Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Cloud Computing Standards
Jannis Fey
17.02.2015
Cloud Computing Standards - Jannis Fey
1
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Motivation
„In dieser Präsentation sollen Zertifikate und Ihre zugrundeliegenden Standards auf ihre Eignung für eine Zertifizierung von Cloud Computing Services betrachtet
werden.“
17.02.2015
Cloud Computing Standards - Jannis Fey
2
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Inhalt
1. Einleitung
2. Grundlagen
3. Zertifizierung
4. Auditing Tools
5. Fazit und Ausblick
17.02.2015
Cloud Computing Standards - Jannis Fey
3
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Einleitung
Cloud Computing Standards - Jannis Fey
417.02.2015
Spitzenlast anWeihnachten etc.
abschalten-> Kosten sparen
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Einleitung
• Flexibles, dynamisches System
• Risiken
• Zugangskontrolle
• Verschlüsselung
• etc.
• Lösung:
• Zertifizierung nach Standards
• speziell für Cloud Computing
Cloud Computing Standards - Jannis Fey
517.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Inhalt
1. Einleitung
2. Grundlagen
1. Cloud Computing
2. Zertifizierung
3. Auditing
4. Organisationen
3. Zertifizierung
4. Auditing Tools
5. Fazit und Ausblick
17.02.2015
Cloud Computing Standards - Jannis Fey
6
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Grundlagen
• Wie genau ist Cloud Computing definiert?
• Was bedeutet Zertifizierung eigentlich und was ist ein Zertifikat?
• Was versteht man unter dem begriff Auditing und was sind Auditing Tools?
• Welche Organisationen gibt es in diesem Bereich?
Cloud Computing Standards - Jannis Fey
717.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Cloud Computing
• Definition des BSI:
• „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. […] Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst […] unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“
• Liefermodelle:
• public, private, community und hybrid –Cloud
• Servicemodelle:
• Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS)
Cloud Computing Standards - Jannis Fey
817.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Zertifizierung
• Überprüfungsprozess auf bestimmte Anforderungen.
• Zertifikat = Nachweis über Einhaltung
• Zertifizierung von:
• Mitarbeiter (z.B. schriftliche Prüfung)
• Software (z.B. Qualität)
• komplette IT-Umgebung (z.B. Cloud Computing System)
• Beispiel: Zertifizierung nach dem IT-Grundschutz
Cloud Computing Standards - Jannis Fey
917.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Auditing
• Überprüfung von Softwareprojekten
• durch Auditor
• spezielle Audits für:
• Quellcode, Sicherheitsaspekte, Performance, etc.
• bei Cloud Computing ist ein Security-Audit notwendig
• Sicherheitslücke suchen -> Lösung finden
• Auditing-Tools
• Unterstützung des Audits (Automatisierung)
• z.B. Wireshark, etc.
Cloud Computing Standards - Jannis Fey
1017.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Organisationen
1. Cloud Security Alliance (CSA)
2. National Institute of Standards and Technology (NIST)
3. EuroCloud
4. Bundesamt für Sicherheit in der Informationstechnik (BSI)
17.02.2015
Cloud Computing Standards - Jannis Fey
11
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Cloud Security Alliance (CSA)
• internationale, non-Profit Organisation
• Ziel: Förderung von Standardisierung und Sicherheit
• geführt von Spezialisten aus Industrie, Verbänden, etc.
• aktive Forschung
• “Certificate of Cloud Security Knowledge”
• “CloudAudit”
Cloud Computing Standards - Jannis Fey
1217.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
National Institute of Standards and Technology (NIST)
• amerikanische Bundesbehörde für Standards
• viele Bereiche: z.B. Chemie, Physik, Logistik, Medizin, etc.
• große Beteiligung an Cloud Computing Standards
• (wie CSA) internationales Ansehen
• „NIST Cloud Computing Standards Roadmap“
• Definition, Lücken, Prioritäten der Standardisierung
• Bietet keine Zertifizierung an
Cloud Computing Standards - Jannis Fey
1317.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
EuroCloud
• unabhängig, non-profit Organisation für Europa
• gegliedert in zwei Stufen
• Haupt Organisation koordiniert lokale Komitees auf Länderebene
• Vorteil:
• jeder profitiert von jedem
• trotzdem noch unabhängig und eigenständig
Cloud Computing Standards - Jannis Fey
1417.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Bundesamt für Sicherheit in der Informationstechnik (BSI)
• nationale Sicherheitsbehörde
• zuständig für IT-Sicherheit in Deutschland
• Im Bereich Cloud Computing:
• Anwendern und Anbieter bei Problemen helfen
• eigenes Zertifikat scheint in Arbeit zu sein
• bisher nur Zertifizierung nach ISO 27001
• Eckpunktepapier mit relevanten Sicherheitsaspekten
• Leitfaden für Anbieter
Cloud Computing Standards - Jannis Fey
1517.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Inhalt
1. Einleitung
2. Grundlagen
3. Zertifizierung
1. nach ISO/IEC 27001
2. EuroCloud Star Audit (ECSA)
3. Trusted Cloud - TÜV TRUST IT
4. CSA Security, Trust & Assurance Registry (STAR)
5. Certificate of Cloud Security Knowledge
6. Übersicht
4. Auditing Tools
5. Fazit und Ausblick
17.02.2015
Cloud Computing Standards - Jannis Fey
16
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Zertifizierung
• Zertifizierung nach dem ISO 27001 Standard
• Spezielle Cloud Zertifikate
• EuroCloud Star Audit
• Trusted Cloud
• Register, Liste, Verzeichnis von Anbietern
• CSA Security, Trust & Assurance Registry
• Zertifizierung von Fachpersonal
• Certificate of Cloud Security Knowledge
Cloud Computing Standards - Jannis Fey
1717.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
ISO/IEC 27001
• internationaler Standard für Informationssicherheits-Managementsysteme
• Aufbau, Instandhaltung, Verbesserung von IT-Sicherheitsmanagements
• Einschätzung und Behandlung von Risiken
• für alle Unternehmen anwendbar
• unabhängig von Größe und Art
• nicht Cloud spezifisch
Cloud Computing Standards - Jannis Fey
1817.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
ISO/IEC 27001
• allgemeine Norm → auf Cloud System anwendbar
• Vorsicht! Sicherheitslücken?
• evt. wichtige Bereiche für Cloud Systeme nicht abgedeckt
• in Branche trotzdem anerkannt
• ISO stellt selbst keine Zertifikate aus
• Zertifizierung durch z.B. BSI in Deutschland
• oder selbst verkünden
Cloud Computing Standards - Jannis Fey
1917.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
ISO/IEC 27001
• Ablauf der Zertifizierung durch das BSI
1. Überprüfung des Dienstes durch BSI zertifizierten Auditor
• Sichtung aller notwendigen Dokumente, Protokolle, etc.
• Vor-Ort-Prüfung
2. Auditor erstellt Audit-Report
3. Report wird dem BSI zur Zertifizierung vorgelegt
4. BSI entscheidet ob Zertifikat vergeben wird
Cloud Computing Standards - Jannis Fey
2017.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
ISO/IEC 27001
• Inhalt der Norm
Cloud Computing Standards - Jannis Fey
2117.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
EuroCloud Star Audit (ECSA)
• wird seit 2011 ausgestellt
• Kriterien: Sicherheit, Infrastruktur, Anwendungen, Implementierung
• Fragenkatalog mit ca. 200 Fragen → (BSI)
• Fragebogen wird ausgewertet → persönliches Gespräch
• Besichtigung der Rechenzentren
• zweijährige Zertifizierung
• individuelle Bewertung (1-5 Sterne)
Cloud Computing Standards - Jannis Fey
2217.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
EuroCloud Star Audit (ECSA)
• optimal für Cloud-Computing Services zugeschnitten
• Zertifizierung von nur zwei Jahren
• gezwungen zur erneuten Überprüfung
• kontinuierliche Überprüfung → zuverlässige Sicherheit
• eher für mittelständiges Unternehmen
• aber auch Microsoft hat Interesse an Zertifizierung
Cloud Computing Standards - Jannis Fey
2317.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Trusted Cloud - TÜV TRUST IT
• basiert auf z.B. ISO 27001, Bundesdatenschutzgesetz und Telekommunikationsgesetz
• 4 Bereiche:
• Organisatorische Sicherheit, technische Sicherheit, Qualität des Service-Managements und Compliance.
• Trust-Level (1-4) für jeden Bereich → Gesamtlevel
• 7 Stufen
Cloud Computing Standards - Jannis Fey
2417.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Trusted Cloud - TÜV TRUST IT
• Bewertung des Service sofort für Nutzer/Kunde einsehbar
• Beispiele:
• Level 1: geeignet für unkritische/unsensible Daten
• Level 4: Provider unterliegt höchsten Sicherheitsstandards
• Zertifikat 3 Jahre gültig
• allerdings jährlicher Monitoring-Audit
• zum Vergleich: EuroCloud nur 2 Jahre und erneuter Audit erst nach Ablauf des Zertifikats
Cloud Computing Standards - Jannis Fey
2517.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
CSA Security, Trust & Assurance Registry (STAR)
• offenes Online-Verzeichnis
• Dokumentation der Sicherheit von Providern
• 3 Level:
• „Self-Assessment“: Selbsteinschätzung seines Services
• Mithilfe von Tool Unterstützung
• Oder Multiple-Choise Fragen (Consensus Assessments Initiative Questionnaire)
• „Certification/ Attestation“
• Zertifizierung durch „STAR Certificate“ basiert auf ISO 27001
• „Continuous“
• erst für 2015 geplant, Automatisierung des Security Audits
Cloud Computing Standards - Jannis Fey
2617.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
CSA Security, Trust & Assurance Registry (STAR)
Ein Blick in das Verzeichnis:
https://cloudsecurityalliance.org/star/#_registry
Cloud Computing Standards - Jannis Fey
2717.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Certificate of Cloud Security Knowledge (CCSK)
• Zusammenarbeit zwischen CSA und ENISA
• Online-Test
• individuelles Wissen
• Sicherheit im Cloud Computing Bereich
• 90 Minuten, 60 zufällige Fragen, 80% richtig
• Bereiche: Verschlüsselung, Virtualisierung, Architektur, etc.
• Spezielle Trainings und Vorbereitungskurse
• Partner z.B.
Cloud Computing Standards - Jannis Fey
2817.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Certificate of Cloud Security Knowledge (CCSK)
• gilt als Ausgangspunkt („Mutter“) der Cloud Security Zertifikate
• international anerkannt
• bestätigt Wissen über Risiken und Sicherheit
• anders als Zertifikate zuvor:
• zertifiziert eine Person kein IT-System
Cloud Computing Standards - Jannis Fey
2917.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Übersicht
Anbieter ISO 27001EuroCloud Star
AuditCSA STAR
Microsoft Azure Ja Nein Ja
Microsoft
BPOS/365Ja geplant Ja
Google Apps Ja Nein Nein
Amazon AWS Ja Nein Ja
Cloud Computing Standards - Jannis Fey
3017.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Inhalt
1. Einleitung
2. Grundlagen
3. Zertifizierung
4. Auditing Tools
1. CloudAudit (CSA)
2. ClouDAT
5. Fazit und Ausblick
17.02.2015
Cloud Computing Standards - Jannis Fey
31
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Auditing Tools
• Was machen Auditing Tools eigentlich?
• Werkzeuge zur Unterstützung einer Überprüfung von Cloud Computing Services
• systematisches testen von Sicherheitsanforderungen
• Erstellung eines Berichtes
Cloud Computing Standards - Jannis Fey
3217.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
CloudAudit (CSA)
• noch laufendes Forschungsprojekt der CSA
• Ziel der Projekts:
• Tool welches den Audit Prozess automatisiert
• möglichst simpel
• Möglichkeit für Erweiterungen (Plug-Ins)
• Plattformunabhängig
Cloud Computing Standards - Jannis Fey
3317.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
CloudAudit (CSA)
• Tool auf HTTP-Basis
• aufgebaut wie ein(e) Verzeichnis(-struktur)
• muss durch Provider mit Inhalt gefüllt werden
• egal wie genau der Inhalt aussieht
• z.B. PDFs, Text-Dateien, URLs, Log-Files, „Firewall=true“, etc.
• Aufgabe des Tools: Daten auswerten und ausgeben ob Anforderungen aus Kontrollrahmen erfüllt werden
Cloud Computing Standards - Jannis Fey
3417.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
ClouDAT
• Forschungsprojekt (Beteiligung der TU-Dortmund)
• Ziel des Projekts:
• Open-Source-Tool zu Unterstützung von Sicherheitsanforderungen und Maßnahmen
• standardkonforme Dokumentation generieren
• Tool auf Basis von vorhandenen Open-Source-Tools
• Standardnotation: UML mit Erweiterungen wie UMLsec
• flexibel also individuelle anpassbar für Benutzer
Cloud Computing Standards - Jannis Fey
3517.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
ClouDAT
• Cloud Computing Anbieter können Analyse durchführen
• prüft ob die Umsetzung des Services den Sicherheitsanforderungen entspricht
• erzeugten Dokumente einem Auditor vorlegen
• Zertifizierung mit geringem Aufwand möglich
• Open-Source:
• Möglichkeit für Forschung und Lehre, individuell anpassbar,attraktiv für kleine und mittlere Unternehmen.
Cloud Computing Standards - Jannis Fey
3617.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Inhalt
1. Einleitung
2. Grundlagen
3. Zertifizierung
4. Auditing Tools
5. Fazit und Ausblick
17.02.2015
Cloud Computing Standards - Jannis Fey
37
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Fazit und Ausblick
• Zertifizierung in Bezug auf Sicherheit ein wichtiges Thema im Bereich Cloud Computing
• neue Zertifikate speziell für Cloud Computing
• EuroCloud STAR Audit, TÜV Trust IT Gütesiegel.
• Level direkt ablesbar
• CSA STAR
• offenes Online Verzeichnis / schnelle und einfache Aufnahme
• Certificate of Cloud Security Knowledge
• Zertifikat der individuellen Fachkompetenzen
Cloud Computing Standards - Jannis Fey
3817.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Fazit und Ausblick
• ISO 27001 Norm
• nicht speziell für Cloud Computing
• unverzichtbar für Service Provider
• zuverlässiger Indikator für Sicherheit
• wird von der Industrie erwartet
Cloud Computing Standards - Jannis Fey
3917.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Fazit und Ausblick
• Cloud Security Allinace (CSA)
• weltweit, führende Forschung
• CloudAudit, CCSK, STAR Certificate / Register
• USA -> NIST, Deutschland -> BSI
• bundesbehörden zuständig für Standards im Cloud Bereich
• EuroCloud
• übergeordnetes Netzwerk für Europa
Cloud Computing Standards - Jannis Fey
4017.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Fazit und Ausblick
• Auditing wird versucht zu automatisieren
• bislang nur Forschungsprojekte
• CloudAudit (CSA), ClouDAT
Cloud Computing Standards - Jannis Fey
4117.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
Fazit und Ausblick
• Ausblick:
• Entscheident für die Zukunft ist die Entwicklung neuer Standards bzw. Umsetzung der bestehenden.
• Verteilung der Standards?
• EuroCloud STAR Audit für ganz Europa?
• oder doch lieber ein internationales nutzen?
Cloud Computing Standards - Jannis Fey
4217.02.2015
Proseminar Werkzeugunterstützung
für sichere SoftwareWintersemester 14/15
VIELEN DANK
Cloud Computing Standards - Jannis Fey
4317.02.2015