Suchen

Sicherheitsanforderungen bei Colocation Die eigene Cloud im externen Datacenter

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Stephan Augsten

Anstatt ein eigenes Rechenzentrum zu betreiben, nutzen immer mehr Unternehmen die Dienste von Colocation-Anbietern. Doch wenn die eigene Cloud und Hardware in den Räumlichkeiten Dritter betrieben werden, hat dies Folgen für die Anforderungen an die Cloud-Sicherheit.

Firmen zum Thema

Bei Colocation bzw. Server-Housing greift wie in anderen Cloud-Szenarien auch das Modell der geteilten Verantwortung.
Bei Colocation bzw. Server-Housing greift wie in anderen Cloud-Szenarien auch das Modell der geteilten Verantwortung.
(© blackboard - stock.adobe.com)

Auf dem Weg zu Colocation

Laut der Marktforscher von Gartner werden bis 2025 ganze 80 Prozent der Unternehmen ihre eigenen Rechenzentren schließen. Jedes zehnte Unternehmen habe dies sogar bereits getan, so Gartner. Die Alternativen zum eigenen Datacenter reichen von Colocation (Server-Housing) bis hin zur Public Cloud.

Colocation ist heute längst Bestandteil moderner Data-Center-Architekturen, sagen die Marktforscher von IDC. Die Angebote beschränken sich dabei nicht mehr auf die Core-Komponenten „Space, Power und Netzwerk“, sondern sie wurden um Plattformen für den Betrieb hybrider Infrastrukturen erweitert.

53 Prozent der Befragten nutzen Colocation-Services oder planen eine Nutzung, wie eine IDC-Umfrage ergab. Lediglich 37 Prozent der befragten Unternehmen gaben an, dass Colocation derzeit kein Thema für sie sei.

Die Frage nach der Sicherheit muss geklärt sein

Eine Umfrage von maincubes ergab, dass die Sicherheit bei der Wahl eines Colocation-Betreibers nicht die Rolle für die befragten Unternehmen spielt, die sie eigentlich haben müsste. Auf Platz 1 von 15 Auswahlkriterien liegt demnach die Stromversorgung, das Thema Sicherheit landete nur auf Platz 7, Ausfallsicherheit sogar nur auf 12.

Zweifellos ist die Stromversorgung wichtig, auch für die Ausfallsicherheit. Doch sollten Unternehmen nicht den Fehler machen, das Thema Sicherheit einfach als gegeben vorauszusetzen, wenn sie ihre Hardware in die Räume eines Colocation-Betreibers stellen. Umfragen zeigen regelmäßig, dass viele Cloud-Nutzer immer noch meinen, die Cloud-Provider seien alleine für die Cloud-Sicherheit verantwortlich. Nun könnte die Gefahr bestehen, dies auch im Fall von Colocation zu denken.

In Wirklichkeit aber gilt bei Cloud-Services das Modell der geteilten Verantwortung, wonach der Cloud-Provider für den Schutz der Infrastruktur verantwortlich ist. Diese Infrastruktur besteht aus der Hardware, der Software, dem Netzwerk und den Einrichtungen, auf und in denen die Cloud-Services ausgeführt werden. Die Kundenverantwortlichkeit betrifft die „Sicherheit in der Cloud“, insbesondere also die Sicherheit der Daten in der Cloud.

Die Frage der Aufteilung der Sicherheit muss bei Colocation aber neu gestellt werden, denn bei Colocation oder Server-Housing werden die Systeme des Kunden in den Räumen des Anbieters betrieben. Sprich: Die Hardware und die Software darauf stammen von dem Kunden selbst.

Die Cloud-Sicherheit im Fall von Colocation

Wenn also ein Unternehmen die beim Colocation-Betreiber stehende Hardware nutzt, um eine eigene Cloud zu betreiben, wird die Colocation-Sicherheit zu einem Teil der Cloud-Sicherheit. Professionelle Anbieter von Colocation-Services bieten eine Reihe von Sicherheitsfunktionen, angefangen bei der Gebäudesicherheit über die Bewachung, die Videoüberwachung und den Brandschutz bis hin zur Klimatisierung und Notstromversorgung.

Daneben bieten die Colocation-Betreiber auch einen Zugangsschutz zu der bei ihnen untergebrachten Hardware. So stehen die Server dann in speziellen Käfigen oder Räumen, mit abschließbaren Racks und Zutrittskontrollsystemen zu den Cages und Räumen. Im Gegensatz zu der Nutzung von Cloud-Diensten muss der Kunde aber bei Colocation auch die Sicherheit rund um die Hardware, die Software, den Speicher und die „interne“ Vernetzung bis hin zum Übergabepunkt an die Vernetzung des Betreibers sicherstellen.

Sicherheitszertifikate auch bei Colocation wichtig

Bei der Suche nach einem Colocation-Anbieter ist es nicht nur sinnvoll, auf Sicherheitszertifizierungen für den Rechenzentrumsbetrieb zu achten. Aus Compliance-Gründen ist es sogar zwingend erforderlich. Je nach gebuchten Colocation-Services wird der Anbieter zwar keine Auftragsverarbeitung im Sinne des Datenschutzes durchführen.

Doch die Datenschutz-Grundverordnung (DSGVO) zum Beispiel fordert Sicherheitsmaßnahmen von jedem Unternehmen, das personenbezogene Daten verarbeitet, die im Fall von Colocation zum Teil durch den Colocation-Betreiber erbracht werden. Dazu gehören teilweise die von der DSGVO geforderten Maßnahmen, wie ...

  • „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“ sowie
  • „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“.

Hier sind Colocation-Services entscheidend, welche die Belastbarkeit, Verfügbarkeit, Integrität und Vertraulichkeit schützen sowie die Wiederherstellbarkeit unterstützen. Dazu gehören dann zum Beispiel die zuverlässige Stromversorgung ebenso wie die Zutrittskontrolle durch das Wachpersonal des genutzten Datacenters.

Wenn also die eigene Cloud in einem Colocation-Rechenzentrum betrieben wird, ändert sich die Aufteilung der Aufgaben für die Cloud-Sicherheit, doch es bleibt eine geteilte Verantwortung zwischen Anwenderunternehmen und Colocation-Provider. Was der Colocation-Anbieter für die Sicherheit leistet und vertraglich zusichert, kann von Anbieter zu Anbieter variieren.

Anwenderunternehmen tun gut daran, sich hier genau zu informieren und detaillierte vertragliche Regeln aufzustellen. Andernfalls könnte die Cloud-Sicherheit mangels richtiger Aufgabenteilung gefährliche Löcher aufweisen.

(ID:46171418)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research