Cloud Computing Standards - rgse.uni-koblenz.de · • public, private, community und hybrid –Cloud • Servicemodelle: • Infrastructure as a Service (IaaS), Platform as a Service

Proseminar Werkzeugunterstützung

für sichere SoftwareWintersemester 14/15

Cloud Computing Standards

Jannis Fey

17.02.2015

Cloud Computing Standards - Jannis Fey

1



Motivation

„In dieser Präsentation sollen Zertifikate und Ihre zugrundeliegenden Standards auf ihre Eignung für eine Zertifizierung von Cloud Computing Services betrachtet

werden.“

17.02.2015


2



Inhalt

1. Einleitung

2. Grundlagen

3. Zertifizierung

4. Auditing Tools

5. Fazit und Ausblick

17.02.2015


3



Einleitung


417.02.2015

Spitzenlast anWeihnachten etc.

abschalten-> Kosten sparen



Einleitung

• Flexibles, dynamisches System

• Risiken

• Zugangskontrolle

• Verschlüsselung

• etc.

• Lösung:

• Zertifizierung nach Standards

• speziell für Cloud Computing


517.02.2015



Inhalt

1. Einleitung

2. Grundlagen

1. Cloud Computing

2. Zertifizierung

3. Auditing

4. Organisationen

3. Zertifizierung

4. Auditing Tools


17.02.2015


6



Grundlagen

• Wie genau ist Cloud Computing definiert?

• Was bedeutet Zertifizierung eigentlich und was ist ein Zertifikat?

• Was versteht man unter dem begriff Auditing und was sind Auditing Tools?

• Welche Organisationen gibt es in diesem Bereich?


717.02.2015



Cloud Computing

• Definition des BSI:

• „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. […] Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst […] unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“

• Liefermodelle:

• public, private, community und hybrid –Cloud

• Servicemodelle:

• Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS)


817.02.2015



Zertifizierung

• Überprüfungsprozess auf bestimmte Anforderungen.

• Zertifikat = Nachweis über Einhaltung

• Zertifizierung von:

• Mitarbeiter (z.B. schriftliche Prüfung)

• Software (z.B. Qualität)

• komplette IT-Umgebung (z.B. Cloud Computing System)

• Beispiel: Zertifizierung nach dem IT-Grundschutz


917.02.2015



Auditing

• Überprüfung von Softwareprojekten

• durch Auditor

• spezielle Audits für:

• Quellcode, Sicherheitsaspekte, Performance, etc.

• bei Cloud Computing ist ein Security-Audit notwendig

• Sicherheitslücke suchen -> Lösung finden

• Auditing-Tools

• Unterstützung des Audits (Automatisierung)

• z.B. Wireshark, etc.


1017.02.2015



Organisationen

1. Cloud Security Alliance (CSA)

2. National Institute of Standards and Technology (NIST)

3. EuroCloud

4. Bundesamt für Sicherheit in der Informationstechnik (BSI)

17.02.2015


11



Cloud Security Alliance (CSA)

• internationale, non-Profit Organisation

• Ziel: Förderung von Standardisierung und Sicherheit

• geführt von Spezialisten aus Industrie, Verbänden, etc.

• aktive Forschung

• “Certificate of Cloud Security Knowledge”

• “CloudAudit”


1217.02.2015



National Institute of Standards and Technology (NIST)

• amerikanische Bundesbehörde für Standards

• viele Bereiche: z.B. Chemie, Physik, Logistik, Medizin, etc.

• große Beteiligung an Cloud Computing Standards

• (wie CSA) internationales Ansehen

• „NIST Cloud Computing Standards Roadmap“

• Definition, Lücken, Prioritäten der Standardisierung

• Bietet keine Zertifizierung an


1317.02.2015



EuroCloud

• unabhängig, non-profit Organisation für Europa

• gegliedert in zwei Stufen

• Haupt Organisation koordiniert lokale Komitees auf Länderebene

• Vorteil:

• jeder profitiert von jedem

• trotzdem noch unabhängig und eigenständig


1417.02.2015



Bundesamt für Sicherheit in der Informationstechnik (BSI)

• nationale Sicherheitsbehörde

• zuständig für IT-Sicherheit in Deutschland

• Im Bereich Cloud Computing:

• Anwendern und Anbieter bei Problemen helfen

• eigenes Zertifikat scheint in Arbeit zu sein

• bisher nur Zertifizierung nach ISO 27001

• Eckpunktepapier mit relevanten Sicherheitsaspekten

• Leitfaden für Anbieter


1517.02.2015



Inhalt

1. Einleitung

2. Grundlagen

3. Zertifizierung

1. nach ISO/IEC 27001

2. EuroCloud Star Audit (ECSA)

3. Trusted Cloud - TÜV TRUST IT

4. CSA Security, Trust & Assurance Registry (STAR)

5. Certificate of Cloud Security Knowledge

6. Übersicht

4. Auditing Tools


17.02.2015


16



Zertifizierung

• Zertifizierung nach dem ISO 27001 Standard

• Spezielle Cloud Zertifikate

• EuroCloud Star Audit

• Trusted Cloud

• Register, Liste, Verzeichnis von Anbietern

• CSA Security, Trust & Assurance Registry

• Zertifizierung von Fachpersonal

• Certificate of Cloud Security Knowledge


1717.02.2015



ISO/IEC 27001

• internationaler Standard für Informationssicherheits-Managementsysteme

• Aufbau, Instandhaltung, Verbesserung von IT-Sicherheitsmanagements

• Einschätzung und Behandlung von Risiken

• für alle Unternehmen anwendbar

• unabhängig von Größe und Art

• nicht Cloud spezifisch


1817.02.2015



ISO/IEC 27001

• allgemeine Norm → auf Cloud System anwendbar

• Vorsicht! Sicherheitslücken?

• evt. wichtige Bereiche für Cloud Systeme nicht abgedeckt

• in Branche trotzdem anerkannt

• ISO stellt selbst keine Zertifikate aus

• Zertifizierung durch z.B. BSI in Deutschland

• oder selbst verkünden


1917.02.2015



ISO/IEC 27001

• Ablauf der Zertifizierung durch das BSI

1. Überprüfung des Dienstes durch BSI zertifizierten Auditor

• Sichtung aller notwendigen Dokumente, Protokolle, etc.

• Vor-Ort-Prüfung

2. Auditor erstellt Audit-Report

3. Report wird dem BSI zur Zertifizierung vorgelegt

4. BSI entscheidet ob Zertifikat vergeben wird


2017.02.2015



ISO/IEC 27001

• Inhalt der Norm


2117.02.2015



EuroCloud Star Audit (ECSA)

• wird seit 2011 ausgestellt

• Kriterien: Sicherheit, Infrastruktur, Anwendungen, Implementierung

• Fragenkatalog mit ca. 200 Fragen → (BSI)

• Fragebogen wird ausgewertet → persönliches Gespräch

• Besichtigung der Rechenzentren

• zweijährige Zertifizierung

• individuelle Bewertung (1-5 Sterne)


2217.02.2015



EuroCloud Star Audit (ECSA)

• optimal für Cloud-Computing Services zugeschnitten

• Zertifizierung von nur zwei Jahren

• gezwungen zur erneuten Überprüfung

• kontinuierliche Überprüfung → zuverlässige Sicherheit

• eher für mittelständiges Unternehmen

• aber auch Microsoft hat Interesse an Zertifizierung


2317.02.2015



Trusted Cloud - TÜV TRUST IT

• basiert auf z.B. ISO 27001, Bundesdatenschutzgesetz und Telekommunikationsgesetz

• 4 Bereiche:

• Organisatorische Sicherheit, technische Sicherheit, Qualität des Service-Managements und Compliance.

• Trust-Level (1-4) für jeden Bereich → Gesamtlevel

• 7 Stufen


2417.02.2015



Trusted Cloud - TÜV TRUST IT

• Bewertung des Service sofort für Nutzer/Kunde einsehbar

• Beispiele:

• Level 1: geeignet für unkritische/unsensible Daten

• Level 4: Provider unterliegt höchsten Sicherheitsstandards

• Zertifikat 3 Jahre gültig

• allerdings jährlicher Monitoring-Audit

• zum Vergleich: EuroCloud nur 2 Jahre und erneuter Audit erst nach Ablauf des Zertifikats


2517.02.2015



CSA Security, Trust & Assurance Registry (STAR)

• offenes Online-Verzeichnis

• Dokumentation der Sicherheit von Providern

• 3 Level:

• „Self-Assessment“: Selbsteinschätzung seines Services

• Mithilfe von Tool Unterstützung

• Oder Multiple-Choise Fragen (Consensus Assessments Initiative Questionnaire)

• „Certification/ Attestation“

• Zertifizierung durch „STAR Certificate“ basiert auf ISO 27001

• „Continuous“

• erst für 2015 geplant, Automatisierung des Security Audits


2617.02.2015



CSA Security, Trust & Assurance Registry (STAR)

Ein Blick in das Verzeichnis:

https://cloudsecurityalliance.org/star/#_registry


2717.02.2015

https://cloudsecurityalliance.org/star/#_registry



Certificate of Cloud Security Knowledge (CCSK)

• Zusammenarbeit zwischen CSA und ENISA

• Online-Test

• individuelles Wissen

• Sicherheit im Cloud Computing Bereich

• 90 Minuten, 60 zufällige Fragen, 80% richtig

• Bereiche: Verschlüsselung, Virtualisierung, Architektur, etc.

• Spezielle Trainings und Vorbereitungskurse

• Partner z.B.


2817.02.2015



Certificate of Cloud Security Knowledge (CCSK)

• gilt als Ausgangspunkt („Mutter“) der Cloud Security Zertifikate

• international anerkannt

• bestätigt Wissen über Risiken und Sicherheit

• anders als Zertifikate zuvor:

• zertifiziert eine Person kein IT-System


2917.02.2015



Übersicht

Anbieter ISO 27001EuroCloud Star

AuditCSA STAR

Microsoft Azure Ja Nein Ja

Microsoft

BPOS/365Ja geplant Ja

Google Apps Ja Nein Nein

Amazon AWS Ja Nein Ja


3017.02.2015



Inhalt

1. Einleitung

2. Grundlagen

3. Zertifizierung

4. Auditing Tools

1. CloudAudit (CSA)

2. ClouDAT


17.02.2015


31



Auditing Tools

• Was machen Auditing Tools eigentlich?

• Werkzeuge zur Unterstützung einer Überprüfung von Cloud Computing Services

• systematisches testen von Sicherheitsanforderungen

• Erstellung eines Berichtes


3217.02.2015



CloudAudit (CSA)

• noch laufendes Forschungsprojekt der CSA

• Ziel der Projekts:

• Tool welches den Audit Prozess automatisiert

• möglichst simpel

• Möglichkeit für Erweiterungen (Plug-Ins)

• Plattformunabhängig


3317.02.2015



CloudAudit (CSA)

• Tool auf HTTP-Basis

• aufgebaut wie ein(e) Verzeichnis(-struktur)

• muss durch Provider mit Inhalt gefüllt werden

• egal wie genau der Inhalt aussieht

• z.B. PDFs, Text-Dateien, URLs, Log-Files, „Firewall=true“, etc.

• Aufgabe des Tools: Daten auswerten und ausgeben ob Anforderungen aus Kontrollrahmen erfüllt werden


3417.02.2015



ClouDAT

• Forschungsprojekt (Beteiligung der TU-Dortmund)

• Ziel des Projekts:

• Open-Source-Tool zu Unterstützung von Sicherheitsanforderungen und Maßnahmen

• standardkonforme Dokumentation generieren

• Tool auf Basis von vorhandenen Open-Source-Tools

• Standardnotation: UML mit Erweiterungen wie UMLsec

• flexibel also individuelle anpassbar für Benutzer


3517.02.2015



ClouDAT

• Cloud Computing Anbieter können Analyse durchführen

• prüft ob die Umsetzung des Services den Sicherheitsanforderungen entspricht

• erzeugten Dokumente einem Auditor vorlegen

• Zertifizierung mit geringem Aufwand möglich

• Open-Source:

• Möglichkeit für Forschung und Lehre, individuell anpassbar,attraktiv für kleine und mittlere Unternehmen.


3617.02.2015



Inhalt

1. Einleitung

2. Grundlagen

3. Zertifizierung

4. Auditing Tools


17.02.2015


37



Fazit und Ausblick

• Zertifizierung in Bezug auf Sicherheit ein wichtiges Thema im Bereich Cloud Computing

• neue Zertifikate speziell für Cloud Computing

• EuroCloud STAR Audit, TÜV Trust IT Gütesiegel.

• Level direkt ablesbar

• CSA STAR

• offenes Online Verzeichnis / schnelle und einfache Aufnahme

• Certificate of Cloud Security Knowledge

• Zertifikat der individuellen Fachkompetenzen


3817.02.2015



Fazit und Ausblick

• ISO 27001 Norm

• nicht speziell für Cloud Computing

• unverzichtbar für Service Provider

• zuverlässiger Indikator für Sicherheit

• wird von der Industrie erwartet


3917.02.2015



Fazit und Ausblick

• Cloud Security Allinace (CSA)

• weltweit, führende Forschung

• CloudAudit, CCSK, STAR Certificate / Register

• USA -> NIST, Deutschland -> BSI

• bundesbehörden zuständig für Standards im Cloud Bereich

• EuroCloud

• übergeordnetes Netzwerk für Europa


4017.02.2015



Fazit und Ausblick

• Auditing wird versucht zu automatisieren

• bislang nur Forschungsprojekte

• CloudAudit (CSA), ClouDAT


4117.02.2015



Fazit und Ausblick

• Ausblick:

• Entscheident für die Zukunft ist die Entwicklung neuer Standards bzw. Umsetzung der bestehenden.

• Verteilung der Standards?

• EuroCloud STAR Audit für ganz Europa?

• oder doch lieber ein internationales nutzen?


4217.02.2015



VIELEN DANK


4317.02.2015

Documents

Cloud Computing Standards - rgse.uni-koblenz.de · • public, private, community und hybrid –Cloud • Servicemodelle: • Infrastructure as a Service (IaaS), Platform as a Service