmale:
• Enthält vertrauliche Daten – Sie wollen vertrauliche Daten in der
MVC 1.0. Warum? Weil das Unternehmen darauf achten muss, was genau
Sie tun. Wenn Sie das Thema „sensible Daten“ aussparen, heißt dies nur,
dass Sie das Problem vor sich herschieben. Kümmern Sie sich bereits im
Vorfeld um dieses Thema und räumen Sie Bedenken frühzeitig aus.
• Hat weniger als zehn Server – Übernehmen Sie sich nicht. Das Ver-
schieben einer großen Anwendung ist nicht als Ziel einer Pilotanwen-
dung zu sehen. Wählen Sie etwas, das überschaubar und sinnvoll ist.
• „Lift and Shift“-Prinzip vorhanden – Verzichten Sie auf das Refacto-
ring oder das Neuschreiben einer Anwendung. Dies sind oft langwierige
Prozesse, die Sie nur aufhalten. Suchen Sie nach einer Anwendung mit
Betriebssystem- und Datenbankservices, die von Ihrem Cloud-Provider
unterstützt werden.
• Hat einen Bastion-Host – Ein Bastion-Host ist ein Internetportal, über
das Entwickler von außerhalb auf die Anwendung zugreifen. Obwohl dies
nur eine Option ist, handelt es sich um einen wichtigen organisatori-
schen Schritt, da der Geschäftsbereich Risk and Compliance bei der Öff-
nung der Cloud-Plattform für das Internet eher verunsichert wird. Wenn
Sie Code entwickeln, muss dies auf jeden Fall erfolgen – wenn nicht in
MVC 1.0, dann definitiv in MVC 1.1 oder 1.2.
• Hat kooperative Anwendungsverantwortliche – Dies scheint ein
Kinderspiel zu sein. Aber Sie sollten nicht übersehen, wie wichtig eine
Anwendung ist, die einem Team gehört, das auf die Cloud umstellen
möchte. Nicht alle Anwendungsverantwortlichen sind gleich. Treffen Sie
Ihre Auswahl also mit Sorgfalt.
Punkt 7: Führen Sie eine Bewertung der Lücken bei
Sicherheit und Governance durch.
Das Cloud Adoption Program von CTP baut auf einem sehr präskriptiven Ansatz
auf. Nach Hunderten von Cloud-Projekten stellten wir fest, dass die von Client
zu Client verwendeten cloudspezifischen Sicherheitstechnologien nahezu
identisch sind. Es gibt wiederholbare Muster von Referenzarchitekturen, die
die Basis bilden, anhand derer wir Lücken in Ihrem Programm bewerten kön-
nen. Wir haben diese wiederholbaren Muster in das MVC-Modell integriert.
Die Muster sind mittlerweile Standard bei jeder MVC, die wir aufbauen.
Oft wird jedoch wird die Bewertung der Kontrollobjekte für Sicherheit und
Governance übersehen, die den wiederholbaren Mustern in der MVC zugeord-
net sind. Diese kontrollspezifischen Zielsetzungen können von Kunde zu Kunde
sehr unterschiedlich sein. Bei einigen Kunden müssen PCI- und SOX-Vorgaben
eingehalten werden, andere wiederum müssen NIST, FISMA und vielen ande-
ren Industriestandards entsprechen. Die Herausforderung besteht darin, zu
verstehen, wie sich diese Standards und Vorschriften auf Ihr Cloud-Programm
übertragen lassen.
Die Cloud Security Alliance (CSA) ist die weltweit führende Organisation, die
sich der Definition und Sensibilisierung für Best Practices widmet, um eine
sichere Cloud Computing-Umgebung zu gewährleisten. Die CSA hat die Cloud
Controls Matrix (CCM) als akzeptierte Baseline von Kontrollobjekten für Cloud
Computing im Unternehmen entwickelt, die im Zentrum unserer cloudbasier-
ten Sicherheitsmethodik steht.
64 | THE DOPPLER | SOMMER 2016