Multicloud-Strategien im Finanzsektor – Warum die 8. MaRisk-Novelle echtes Kopfzerbrechen bereitet
von Stephan Schulz ist Senior Solutions Engineer bei F5
Die Vorteile durch hohe Flexibilität werden jedoch häufig mit Nachteilen wie gestiegener Komplexität erkauft. So sehen sich 90 % der Finanzunternehmen verschiedenen Herausforderungen wie erschwerte Performance-Optimierung, Gewährleistung von Sicherheit, Verfügbarkeit und Compliance oder mangelnde Transparenz ausgesetzt.8. MaRisk-Novelle deckt mangelhaftes Risikomanagement schonungslos auf
Besonders vor dem Hintergrund der neuesten Novelle der MaRisk, die die BaFin kürzlich veröffentlicht hat, laufen viele Unternehmen jetzt Gefahr, die Vorschriften nicht erfüllen zu können. Dies betrifft nicht nur die eigenen Systeme, sondern auch die genutzten Cloud-Services.
Doch gerade bei externen Diensten ermöglichen die Anbieter nur selten einen umfassenden, transparenten Einblick, der zur Überwachung und Steuerung nötig ist. Die geforderte Integrität, Verfügbarkeit und Authentizität sowie die Vertraulichkeit der Daten sind so kaum sicherzustellen – ganz zu schweigen von angemessenen Überwachungs- und Steuerungsprozessen.
Das Problem: Laut der SOAS-Studie betreiben 38 % der Unternehmen Anwendungen in sechs verschiedenen Umgebungen. Das sind fast doppelt so viele Firmen wie 2023. Doch je stärker die Anwendungen verteilt sind, desto komplexer und unübersichtlicher wird ihre Verwaltung. Entsprechend nennen 34 % die Bewältigung der betrieblichen Komplexität als größte Herausforderung. Hinter der Migration von Apps auf Platz drei liegt mit 31 % die Anwendung konsistenter Sicherheitsrichtlinien.
Mit Standardisierung dem Wildwuchs entgegenwirken
Eine Möglichkeit, diese Komplexität zu reduzieren, bietet Standardisierung. Zwar besitzt jeder Cloud-Service und jedes Betriebsmodell seine eigenen Vorteile. Doch je mehr unterschiedliche Dienste im Einsatz sind, desto mehr Cloud- und On-Premises-basierte Apps sowie hybride IT-Stacks sind zu verwalten. Die drohende Gefahr ist unkontrollierter Wildwuchs.
So sollte für jeden Anwendungsfall klar festgelegt werden, welche Cloud-Services eingesetzt werden dürfen. Bei der Nutzung verschiedener Anbieter sind übergreifende Management-Tools zu verwenden, die reibungslos mit jedem verwendeten Service funktionieren. Nur so lässt sich eine automatisierte, vernetzte und skalierbare Bereitstellung und Sicherheit in Multicloud-Umgebungen gewährleisten.
Site Reliability Engineering
SRE und Multicloud-Management gehen daher häufig Hand in Hand. Von den Unternehmen, die Anwendungskomponenten wie Microservices in mehreren Public Clouds bereitstellen, haben bereits 48 % SRE-Praktiken eingeführt. Lediglich 7 % der Unternehmen mit verteilten Microservices für eine einzelne App kommen bislang ohne SRE-Praktiken aus.
API-Sicherheit
Bei verteilten Microservices spielt die Sicherheit der Schnittstellen eine große Rolle. Um daraus resultierende Gefahren zu reduzieren, hat knapp die Hälfte (43 %) der Unternehmen ihre Infrastrukturen für App- und API-Sicherheit automatisiert. 95 % stellen API-Gateways bereit, um das API-Management zu vereinfachen und die Sicherheit zu verbessern.
Der Schutz von APIs spielt auch im Zusammenhang mit KI eine große Rolle. Die Umfrageteilnehmer nennen API-Sicherheit als wichtigste Schutztechnologie für KI/ML-Modelle und ‑Dienste.
Übergreifendes Management
Multicloud-Networking kann die Prozesse vereinfachen. Anwendungen werden hierbei über verschiedene Umgebungen – ganz egal, ob Public oder Private Cloud, Rechenzentrum oder Edge – hinweg verbunden. Ein allen übergeordnetes Netzwerk-Mesh reduziert dabei die Komplexität, indem für den Betrieb und die Überwachung aller App-Standorte dieselben Konstrukte, Konfigurationen und Konsolen eingesetzt werden.
Unter anderem kann Multicloud-Networking die Sichtbarkeit erhöhen, veraltete oder übersehene APIs aufdecken, eine konsistentere und dynamischere Richtlinienbereitstellung gewährleisten und die App-Migration als Service über verschiedene Umgebungen und Cloud-Anbieter hinweg unterstützen. Dies ermöglicht sogar eine Cloud-Architektur, mit der sich jede Ebene des IT-Stacks über Cloud-Umgebungen und ‑Anbieter, traditionelle On-Premises-Umgebungen und den Edge hinweg nahtlos betreiben lässt.
Künstliche Intelligenz
Auch der wichtigste Trend in der Umfrage, Künstliche Intelligenz, kann wesentliche Hilfestellungen bieten. So sagen 35 % der Befragten, dass die automatische Anpassung von Sicherheitsrichtlinien und -konfigurationen ein wichtiger Anwendungsfall für generative KI ist. 29 % wollen mit ihrer Hilfe die Entdeckung und Abwehr von Bedrohungen verbessern. Schließlich lassen sich damit Verhaltensanomalien automatisiert aufdecken und somit auch bislang unbekannte Angriffstechniken erkennen.
Allerdings verfügt nicht jedes Unternehmen über die erforderlichen Telemetriedaten – oder nutzt diese nicht optimal. Beispielsweise sagen 47 % der Befragten, dass sie die Telemetrie nicht zur Automatisierung, sondern für betriebliche Alarme nutzen wollen. Angesichts der bestehenden Alarmmüdigkeit sollte deren Anzahl jedoch nicht weiter zunehmen, sondern durch KI auf die wichtigen Meldungen reduziert werden. DurchDurch Automatisierung ermöglichte Echtzeitreaktionen bieten dann die notwendige Geschwindigkeit und Wirksamkeit, um Gefahren frühzeitig abzuwehren.
Multicloud – im Kampf gegen Schattenseiten und Compliance-Risiken
Neun von zehn Finanzinstituten kämpfen mit den Schattenseiten der Multicloud: Schwierigkeiten mit Performance, Sicherheit, Transparenz und Compliance. Wenn sie nicht stärker auf Standardisierung, SRE, API-Schutz, Multicloud-Networking und KI setzen, werden sie nicht nur Probleme mit der Einhaltung aktueller Vorschriften wie die MaRisk bekommen. Sie gefährden auch ihre Infrastrukturen, Anwendungen und Daten.Stephan Schulz, F5
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/216856
Schreiben Sie einen Kommentar