Glenn Gore von AWS im Interview

Sicherheit in der Cloud funktioniert anders

von - 08.02.2018
AWS
Foto: Casimiro PT / Shutterstock.com
Glenn Gore, Chief Architect bei Public-Cloud-Marktführer AWS, spricht mit com! professional über Availability Zones, geschlossene Clouds & Vendor-Lock-in.
Glenn Gore, AWS
Glenn Gore, Chief Architect bei Amazon Web Services
(Quelle: AWS )
Glenn Gore ist Chief Architect bei Amazon Web Services (AWS). Im Gespräch mit com! professional erklärt er, wie Sicherheit und Datenschutz in der Cloud gewährleistet werden, und welche Pläne sein Unternehmen für Deutschland hat.
com! professional: Herr Gore, wie sehen die Pläne von Amazon Web Services für das Jahr 2018 aus?
Glenn Gore: Auf unserer Konferenz „re:Invent“ vergangenen November haben wir bereits einige der Neuheiten ange­kündigt, die wir dieses Jahr bringen werden, darunter neue Machine-Learning-Services, IoT-Dienste und Container-Funktionen. Außerdem sind zwölf neue Verfügbarkeitszonen, weitere Regionen in Bahrain, Hongkong und Schweden sowie eine zweite Government Cloud in den USA geplant.
com! professional: Welche Neuerungen gibt es in Deutschland?
Gore: Wir werden unsere Investitionen der vergangenen Jahre fortsetzen. Bereits seit 2017 bieten wir in der Region Frankfurt drei Verfügbarkeitszonen an. Damit haben unsere deutschen Kunden die Option, in der Region Frankfurt geschäftskritische Applikationen mit echtem Active-Active-Failover zu betreiben.
com! professional: Microsoft ermöglicht es mit Azure Stack, eine Azure-Umgebung im eigenen Rechenzentrum aufzubauen, die sich nahtlos mit der Azure-Cloud verbinden lässt. Plant AWS ein ähnliches Angebot?
Gore: Unsere Kunden wollen die Probleme lösen, die sich aus dem Aufbau und Betrieb eigener IT-Umgebungen ergeben – von der Investition in Hardware über Sicherheitsanforderungen, Energie- und Platzfragen bis zur Kapazitätsplanung. Sich weitere Hardware ins Rechenzentrum zu stellen, hilft dabei nicht. Was Kunden wirklich wollen, ist ein API-basierter Zugriff auf Daten und Rechen-Ressourcen, nicht mehr Hardware.
com! professional: Aber gibt es nicht Fälle, in denen Daten vor Ort verarbeitet werden müssen, weil sonst beispielsweise die Latenzen zu hoch sind?
Gore: Dieses Problem mit einem vollständigen Infrastruktur-Stack zu lösen, ist kompletter Overkill und wiederholt die Fehler der Vergangenheit. Wir bieten für diese als Edge-Computing bezeichneten Aufgaben beispielsweise das Datenspeicher- und -übertragungsgerät Snowball Edge, das auch Berechnungen durchführen kann. Im IoT-Bereich gibt es von uns die Software AWS Greengrass, mit der sich eine lokale Datenverarbeitung realisieren lässt. Wir halten es auf jeden Fall für sinnvoller, kleine, einfache und verteilte Building Blocks am Edge zu betreiben, um den Kunden die größten Vorteile zu bringen, statt quasi eine kleinere Version der kompletten Cloud-Umgebung anzubieten.
com! professional: Im Mai dieses Jahres wird die Datenschutz-Grundverordnung wirksam. Gibt es Services bei AWS, die Kunden bei der Umsetzung der
DSGVO-Anforderungen wie Data Privacy by Design oder dem Recht auf Vergessen unterstützen?
Gore: Wir haben bereits angekündigt, dass unsere AWS-Services mit den Regeln der DSGVO bei Inkrafttreten am 25. Mai 2018 konform sein werden. Wir nehmen dem Kunden gerade in diesem Bereich eine Menge Arbeit ab und stellen etwa für Audits die notwendigen Reports zusammen. Natürlich kann AWS die Einhaltung dabei nur auf Basis dessen garantieren, was wir an Tools und Services zur Verfügung stellen. Inwieweit die Services und Applikationen, die unsere Kunden auf Basis unserer Dienste erstellen, den neuen Regularien entsprechen, steht auf einem anderen Blatt. Wir arbeiten bereits mit vielen Kunden zusammen, um herauszufinden, was deren Anforderungen im Zusammenhang mit der DSGVO sind, um Best Practices zu entwickeln. Und wir unterhalten ein Professional Services Team, Public- Policy-, Compliance- und Security-Experten, um sicherzustellen, dass bis Mai dieses Jahres alle Anforderungen der DSGVO erfüllt werden.
com! professional: Microsoft bietet mit Azure Deutschland unter der Treuhänderschaft von T-Systems eine eigene Deutschland-Cloud, die deutsche Kunden vor dem Zugriff durch US-Behörden schützen soll. Planen Sie ähnliche separierte Cloud-Umgebungen für hoch regulierte Branchen, Regierungen oder Märkte?
Gore: Wir bieten eine abgeschlossene Cloud bereits für die US-Regierung und werden in diesem Jahr eine zweite solche Government Cloud in den USA eröffnen. Generell gibt es auch Gespräche mit anderen Regierungen, aber das ist ein sehr komplexes Thema.
com! professional: Nationale Clouds wie Azure Deutschland sind aber nicht geplant?
Gore: Solche abgeschlossenen Clouds sind nach unserer Auffassung nur bei sehr speziellen Anforderungen sinnvoll, etwa wenn es um nachrichtendienstliche Aufgaben geht. Unternehmen müssen dagegen in einer solchen Cloud nicht nur Premium-Preise zahlen, sie können auch einen wesentlichen Vorteil der Cloud, nämlich die internationale Verfügbarkeit von Services und Rechenzentren, nicht nutzen. Unser Angebot mit der Region Frankfurt erfüllt dagegen alle Anforderungen deutscher Unternehmen, ohne vom Rest der AWS-Cloud separiert zu sein. Wir halten alle Standards und Zertifizierungen ein, die für den Betrieb sensibler Daten etwa aus dem Gesundheits- oder dem Finanzbereich notwendig sind. Im Übrigen laufen dort auch Workloads der öffentlichen Hand.
com! professional: Dennoch zögern gerade Behörden oder auch Unternehmen aus hoch regulierten Branchen, ihre Daten in die Public Cloud eines US-Anbieters zu geben …
Gore: Mit unseren Virtual Private Cloud Services (VPC) können sich Behörden und Unternehmen eine eigene Cloud-Umgebung einrichten, die dieselben Sicherheitsstandards bietet wie eine Private Cloud. Außerdem lassen sich Daten jederzeit verschlüsseln – was ich übrigens auch für das eigene Rechenzentrum empfehle. Man kann schließlich nie wissen, ob ein Backup-Tape mal verloren geht oder in fremde Hände gerät
com! professional: Und wer hat Zugriff auf die Schlüssel?
Gore: Es gibt verschiedene Möglichkeiten der Schlüsselverwaltung. Manche Kunden nutzen unseren Key Management Service oder das Hardware-Sicherheitsmodul CloudHSM, mit dem sie ihre eigenen Schlüssel generieren und verwalten können. Kunden können auch verschiedene Geheimhaltungsstufen definieren. Weniger sensible Daten werden dann zum Beispiel verschlüsselt, aber die Schlüssel bei uns aufbewahrt, während hochsensible Informationen stärker geschützt werden. Wir geben Kunden die Wahl und die Tools, um diese Entscheidungen zu treffen.
com! professional: Gibt es die Möglichkeit, Berechnungen auf Daten durchzuführen, ohne dass diese dafür entschlüsselt werden müssen?
Gore: Es gibt eine Menge technischer Fortschritte bei der Verschlüsselung, die sicherstellen, dass es für Kunden keine Nachteile hat – etwa in puncto Performance –, wenn sie Daten verschlüsseln.
Verwandte Themen