Cloud-Security-Journey: Wie Compliance bei Accenture geht

Foto: Daniel J. Macy | shutterstock.com

Als die Management-Beratung Accenture im Jahr 2015 ihre Cloud Journey antrat, waren sich alle Beteiligten bewusst, dass bedeutende Veränderungen ins Haus stehen – zum Besseren. Schon im ersten Jahr weitete das Unternehmen seinen Cloud-Anteil im Bereich der Business-Applikationen von anfangs neun auf 90 Prozent aus. Schließlich hatten die Verantwortlichen erkannt, dass Cloud Computing den Zeit- und Arbeitsaufwand, um Anwendungen in großem Maßstab zu entwickeln und bereitzustellen, enorm reduzieren kann. Bis zum Jahr 2018 hatte Accenture so mehr als 20 Millionen Dollar eingespart.

Accentures DIY-Sicherheits-Suite

In Sachen Cloud Security verfolgte das Unternehmen anfangs allerdings einen eher altmodischen Ansatz, erinnert sich CISO Kris Burkhardt: “Anstatt einen richtigen, industrialisierten Prozess zu schaffen, der Sicherheit zu einem festen Bestandteil des Development Lifecycle macht, war unser Ansatz sehr individuell ausgestaltet. Zum damaligen Zeitpunkt stellte es allerdings die beste Option dar – auch weil es an Cloud-Sicherheitslösungen mangelte. Es gab keine Anbieter, die Security-Suiten anboten, und schon gar keine Cloud-übergreifenden.”

Mit zunehmenden Wachstum wurden jedoch auch die Cloud-Security-Bedürfnisse von Accenture immer komplexer – auch bedingt durch die Multi-Cloud-Umgebung der Unternehmensberatung. So erwies sich der maßgeschneiderte Security-Ansatz schnell als ineffizient. Für CISO Burkhardt war die Schlussfolgerung klar: “Wir mussten unsere eigene Sicherheitslösung entwickeln, ansonsten wären wir nicht in der Lage gewesen, mit dem Tempo unserer Entwickler Schritt zu halten. Dabei ging es nicht nur, aber auch darum sicherzustellen, dass nur berechtigte User Zugriffs- und Schreibrechte für bestimmte Datensätze, Objekte, Codebasen oder Anwendungen erhalten.”

Die Komplexität der Cloud Security wurde zunehmend auch für die Developer zum Hindernis – schließlich war sie in der Regel eher nachrangig. Die Devs betrachteten sie als einen weniger wichtigen Schritt. Allerdings war es auch nicht das Ziel, die Entwickler mit dem Thema übermäßig zu belasten, wie IT-Sicherheitsentscheider Burkhardt erklärt: “Wir wollen, dass unsere Entwickler ihre kreative Energie auf ihre Projekte verwenden, nicht auf die Cloud-Sicherheit. Die soll für sie einfach nur funktionieren. Wir hatten die Sorge, unsere Entwickler auszubremsen, obwohl wir ihnen nur helfen wollten, erfolgreicher zu sein und Security für sie so einfach wie möglich zu halten. Diesbezüglich war uns schnell klar, dass wir vor allem schnellere Kontrollmaßnahmen ermöglichen mussten.”

Rettungsanker Security-Zentralisierung

Als Accenture erkannte, dass das Problem nur größer wurde, suchte man nach einer Lösung, um den gesamten Cloud-Security-Compliance-Prozess zu konsolidieren. Am Ende entschied sich das Unternehmen für eine Kooperation mit Palo Alto Networks (langjähriger Go-to-Market-Partner). Dabei wurde mit Hilfe der Prisma-Cloud-Lösung ein neuer, schlanker Prozess aufgesetzt. Accenture entwickelte dafür seinerseits eine virtuelle “Cloud Control Factory”, um:

• fünf verschiedene, globale Infrastrukturanbieter zu unterstützen und eine zuverlässige Bestandaufnahme zu ermöglichen.

• konsistente Protokolle und Warnmeldungen auszuliefern, die dabei unterstützen, Sicherheitsvorfälle zu identifizieren.

• vorhersehbare, stabile und wiederholbare Prozesse zu etablieren, um Cloud Services zu zertifizieren und Sicherheitskontrollen freizugeben.

Accentures Cloud Control Factory umfasst fünf virtuelle “Abteilungen”:

• Research & Development ist dafür zuständig, Dienste zu zertifizieren, Kontrollen zu definieren, auszuwählen, zu messen und kontinuierlich neu zu bewerten;

• Die Production-Floor-Abteilung entwirft die Kontrollen,

• Quality Assurance testet sie,

• Shipping & Receiving integriert sie mit Compliance Reporting-Tools, und

• der Customer Service leistet nach dem Going Live Support.

“Wir haben uns dafür entschieden, die Entwicklung von Cloud-Kontrollen zu zentralisieren, alle Anforderungen an einem Ort zusammenzufassen und sie durch die Factory zu veröffentlichen. Damit wollten wir nicht nur einheitliche Kontrollen und eine gemeinsame Architektur sicherstellen, sondern auch, mit der Innovationskraft unserer Entwickler sowie der großen Cloud-Plattformen Schritt halten zu können”, fasst Burkhardt die Bemühungen seines Arbeitgebers zusammen.

Dabei folgt die Unternehmensberatung den 14 Prinzipien der Management-Philosophie “The Toyota Way” (TTW). CISO Burkhardt erklärt, warum: “Wir waren an einem Ansatz im Manufacturing-Stil interessiert, weil wir unsere Security-Kontroll-Produktion industrialisieren – also in großem Maßstab bereitstellen – wollten. Toyota ist wahrscheinlich eines der interessantesten Unternehmen, mit dem man sich in Bezug auf Fertigungsqualität, -geschwindigkeit und -Output beschäftigen kann. Statt das Rad also neu zu erfinden, beschlossen wir, uns lieber von diesem bewährten Beispiel inspirieren zu lassen.”

Laut dem IT-Sicherheitsentscheider sorgen die TTW-Prinzipien dafür, dass alle Beteiligten dazu beitragen können, den Cloud-Security-Compliance-Prozess kontinuierlich zu verbessern. So habe man beispielsweise eine “User Acceptance Board” eingerichtet, das mit Entwicklern und Software-Ingenieuren besetzt und für Verbesserungsvorschläge jeglicher Art offen sei. Doch damit nicht genug: “Es geht auch um Standardisierung und Effizienz. Statt verschiedene Entwicklungsteams, die Standards für ihren Bereich erfüllen, wollten wir ein gemeinsames Team”, konstatiert Burkhard. Diese entwickelt Kontrollen, die für alle in einer Art und Weise funktionieren, wie es die Entwickler erwarten und auf die sie sich verlassen können

Security by Design als neuer Standard

Mit der Einführung der Cloud Control Factory, respektive Palo Altos Prisma Cloud konnte Accenture die Anzahl der monatlich zertifizierten Services mehr als verdoppeln. Zudem konnten die Zeiträume zwischen Kontroll-Releases um 50 Prozent reduziert werden. Zu den weiteren Vorteilen gehören laut Accenture:

• Die verstärkte Produktion von kritischen Cloud-Kontrollen und Compliance-Checks;

• Die Rationalisierung von Geschäftsprozessen durch den sinkenden Zeit- und Ressourcenaufwand für die Reaktion auf Vorfälle beziehungsweise deren Behebung;

• Eine gute Ausgangslage für die von Accenture für die Zukunft geplante, umfassende Automatisierung seiner Sicherheitsprozesse.

Die Developer bei der Unternehmensberatung können sich inzwischen auch voll und ganz auf ihre Hauptaufgaben konzentrieren, nämlich Geschäftsprobleme zu lösen und Innovationen zu schaffen. Ein dediziertes, separates Team ist dafür verantwortlich, dass alle Kontrollen, die über die Cloud Control Factory freigegeben werden, konform und sicher sind. “Die Entwickler freuen sich darüber, Cloud-Objekte schneller nutzen zu können”, erzählt Burkhardt. “Sie sind froh, sich nicht mehr so viele Gedanken über die Integration machen zu müssen.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.