Eckpunktepapier Sicherheitsempfehlungen CloudComputing Anbieter

Eckpunktepapier

Sicherheitsempfehlungen fr Cloud Computing Anbieter Mindestanforderungen in der Informationssicherheit

CLOUD COMPUTING | INHALT

Inhaltsverzeichnis

Vorwort 3

Das BSI im Dienst der ffentlichkeit 5

1 Einleitung 8

1.1 Motivation 8 1.2 Zielsetzung 9 1.3 Adressatenkreis 10 1.4 Anwendungsweise 10 1.5 Thematische Abgrenzung der

BSI-Sicherheitsempfehlungen 11

2 Cloud Computing Grundlagen 14

2.1 Was ist Cloud Computing? 14 2.2 Was unterscheidet eine Public Cloud

von einer Private Cloud? 16 2.3 Welche verschiedenen Servicemodelle werden

im Cloud Computing angeboten? 17 2.4 Was unterscheidet Cloud Computing von

klassischem IT-Outsourcing? 18 2.5 Strategische Planung der Cloud Computing

Services durch den Nutzer 19

3 Sicherheitsmanagement beim Anbieter 23

4 Sicherheitsarchitektur 28

4.1 Rechenzentrumssicherheit 28 4.2 Server-Sicherheit 30 4.3 Netzsicherheit 32 4.4 Anwendungs- und Plattformsicherheit 34 4.5 Datensicherheit 37 4.6 Verschlsselung und Schlsselmanagement 39

5 ID- und Rechtemanagement 43

1

CLOUD COMPUTING | INHALT

6 Kontrollmglichkeiten fr Nutzer 47

7 Monitoring und Security Incident Management 49

8 Notfallmanagement 53

9 Portabilitt und Interoperabilitt 57

10 Sicherheitsprfung und -nachweis 60

11 Anforderungen an das Personal 63

12 Vertragsgestaltung 67

12.1 Transparenz 67 12.2 Service Level Agreement (SLA) 69

13 Datenschutz und Compliance 73

13.1 Datenschutz 73 13.2 Compliance 75

14 Ausblick 79

15 Glossar 82

16 Referenzen 86

17 Dankesworte 89

2

CLOUD COMPUTING | VORWORT

Vorwort

Minimierte Risiken beim Cloud Computing

Cloud Computing hat das Potential, die Bereitstellung und Nutzung von Informationstechnologie nachhaltig zu verndern. Damit IT-Dienstleistungen aus der Cloud jedoch zuverlssig genutzt werden knnen, ist die Informationssicherheit einer der Schlsselfaktoren. Um im Hinblick auf Sicherheit beim Cloud Computing eine tragfhige Basis zu schaffen, hat das Bundesamt fr Sicherheit in der Informationstechnik (BSI) im September 2010 einen praxisnahen Austausch angeregt. Sowohl Anbieter entsprechender Lsungen als auch deren Anwender sowie Sicherheitsexperten waren aufgerufen, das vom BSI verffentlichte Eckpunktepapier mit Mindestanforderungen an die Informationssicherheit beim Cloud Computing zu diskutieren.

Nicht nur die klassischen Angriffsszenarien sind fr Cloud-Systeme relevant. Hinzu kommen spezielle Charakteristika wie etwa die Tatsache, dass sich mehrere Nutzer eine gemeinsame IT-Infrastruktur teilen. Zudem stellt die dynamische Verteilung der IT-Leistung ber mehrere Standorte hinweg eine besondere Herausforderung dar.

Die zahlreichen Rckmeldungen der Branche auf diese BSI-Initiative haben gezeigt, dass sich der Ansatz einer gemeinsamen, praxisorientierten Diskussion von Anbietern und Anwendern bewhrt hat: Das Eckpunktepapier wurde von den Marktteilnehmern weitgehend positiv aufgenommen. Das belegen die zahlreichen Anfragen genauso wie die vielen konstruktiven Kommentare. Die Ergebnisse dieser Diskussion sind nun in dem vorliegenden Band dokumentiert.

Ziel des BSI ist es, gemeinsam mit den Beteiligten sinnvolle und angemessene Sicherheitsanforderungen an das Cloud Computing zu entwickeln, die einen Schutz von Informationen, Anwendungen und Systemen gewhrleisten. Diesem Ziel sind wir ein gutes Stck nher gekommen. Die im Folgenden beschriebenen Mindestanforderungen sind skalierbar in Richtung Verfgbarkeit und Vertraulichkeit. Sie bieten eine methodische Grundlage, um

3

CLOUD COMPUTING | VORWORT

einerseits weitere Aspekte integrieren zu knnen und um sie kontinuierlich an sich verndernde Gegebenheiten anzupassen. Andererseits bilden sie eine gute Basis in den Diskussionen auf internationaler Ebene. Internationale StandardsbildendieZertifizierungsgrundlagefrdieAspekteInteroperabilitt und Informationssicherheit. Erst auf dieser Basis wird sich fr Anwender die Mglichkeit erffnen, sich von den unterschiedlichen Cloud-Angeboten ein umfassendes, verlssliches Bild zu machen. Als nchsten Schritt planen wir, Cloud Computing in die IT-Grundschutz-Vorgehensweise des BSI einzuarbeiten.

Denn nur, wenn die entsprechenden Dienstleistungen auf hohem Sicherheitsniveau bereitgestellt werden, lassen sich die Potentiale von Cloud-LsungenwiehoheFlexibilittundEffizienz,aberauchsinkendeKosten bei der Bereitstellung und Nutzung von Informationstechnologie wirklich nutzen.

Ich wnsche Ihnen eine aufschlussreiche Lektre.

Michael Hange Prsident des Bundesamtes fr Sicherheit in der Informationstechnik

4

CLOUD COMPUTING | DAS BSI IM DIENST DER FFENTLICHKEIT

Das BSI im Dienst der ffentlichkeit

Das Bundesamt fr Sicherheit in der Informationstechnik wurde am 1. Januar 1991 mit Sitz in Bonn gegrndet und gehrt zum Geschftsbereich des Bundesministeriums des Innern.

Mit seinen derzeit rund 550 Mitarbeiterinnen und Mitarbeitern und 62 Mio. Euro Haushaltsvolumen ist das BSI eine unabhngige und neutrale Stelle fr alle Fragen zur IT-Sicherheit in der Informationsgesellschaft.

Als zentraler IT-Sicherheitsdienstleister des Bundes ist das BSI operativ fr den Bund, kooperativ mit der Wirtschaft und informativ fr den Brger ttig.

Durch die Grundlagenarbeit im Bereich der IT-Sicherheit bernimmt das BSI als nationale IT-Sicherheitsbehrde Verantwortung fr unsere Gesellschaft und ist dadurch eine tragende Sule der Inneren Sicherheit in Deutschland.

Ziel des BSI ist der sichere Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft. IT-Sicherheit soll als wichtiges Thema wahrgenommen und eigenverantwortlich umgesetzt werden. Sicherheitsaspekte sollen schon bei der Entwicklung von IT-Systemen und -Anwendungen bercksichtigt werden.

5

CLOUD COMPUTING | DAS BSI IM DIENST DER FFENTLICHKEIT

Das BSI wendet sich mit seinem Angebot an die Anwender und Hersteller von Informationstechnik. Zielgruppe sind die ffentlichen Verwaltungen in Bund, Lndern und Kommunen sowie Privatanwender und Unternehmen.

Das Eckpunktepapier zum Cloud Computing gibt einen kompakten berblick ber die wichtigsten organisatorischen, personellen, infrastrukturellen und technischen Informationssicherheitsmanahmen fr Cloud Computing Anbieter.

6

1 Einleitung

7

CLOUD COMPUTING | EINLEITUNG

1 Einleitung

1.1 Motivation

Das Thema Cloud Computing ist derzeit eines der am meisten diskutierten Themen in der Informationstechnik (IT). Hinter dem Begriff Cloud Computing stehen aber weniger neue Technologien, sondern deren Kombination und konsequente Weiterentwicklung ermglichen neue IT-Services und neue Geschftsmodelle.

Wie bei vielen neuen Techniken und Dienstleistungen werden auch beim Cloud Computing die Aspekte Informationssicherheit und Datenschutz intensiv diskutiert und durchaus kritischer beleuchtet als bei schon lnger vorhandenen Angeboten. Viele Umfragen und Studien zeigen, dass potentielle Kunden Bedenken bezglich Informationssicherheit und Datenschutz beim Cloud Computing haben, die einem verstrkten Einsatz entgegen stehen. Bei den Nutzern von Cloud-Angeboten muss noch das notwendige Vertrauen aufgebaut werden.

Das BSI hat daher Empfehlungen fr sicheres Cloud Computing erstellt, die sich zunchst an Cloud Service Provider (CSP) richten. CSPs haben die MglichkeitenunddiePflicht,Informationssicherheitineinemangemessenen Umfang umzusetzen. Das vorliegende Eckpunktepapier kann von CSPs als Richtschnur fr die Umsetzung von Sicherheitsmanahmen genutzt werden. Andererseits knnen Cloud-Nutzer, die sich mit den vorliegenden Empfehlungen beschftigen, die CSPs nach deren Umsetzung fragen. Der erste Schritt fr einen Cloud-Kunden sollte es jedoch immer sein, sich ber die Schutzbedrftigkeit der eigenen Daten und Anwendungen klar zu werden. Davon hngt im Wesentlichen ab, ob und unter welchen Rahmenbedingungen geschftsrelevante Daten und Anwendungen in die Cloud verlagert werden knnen.

Das Eckpunktepapier stellt einen berblick ber die wesentlichen Felder von Cloud Computing dar, in denen Sicherheit umgesetzt werden sollte. Nicht fr alle Cloud Services sind alle aufgefhrten Punkte gleich relevant. Da sich beispielsweise die Gefhrdungslage fr Private und Public Clouds in manchen Bereichen unterscheidet, mssen zum Teil auch andere Sicherheitsmanahmen umgesetzt werden.

8


DasvorliegendeDokumentbetrachtetnichtnurCloud-spezifischeAspekte, sondern richtet den Blick auch auf grundlegende Anforderungen der Informationssicherheit, da diese die Basis bilden, auf der alle Cloud-Dienste aufsetzen sollten. Die Empfehlungen wurden weitgehend abstrakt gehalten, ohne detaillierte Anweisungen fr deren Umsetzung zu geben. Dies wrde zum einen den Umfang des Dokuments sprengen und zum anderen lsst dies die Vielfltigkeit der Cloud-Angebote nicht zu. Die Bewertung der Sicherheit eines bestimmten Angebots muss daher immer auch individuell erfolgen.

1.2 Zielsetzung

Obwohl weltweit IT-Dienstleistungen aus der Wolke immer strker in Anspruch genommen werden, zeigen fast alle Umfragen und Studien, dass es auch eine Vielzahl von Bedenken gibt, die Anwender vor der Nutzung von Cloud Computing Diensten zurckschrecken lassen. Als eines der grten Hindernisse wird immer wieder mangelndes Vertrauen in die Sicherheit der bereitgestellten Services genannt. Als zentrale Stelle des BundesfrdieInformationssicherheitistesdemBSIwichtig,dieAufbauphase von Cloud Services aktiv mitzugestalten.

Primres Ziel des vorliegenden Eckpunktepapiers ist es, eine Grundlage fr die Diskussion zwischen CSPs und Cloud-Kunden zu bieten. Als weitergehendes Ziel soll dieses Papier die Grundlage bilden, um darauf aufbauendkonkreteEmpfehlungenfrUnternehmenundBehrdenzur Absicherung von Cloud Services zu erarbeiten. Das Eckpunktepapier ist ein erster Schritt in Richtung zur Schaffung von Standards, auf deren Basis die Sicherheit von Cloud Computing Plattformen berprft werden kann. Die im vorliegenden Papier formulierten Anforderungen werden auch knftig weiter diskutiert und, wo erforderlich, berarbeitet und auch weitergehende Details ausgearbeitet werden. Ziel ist es aber nicht, die Eckpunkte weiter zu konkretisieren. Diese sollen die jetzige Tiefe beibehalten, weitergehende Ausarbeitungen und Detaillierungen zum Themenbereich Cloud Computing werden allerdings im IT-Grundschutz einflieen,beispielsweiseinFormvonIT-Grundschutz-BausteinenoderKurzstudien. Geplant ist die Entwicklung von IT-Grundschutz-Bausteinen

9


sowohl fr die sichere Nutzung als auch fr die sichere Bereitstellung von Cloud-Diensten. Auerdem muss der BSI-Standard 100-2 zur Integration von Cloud-Aspekten in die IT-Grundschutz-Vorgehensweise angepasst werden, insbesondere im Bereich der Modellierung komplexer, virtualisierter Informationsverbnde.

1.3 Adressatenkreis

DasEckpunktepapierwendetsichanIT-affinePersonen,diemitderBereitstellung bzw. Nutzung von Cloud Services befasst sind. Die Themen der Informationssicherheit werden angerissen und setzen ein Grundverstndnis von Informationssicherheit auf technischer, infrastruktureller, personeller und organisatorischer Ebene voraus.

Die Empfehlungen wenden sich dabei in erster Linie an CSPs, die diese Dienste fr Unternehmen und Behrden zur Verfgung stellen, sowie an professionelle Anwender. Sie richten sich nicht unmittelbar an Privatanwender, die einzelne Cloud Services nutzen, knnen aber von diesen als Anregung in Sicherheitsfragen mit genutzt werden.

1.4 Anwendungsweise

Die im Folgenden aufgefhrten Punkte zeigen auf einem abstrakten Niveau auf, welche Sicherheitsmanahmen von einem CSP umzusetzen sind. Eine strukturierte Vorgehensweise und ein effektives Management der Informationssicherheit sind unabdingbare Voraussetzungen, um ein angemessenes Sicherheitsniveau in einem Unternehmen oder einer Behrde erfolgreich zu erzielen und aufrechtzuerhalten. Wie ein funktionierendes Managementsystem fr Informationssicherheit aufgebaut werden kann und was dies umfassen sollte, ist in einschlgigen Normen wie ISO 27001 oder dem BSI-Standard 100-2 zur IT-Grundschutz-Vorgehensweise beschrieben. Zum Schutz von Cloud Computing Diensten mssen auerdem die fr CloudComputingspezifischenGefhrdungenanalysiertundpassendeSicherheitsmanahmendagegenidentifiziertundumgesetztwerden.

10


1.5

Jeder CSP muss daher in einer Risikoanalyse ermitteln, welche Gefhrdungen fr die von ihm betriebenen Dienste aktuell und relevant sind, welche Auswirkungen diese haben knnen und wie die erkannten Risiken behandeltwerdensollen,beispielsweisedurchspezifischeSicherheitsmanahmen. In abgespeckter Form mssen auch Cloud-Nutzer die Risiken bewerten, die fr sie durch eine Verlagerung von Daten oder Anwendungen in die Cloud entstehen knnen. Die in diesem Eckpunktepapier vorgelegten Sicherheitsempfehlungen bilden ein Rahmenwerk, um die aus Sicht des BSI kritischen Bereiche beim Cloud Computing zu adressieren.

Bei der Risikobetrachtung steht ein CSP vor der Herausforderung, dass er den Wert bzw. den Schutzbedarf der Kundendaten meist im Vorfeld nicht kennt. Ein Ausweg wre, fr alle Kunden und ihre Daten ein hohes oder sehr hohes Schutzniveau anzubieten. Dies ist aber erfahrungsgem fr Daten mit einem normalen Schutzbedarf zu teuer. CSPs sollten das Thema Informationssicherheit frhzeitig gegenber ihren Kunden ansprechen. Informationssicherheit gehrt mit zu den wesentlichen Entscheidungsgrnden von Kunden, wenn es um die Auswahl von Cloud Service Anbietern und konkreter Cloud-Dienstleistungen geht. Daher sollten CSPs ihren Kunden darlegen, wie gut sie in puncto Informationssicherheit aufgestellt sind. Dazu gehrt, dass sie den Kunden aufzeigen, welche Sicherheitsmanahmen bei ihren Angeboten zum Standardumfang gehren und welche optional erhltlich sind, aber sie sollten die Kunden auch darauf hinweisen, welche Sicherheitsmanahmen diese selber ergreifen mssen.

Thematische Abgrenzung der BSI-Sicherheitsempfehlungen

In diesem Dokument liegt der Schwerpunkt auf Sicherheitsbetrachtungen der Cloud-basierten Verarbeitung von Informationen, die einen normalen bishohenSchutzbedarfhaben,wiez.B.firmenvertraulicheInformationen,schtzenswerte personenbezogene Daten. Die Festlegung des Schutzbedarfs von Informationen, Anwendungen und IT-Systemen orientiert sich an den Schutzbedarfskategorien nach IT-Grundschutz (siehe BSI-Standard 100-2 [1]). Der Schutz von Informationen, die als staatliche Verschlusssache eingestuft wurden, wird in diesem Dokument nicht explizit betrachtet.

11


Bei der Erstellung der Eckpunkte standen Vertraulichkeit und Verfgbarkeit als die zu schtzenden Grundwerte der Informationssicherheit im Vordergrund. Die Sicherheitsempfehlungen sind daher nach Vertraulichkeit und Verfgbarkeit unterteilt, whrend eine dezidierte Betrachtung nach dem Grundwert Integritt nicht vorgenommen wurde.

Die aufgefhrten Sicherheitsempfehlungen sind drei Kategorien zugeordnet:

Die Kategorie B (=Basisanforderung) umfasst die Basisanforderungen, die an jeden Cloud Service Anbieter gestellt werden.

Die Kategorie C+(=Vertraulichkeithoch,Confidentiality)umfasstzustzliche Anforderungen, wenn Daten mit einem hohen Schutzbedarf bezglich Vertraulichkeit verarbeitet werden sollen.

Die Kategorie A+ (=Verfgbarkeit hoch, Availability) umfasst zustzliche Anforderungen, wenn Dienstleistungen mit einem hohen Schutzbedarf bezglich Verfgbarkeitsbedarf in Anspruch genommen werden sollen.

In den Tabellen zur bersicht ber die Sicherheitsempfehlungen in den einzelnen Bereichen wird auerdem noch mit Pfeilen aufgezeigt, wie das BSI das Gefhrdungspotential in diesem Bereich fr Private bzw. Public Clouds einschtzt. Ein Pfeil nach rechts () symbolisiert ein durchschnittliches Gefhrdungspotential, ein Pfeil nach oben () bedeutet erhhtes Gefhrdungspotential.

Alle genannten Anforderungen gelten fr IaaS, PaaS und SaaS, soweit nicht anders vermerkt.

Aufgrund der dynamischen Entwicklungen im Bereich Cloud Computing wird es auch weiterhin erforderlich sein, die nachfolgend dargestellten Sicherheitsempfehlungen regelmig zu berprfen und anzupassen sowie unter Umstnden auch zustzliche Anforderungen hinzuzunehmen. Aktualisierte Versionen dieses Eckpunktepapiers werden auf dem BSI-Webserver www.bsi.bund.de verffentlicht.

12

2 Cloud Computing Grundlagen

13

CLOUD COMPUTING | CLOUD COMPUTING GRUNDLAGEN

2 Cloud Computing Grundlagen

2.1 Was ist Cloud Computing?

BisherkonntesichfrdenBegriffCloudComputingkeineDefinitionalsallgemeingltig durchsetzen. In Publikationen oder Vortrgen werden hufigDefinitionenverwendet,diesichzwarmeisthneln,aberdiedochimmerwiedervariieren.EineDefinition,dieinFachkreisenmeistherangezogenwird,istdieDefinitionderUS-amerikanischenStandardisierungsstelle NIST (National Institute of Standards and Technology) [2], die auch von der ENISA genutzt wird [3]:

Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und berallbequembereinNetzaufeinengeteiltenPoolvonkonfigurierbarenRechnerressourcen(z.B.Netze,Server,Speichersysteme,Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfgung gestellt werden knnen.

FolgendefnfEigenschaftencharakterisierengemderNIST-Definitioneinen Cloud Service:

On-demandSelfService:DieProvisionierungderRessourcen(z.B.Rechenleistung, Storage) luft automatisch ohne Interaktion mit dem Service Provider ab.

Broad Network Access: Die Services sind mit Standard-Mechanismen ber das Netz verfgbar und nicht an einen bestimmten Client gebunden.

Resource Pooling: Die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich viele Anwender bedienen knnen (Multi-Tenant Modell). Dabei wissen die Anwender nicht, wo die Ressourcen sich be-finden,sieknnenabervertraglichdenSpeicherort,alsoz.B.Region,Land oder Rechenzentrum, festlegen.

Rapid Elasticity: Die Services knnen schnell und elastisch zur Verfgung gestellt werden, in manchen Fllen auch automatisch. Aus Anwendersicht scheinen die Ressourcen daher unendlich zu sein.

14


Measured Services: Die Ressourcennutzung kann gemessen und berwacht werden und entsprechend bemessen auch den Cloud-Anwendern zur Verfgung gestellt werden.

DieseDefinitiongibtdieVisionvonCloudComputingwieder,wobeidavon abgesehen werden sollte, die einzelnen Punkte zu dogmatisch zu sehen.Sowirdz.B.eineubiquitreVerfgbarkeitbeiPrivateCloudseventuell gar nicht angestrebt.

Nach der Cloud Security Alliance (CSA) hat Cloud Computing neben der oben erwhnten Elastizitt und dem Self Service noch folgende Eigenschaften [4]:

Service orientierte Architektur (SOA) ist eine der Grundvoraussetzungen fr Cloud Computing. Die Cloud-Dienste werden in der Regel ber ein sogenanntes REST-API angeboten.

In einer Cloud-Umgebung teilen sich viele Anwender gemeinsame Ressourcen, die deshalb mandantenfhig sein muss.

Es werden nur die Ressourcen bezahlt, die auch tatschlich in Anspruch genommen wurden (Pay per Use Model), wobei es auch Flatrate-Modelle geben kann.

Begriffsdefinition

Um fr alle knftigen Arbeiten rund um Cloud Computing eine einheitlicheGrundlagezuhaben,hatdasBSIfolgendeDefinitionfrdenBegriffCloud Computing festgelegt:

Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen ber ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschlielich ber definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das

15


2.2

komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.B. Rechenleistung, Speicherplatz), Plattformen und Software.

In diesem Dokument wird der Begriff Cloud Computing entsprechend benutzt, wobei die von NIST und CSA aufgestellten Charakteristika stets im Hinterkopf zu halten sind. So ist eine einfache Webanwendung in der Regel kein Cloud Computing, obwohl dies von den Marketingabteilungen der Hersteller oft so bezeichnet wird.

Was unterscheidet eine Public Cloud von einer Private Cloud?

NIST unterscheidet vier Bereitstellungsmodelle (Deployment Models):

In einer Private Cloud wird die Cloud-Infrastruktur nur fr eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und gefhrt werden und kann dabei im Rechenzentrum der eigenen Institution oder einer fremden Institution stehen.

Von einer Public Cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer groen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden knnen und die Services von einem Anbieter zur Verfgung gestellt werden.

In einer Community Cloud wird die Infrastruktur von mehreren Institutionen geteilt, die hnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden.

Werden mehrere Cloud Infrastrukturen, die fr sich selbst eigenstndig sind, ber standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloud genannt.

DieobengenanntenDefinitionendeckenabernichtalleVariantenvonCloudAngebotenab,waszuweiterenDefinitionenwieVirtualPrivateCloud, etc. fhrt. Whrend bei einer Private Cloud, bei der im Prinzip Anbieter und Nutzer identisch sind, der Nutzer die komplette Kontrolle ber

16


2.3

die genutzten Services hat, bertrgt der Nutzer bei einer Public Cloud die Kontrolle an den Cloud Computing Anbieter.

Im Weiteren wird in diesem Dokument nur zwischen Private Cloud und PublicCloudunterschieden,diegemderobigenDefinitiondieganze Spannbreite der Cloud-Bereitstellungsmodellen darstellen. Bei allen Modellen, die zwischen diesen beiden Extremen liegen, muss hinterfragt werden,obdieGefhrdungenz.B.durchgemeinsamgenutzteInfrastrukturen eher denen einer Private Cloud oder einer Public Cloud hneln.

Welche verschiedenen Servicemodelle werden im Cloud Computing angeboten?

Grundstzlich knnen drei verschiedene Kategorien von Servicemodellen unterschieden werden:

1. Infrastructure as a Service (IaaS) BeiIaaSwerdenIT-Ressourcenwiez.B.Rechenleistung,Datenspeicheroder Netze als Dienst angeboten. Ein Cloud-Kunde kauft diese virtualisierten und in hohem Ma standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Kundez.B.Rechenleistung,ArbeitsspeicherundDatenspeicheranmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen.

2. Platform as a Service (PaaS) Ein PaaS-Provider stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf der Plattform standardisierte Schnittstellen an, die von DienstendesKundengenutztwerden.SokanndiePlattformz.B.Mandantenfhigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe, etc. als Service zur Verfgung stellen. Der Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, fr deren Entwicklung der CSP in der Regel eigene Werkzeuge anbietet.

17


2.4

3. Software as a Service (SaaS) Smtliche Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt.

DerBegriffasaServicewirdnochfreineVielzahlweitererAngebotebenutzt,wiez.B.frSecurityasaService,BPasaService(BusinessProcess),StorageasaService,sodasshufigauchvonXaaSgeredetwird,also irgendwas als Dienstleistung. Dabei lassen sich die meisten dieser Angebote zumindest grob einer der obigen Kategorien zuordnen.

DieServicemodelleunterscheidensichauchimEinflussdesKundenaufdie Sicherheit der angebotenen Dienste. Bei IaaS hat der Kunde die volle Kontrolle ber das IT-System vom Betriebssystem aufwrts, da alles innerhalb seines Verantwortungsbereichs betrieben wird, bei PaaS hat er nur noch Kontrolle ber seine Anwendungen, die auf der Plattform laufen, und bei SaaS bergibt er praktisch die ganze Kontrolle an den CSP.

Was unterscheidet Cloud Computing vom klassischen IT-Outsourcing?

Beim Outsourcing werden Arbeits-, Produktions- oder Geschftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Dies ist ein etablierter Bestandteil heutiger Organisationsstrategien. Das klassische IT-Outsourcing ist meist so gestaltet, dass die komplette gemietete Infrastruktur exklusiv von einem Kunden genutzt wird (Single Tenant Architektur), auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. Zudem werden Outsourcing-Vertrge meistens ber lngere Laufzeiten abgeschlossen.

Die Nutzung von Cloud Services gleicht in vielem dem klassischen Outsourcing, aber es kommen noch einige Unterschiede hinzu, die zu bercksichtigen sind:

18


2.5

Aus wirtschaftlichen Grnden teilen sich in einer Cloud mehrere Nutzer eine gemeinsame Infrastruktur.

Cloud Services sind dynamisch und dadurch innerhalb viel krzerer Zeitrume nach oben und unten skalierbar. So knnen Cloud-basierte Angebote rascher an den tatschlichen Bedarf des Kunden angepasst werden.

Die Steuerung der in Anspruch genommenen Cloud-Dienste erfolgt in der Regel mittels einer Webschnittstelle durch den Cloud-Nutzer selbst. So kann der Nutzer automatisiert die genutzten Dienste auf seine Bedrfnisse zuschneiden.

Durch die beim Cloud Computing genutzten Techniken ist es mglich, die IT-Leistung dynamisch ber mehrere Standorte zu verteilen, die geographisch weit verstreut sein knnen (Inland ebenso wie Ausland).

Der Kunde kann die genutzten Dienste und seine Ressourcen einfach berWeb-OberflchenoderpassendeSchnittstellenadministrieren,wobei wenig Interaktion mit dem Provider erforderlich ist.

Strategische Planung der Cloud Computing Services durch den Nutzer

Bevor geschftskritische Informationen oder Anwendungen in die Cloud ausgelagert werden, muss vorher eine Cloud-Strategie festgelegt werden, in der die wesentlichen Rahmenbedingungen geklrt werden. Dazu muss immer eine individuelle Sicherheitsanalyse fr die auszulagernden Informationen oder Anwendungen durchgefhrt werden. In der Cloud-Strategie ist unter anderem festzuhalten, wie die IT-Struktur aussieht (z. B. bei IaaS), wie bestehende IT-Systeme oder Geschftsprozesse abgegrenzt und getrennt werden knnen, wie alle betrieblichen und rechtlichen Rahmenbedingungen aussehen und wie der Schutzbedarf der auszulagernden Informationen oder Anwendungen ist.

19


Typischerweise haben CSPs zwar ihre Angebote auf bestimmte Arten von Informationen oder Anwendungen zugeschnitten. Dabei stehen sie aber vorderHerausforderung,dasssiedenspezifischenSchutzbedarfderKundendaten nicht kennen. Sie knnten fr alle Kundendaten ein hohes oder sehr hohes Schutzniveau anbieten, aber das drfte fr Daten mit einem normalen Schutzbedarf zu teuer sein.

Um jedem Cloud-Kunden einen Service anbieten zu knnen, der KundenausverschiedenenBereichensowohlfunktionalalsauchfinanziellberzeugt, sollten CSPs frhzeitig Informationssicherheit gegenber den Cloud-Kunden thematisieren. CSPs sollten ihren Kunden darlegen, welche Sicherheitsmanahmen bei ihren Angeboten zum Standardumfang gehren, welche zustzlich zugekauft werden knnen und fr welche Sicherheitsmanahmen die Kunden selbst verantwortlich sind. Dies hilft auch, Missverstndnissen vorzubeugen. So werden hohe Schden, die von Zwischenfllen wie Datenverlusten verursacht werden, oft dem CSP angelastet, obwohl es der Cloud-Kunde war, der nicht fr ausreichende Sicherheit seiner Daten gesorgt hatte, weil er ein zu niedriges Schutzniveau gewhlt hat bzw. ein zu hohes Risiko eingegangen ist.

Deshalb ist es auch fr den CSP essentiell, dass der Cloud-Kunde den Schutzbedarf der ausgelagerten Informationen oder Anwendungen kennt bzw. sich im Klaren ber das gebotene Schutzniveau ist. So kann der CSP dem Kunden auch mgliche Sicherheitsvorteile deutlich machen, die sich durch die Nutzung von Cloud-Diensten ergeben knnen.

Schon im Rahmen der strategischen Entscheidung, ob und in welcher Form ein Cloud Service eingesetzt wird, mssen daher die sicherheitsrelevanten Rahmenbedingungen vom Nutzer vorher herausgearbeitet werden. Dies gilt ebenso fr Public wie fr Private Clouds, und dort genauso jeweilsfrIaaS,PaaSundSaaS.Hierzugehrenu.a.folgendeSchritte:

StrukturanalysevonIT-Systemen(z.B.beiIaaS)undAnwendungen,umeineAbgrenzungzuermglichenundalleSchnittstellenzuidentifizieren

20


Durchfhrung einer Schutzbedarfsfeststellung fr Informationen, Anwendungen und IT-Systeme

Eingliederung der Informationen, Anwendungen, Systeme und Cloud Services in Schutzbedarfskategorien

Klrung der betrieblichen und rechtlichen Rahmenbedingungen

FestlegungderspezifischenSicherheitsanforderungenanCSPs

So kann der Cloud-Kunde entscheiden, welches Sicherheitsniveau er bei Cloud-Diensten bentigt und einfordern muss.

21

3 Sicherheitsmanagement beim Anbieter

22

CLOUD COMPUTING | SICHERHEITSMANAGEMENT BEIM ANBIETER

-

3 Sicherheitsmanagement beim Anbieter

Abbildung 1 zeigt eine Referenzarchitektur, die grob die Komponenten darstellt, die vielen Cloud Computing Plattformen gemeinsam sind. Diese Referenzarchitektur dient als Diskussionsgrundlage fr die nachfolgenden Eckpunkte. Die vorgestellte Referenzarchitektur bercksichtigt die AnregungenhnlicherReferenzarchitekturen,wiesiez.B.vonNIST[5],IBM[6]und der Cloud Computing Use Cases Group [7] verwendet werden.

Servicekon

sumen

t

PaaS

Hardware

Infrastruktur

SaaS

laaS

Abstraktions schicht

Reporting

SLAs

Abrechnung

Monitoring

Provisionierung

Daten

schu

tz

Inform

ationssich

erhe

it

Management

Cloud Service Provider

Abbildung 1: Referenzarchitektur fr Cloud Computing Plattformen

Eine genaue Betrachtung der zugrunde gelegten Referenzarchitektur zeigt, dass ein Provider zur Erbringung von Cloud Services eine Vielzahl von Aufgabenerledigenmuss.ZudentypischenAufgabeneinesPublicCSPzhlenu.a.:

die Bereitstellung eines Service-Katalogs zur Beschreibung der angebotenen Dienste,

dieProvisionierungbzw.De-ProvisionierungvonRessourcenwiez.B.virtuellen Maschinen, Load Balancern, virtuellen Datenspeichern, IP-und MAC-Adressen und

23


die fr den Kunden nachvollziehbare Abrechnung der in Anspruch genommenen Services.

Eine andere wichtige Aufgabe ist die berwachung der bereitgestellten Dienste, um die garantierte Dienstgte einhalten zu knnen. Diese berwachung luft permanent. Etwaige Strungen oder Ausflle von Ressourcenz.B.Virtualisierungsserver,virtuelleMaschine,Load-Balancer,etc. mssen zeitnah erkannt werden, so dass entsprechende Gegenmanahmen schnellstmglich eingeleitet werden knnen. Weitere Aufgaben neben dem Sicherheitsmanagement, die blicherweise zum Repertoire eines CSP gehren, sind:

Patch- und nderungsmanagement

Konfigurationsmanagement

Netzmanagement

System Management

Application Management

Reporting

Die Komplexitt und Vielzahl der oben beschriebenen Aufgaben erfordert eine strukturierte Herangehensweise. Insofern sollte jeder CSP standardisierte Vorgehensmodelle wie ITIL oder COBIT einsetzen, die als Orientierung bei der Umsetzung von IT-Prozessen dienen knnen.

Vertrauen in den CSP und seine Angebote wird derzeit als wesentliche Motivation genannt, wenn nach den Grnden gefragt wird, warum sich Anwender fr oder gegen Cloud-Angebote entscheiden. Vertrauen basiert auf der Einschtzung, ob ein Anbieter alle Risiken ausreichend, angemessen und nachhaltig abgedeckt hat, sowohl diejenigen aus dem Bereich der Informationssicherheit als auch aus Bereichen wie Datenschutz, Technik und Recht.

24


Fr ein zuverlssiges und sicheres Cloud Computing ist als Grundlage ein effizientesManagementderInformationssicherheit(InformationSecurityManagement System, ISMS) auf Seiten des CSP unerlsslich. Das BSI empfiehlt,sichfrAufbauundBetriebeinesISMSanISO27001/2oderbevorzugt am BSI-Standard 100-2 zur IT-Grundschutz-Vorgehensweise (derISO27001/2abdeckt)zuorientieren.

Wesentliche Bestandteile eines ISMS sind eine funktionierende Sicherheitsorganisation und ein Informationssicherheitskonzept als Werkzeuge des Managements zur Umsetzung der Sicherheitsstrategie. Ein CSP sollte die Sicherheitsorganisation nutzen, um hierber geeignete Ansprechpartner fr seine Kunden zu benennen, die Sicherheitsfragen der Kunden beantworten knnen. Informationssicherheit ist ein Prozess und sollte daher im Sinne eines PDCA-Zyklus (Plan-Do-Check-Act) fortlaufend weiterentwickelt werden.

Damit CSPs nachweisen knnen, dass sie auch bei hohem Schutzbedarf bezglich Vertraulichkeit und Verfgbarkeit ausreichend Sicherheit gewhrleisten,isteineZertifizierungdesInformationssicherheitsmanagementssinnvoll.VorzugsweisesolltenCSPsnachISO27001aufBasisvonIT-Grundschutz,ISO27001odereinemanderenetabliertenStandardzertifiziertsein.

25


Hinweis: Hier und im Folgenden sind die aufgefhrten Sicherheitsempfehlungen danach unterteilt, ob sie sich an Private oder Public Clouds richten und sind jeweils drei Kategorien zugeordnet. Dabei steht:

B fr Basisanforderung (richtet sich an jeden Cloud Service Anbieter),

C+(=Vertraulichkeithoch,Confidentialityhigh)umfasstzustzlicheAnforderungen fr Bereiche mit hohem Schutzbedarf bei Vertraulichkeit,

A+ (=Verfgbarkeit hoch, Availability high) umfasst zustzliche Anforderungen fr Bereiche mit hohem Verfgbarkeitsbedarf.

Ein Pfeil nach rechts () symbolisiert ein durchschnittliches Gefhrdungspotential, ein Pfeil nach oben () erhhtes Gefhrdungspotential bei Private oder Public Clouds.

Sicherheitsmanagement beim Anbieter Private

B C+ A+

Public B C+ A+

DefiniertesVorgehensmodellfralleIT-Prozesse(z.B.nachITIL,COBIT)

Implementation eines anerkannten Informations

sicherheits-Managementsystems(z.B.nachBSIStandard100-2(IT-Grundschutz),ISO27001)

Nachhaltige Umsetzung eines Informationssicher

heitskonzepts fr die Cloud

Nachweis einer ausreichenden Informationssicher

heit(Zertifizierung)

Angemessene Organisationsstruktur fr Informati

onssicherheit beim CSP (inklusive Benennung von

Ansprechpartnern fr Kunden zu Sicherheitsfragen)

26

4 Sicherheitsarchitektur

27

CLOUD COMPUTING | SICHERHEITSARCHITEKTUR

4.1

4 Sicherheitsarchitektur

Soll eine Cloud Computing Plattform wirksam abgesichert werden, mssen alle Aspekte betrachtet werden, die die Vertraulichkeit, Integritt und Verfgbarkeit der dort gespeicherten Informationen gefhrden knnen. Neben einem gut strukturierten Vorgehensmodell fr alle IT-Prozesse sindinsbesonderederAufbaueinerSicherheitsarchitekturzumSchutzder Ressourcen (Mitarbeiter, Gebude, Netze, IT-Systeme, Anwendungen, Daten, etc.) und eine sichere Isolierung der Mandanten wichtig. Eine robuste Trennung der Kunden auf allen Ebenen des Cloud Computing Stacks (Anwendung, Server, Netze, Storage, etc.) ist eine der grundlegenden Anforderungen, die jede Cloud Computing Plattform erfllen sollte. Diese Anforderung gilt gleichermaen fr Public Clouds wie auch fr PrivateClouds.BeimAufbaueinersolidenSicherheitsarchitekturfrCloudComputing sollten die im Folgenden beschriebenen Aspekte betrachtet werden.

Rechenzentrumssicherheit

Rechenzentren sind die technische Basis von Cloud Computing. Insofern ist es wichtig, dass jeder CSP die Sicherheit seiner Anlagen nach dem aktuellen Stand der Technik gewhrleistet. Dazu zhlen eine permanente berwachung der Zugnge, etwa durch Videoberwachungssysteme, Bewegungssensoren, Alarmsysteme und geschultes Sicherheitspersonal. Versorgungskomponenten, die fr den Betrieb unverzichtbar sind, sollten redundant ausgelegt sein, so zum Beispiel die Stromversorgung, Klimatisierung und Internet-Anbindung. Auch zeitgeme Vorkehrungen fr den Brandschutz mssen umgesetzt sein und regelmig getestet werden. Ein Rechenzentrum sollte insgesamt einen Sicherheitsbereich bilden, der sowohl ausreichendvorElementarschden,z.B.durchGewitteroderHochwasser,alsauch vor unbefugtem Eindringen schtzt. Fordert ein Kunde eine besonders hohe Verfgbarkeit seiner Dienste, sollte der CSP auerdem Kapazitten in Ausweich- bzw. Redundanz-Rechenzentren vorhalten, so dass diese den Ausfall eines anderen Rechenzentrums kompensieren knnen. Die Rechenzentrensolltengeografischsoweitvoneinanderentferntliegen,dasseinbeherrschbaresSchadensereigniswiez.B.Feuer,Explosion,UnflleimStraen-, Schienen-, Wasser- oder Luftverkehr oder Naturkatastrophen mit

28


begrenzter Breitenwirkung wie ein Flusshochwasser nicht gleichzeitig das ursprnglich genutzte Rechenzentrum und das, in dem die Ausweichkapazitten genutzt werden, beeintrchtigen.

Im Bereich SaaS betreiben viele Anbieter keine eigene Infrastruktur. Ist dies der Fall, mssen die hier gestellten Anforderungen von den Subunternehmen, auf die der SaaS-Anbieter zugreift, hier also den Rechenzentrums-Betreibern, erfllt werden.

Rechenzentrumssicherheit Private

B C+ A+

Public B C+ A+

Redundante Auslegung aller wichtigen Versorgungskomponenten (Strom, Klimatisierung der RZ, Internetanbindung, Verkabelung, etc.)

berwachung des Zutritts: Zutrittskontrollsystem, Videoberwachungssysteme, Bewegungssensoren, Sicherheitspersonal, Alarmsysteme, etc.

Zwei-Faktor-Authentisierung fr den Zutritt ins Rechenzentrum

Brandschutz: Brandmeldeanlage, Brandfrherkennung, geeignete Lschtechnik, regelmige Brandschutzbungen

Robuste Infrastruktur, die ausreichenden Widerstand gegen Elementarschden und unbefugtes Eindringen bietet

Redundante Rechenzentren, die mindestens so weit voneinander entfernt sind, dass ein beherrschbares Schadensereignis nicht gleichzeitig das ursprnglich genutzte Rechenzentrum und das, in dem die Ausweichkapazitten genutzt werden, beeintrchtigen

29


4.2 Server-Sicherheit

Die Server stellen die Umgebung dar, auf der die Prozesse und deren Berechnungen zur Ausfhrung kommen. Daher sollten die auf den Servern eingesetzten Betriebssysteme so gehrtet sein, dass sie mglichst wenig Angriffsflchenbieten.DazusolltenschonbeiderGrundinstallationnur die notwendigen Software-Pakete eingespielt und nicht bentigte Programme und Dienste abgeschaltet oder besser deinstalliert werden. Darber hinaus sollten Standardmanahmen zum Schutz von IT-Systemen, wie etwa Host Firewalls, Host-based Intrusion Detection Systems, etc. umgesetzt und regelmig Integrittsberprfungen wichtiger Systemdateien durchgefhrt werden. Host-based Intrusion Detection Systems sind dadurch gekennzeichnet, dass sie auf dem zu berwachenden IT-System betrieben werden. Sie werden typischerweise eingesetzt, um Angriffe zu erkennen, die auf Anwendungs- oder Betriebssystemebene durchgefhrt werden. Beispiele fr derartige Angriffe sind Rechteberschreitungen von Nutzern, Login-Fehlversuche oder Schadsoftware wie Trojanische Pferde.

Die technischen Grundlagen fr eine zuverlssige und sichere Bereitstellung sowie Nutzung von Cloud-Diensten bilden eine Breitbandanbindung, standardisierte und weitverbreitete bertragungsprotokolle, eine serviceorientierte Architektur und vor allem Virtualisierung.

Fr die Servervirtualisierung setzen die Anbieter unterschiedliche Hypervisoren ein. Der Hypervisor ist die zentrale Komponente der Servervirtualisierung, die den Zugriff auf die gemeinsam genutzten Ressourcen steuert. Angriffe auf den Hypervisor sind bisher bis auf wenige Ausnahmen nicht in der freien Wildbahn aufgetaucht [8], sondern wurden nur theoretisch oder als Proof-of-Concept beschrieben. Sollte aber ein Angriff gelingen, so sind die Auswirkungen verheerend. Ein Angriff auf den Hypervisor kann beispielsweise durch die Manipulation von CPU-Registern, die die Virtualisierungsfunktionen steuern, durchgefhrt werden. Fehler in der Implementierung der Ressourcen, die den virtuellen Maschinen (VMs) durch den Hypervisor zur Verfgung gestellt werden, knnen ebenfalls zu einer Kompromittierung des Hypervisors fhren. InsofernsolltenCSPs,dieServervirtualisierungeinsetzen,aufzertifizierteund

30


gehrtete Hypervisoren zurckgreifen. Zur Hrtung der Hypervisoren sollten dieEmpfehlungenzursicherenKonfigurationvonVirtualisierungsservern,dievon den Herstellern verffentlicht werden, herangezogen werden. Grundlage derZertifizierungsolltendieweltweitabgestimmtenGemeinsamenKriterienfr die Prfung und Bewertung der Sicherheit von Informationstechnik oder kurzCommonCriteriasein.AlsPrftiefesolltebeiderZertifizierungmindestensVertrauenswrdigkeitsstufeEAL4erreichtwordensein.

Bei Angeboten der Form IaaS-Compute werden den Kunden virtuelle MaschinenzurVerfgunggestellt,z.B.bereineWebschnittstelle.ZurAbsicherung der virtuellen Maschinen ist es hilfreich, wenn der Iaas-Anbieter seinen Kunden Richtlinien zur Hrtung der virtuellen Maschinen an die Hand gibt. Auerdem sollte es den Kunden mglich sein, eigene Images fr die virtuellen Maschinen hochzuladen oder qualittsgesicherte Images vom Provider zu beziehen.

Server-Sicherheit Private

B C+ A+

Public B C+ A+

Technische Manahmen zum Schutz des Hosts (Host Firewalls, regelmige Integrittsberprfungen, Host-based Intrusion Detection Systems)

SichereGrund-KonfigurationdesHosts(z.B.Einsatz gehrteter Betriebssysteme, Deaktivierung unntiger Dienste, etc.)

Mglichkeit, fr Kunden eigene Images fr virtuelle Maschinen einzusetzen oder qualittsgesicherte Images des Providers zu nutzen (nur bei IaaS)

SichereDefault-KonfigurationdesGastbetriebssystems durch den Einsatz gehrteter Betriebssysteme, Deaktivierung unntiger Dienste, etc. (nur bei PaaS/SaaS)

EinsatzzertifizierterHypervisoren(CommonCriteria mindestens EAL 4)

31


4.3

PaaS- oder SaaS-Anbieter, die auf Servervirtualisierung zurckgreifen, wie z.B.MicrosoftmitderWindowsAzurePlattform,solltenauchdieSicherheit der Gastbetriebssysteme gewhrleisten.

Netzsicherheit

In der Vergangenheit sind Cloud Computing Plattformen vielfach missbraucht worden, um dort Schadprogramme abzulegen, um ber diese Spam zu versenden, um deren Rechenleistung zu nutzen, um Passwrter durch Brute-Force-Angriffe zu knacken oder um auf diesen Command and Control Server (C&C Server) zur Steuerung von Bots zu verstecken. Um solche und hnliche Angriffe bzw. den Missbrauch der Ressourcen zu verhindern, sollte jeder CSP wirksame Sicherheitsmanahmen zur Abwehr netzbasierter Angriffe umsetzen. Zustzlich zu gngigen IT-Sicherheitsmanahmen wie Virenschutz, Trojaner-Detektion, Spam-Schutz, Firewalls,ApplicationLayerGateway,IDS/IPS-Systeme,sollteinsbesondere auch darauf geachtet werden, dass jegliche Kommunikation zwischen CSP und Kunden sowie zwischen den Standorten des Anbieters verschlsselt ist. Sind zur Erbringung der Services Drittdienstleister notwendig, dann ist die Kommunikation mit ihnen auch zu verschlsseln.

Aufgrund der Konzentration der Ressourcen in zentralisierten Rechenzentren ist ein besonders fr Public Cloud Computing Plattformen gefhrlicher Angriff die Ausfhrung von Distributed Denial of Service-Angriffen (DDoS-Angriffen). Nach einem Bericht von Arbor Networks, einem Anbieter von Sicherheitslsungen, erreichen DDoS-Angriffe (wie beispielsweise die DNS Amplification/ReflectionAttack)mittlerweileenormeBitraten(ber100Gbps) [9]. Ein Standard-Backbone ist fr eine weit geringere Datenrate ausgelegt. Folglich knnen viele CSPs DDoS-Angriffe mit hohen Datenraten kaum abwehren. Dies kann gravierende Folgen sowohl fr das eigentliche Opfer als auch andere angeschlossene Kunden haben. Vor diesem Hintergrund sollte jeder Public CSP ber geeignete Manahmen zur Abwehr von DDoS (DDoS-Mitigation) verfgen. Aufgrund der Tatsache, dass viele CSPs DDoS-Angriffe mit hohen Datenraten selbst kaum abwehren knnen, bietet es sich an, solche Mitigation-Dienste ber grere Internet Service Provider (ISPs)

32


einzukaufen und deren Nutzung in Vertrgen zu regeln. Darber hinaus sollten auch Manahmen implementiert werden, um interne DDoS-Angriffe von Cloud-Kunden auf andere Cloud-Kunden erkennen zu knnen.

DieFehlkonfigurationeinesSystemsisthufigdieUrsachefrerfolgreiche Angriffe. Da Cloud Computing Plattformen aus vielen verschiedenen Komponenten bestehen, ergibt sich eine hohe Komplexitt der Gesamtkonfiguration.DasnderneinesKonfigurationsparametersbeieinerKomponente(z.B.Virtualisierungsserver)kannimZusammenspielmitdenanderenKomponenten(z.B.NetzoderStorage)zuSicherheitslcken,Fehlfunktionenund/oderAusfllenfhren.DahermssendieeingesetztenKomponentensicherundsorgfltigkonfiguriertwerden.AuchsolltejederCSP auf eine geeignete Netzsegmentierung achten, damit Fehler sich nicht beliebig ausbreiten knnen. Hier bietet es sich an, abhngig vom Schutzbedarf unterschiedliche Sicherheitszonen innerhalb des Provider-Netzes zu definierenundeinzurichten.Beispielehierfrsind:

Sicherheitszone fr das Management der Cloud

Sicherheitszone fr die Live Migration, falls Servervirtualisierung eingesetzt wird

Sicherheitszone fr das Storage-Netz

Eigene Sicherheitszonen fr die virtuellen Maschinen eines Kunden bei IaaS

Das Management-Netz des CSP sollte vom Datennetz isoliert sein.

Wird die Cloud-Infrastruktur bzw. werden die Cloud Services fernadministriert,somussdiesbereinensicherenKommunikationskanal(z.B.SSH,IPSec,TLS/SSL,VPN)erfolgen.

Hat ein Servicekonsument besonders hohe Anforderungen an die Verfgbarkeit der in Anspruch genommenen Dienste, sollten die Standorte des CSP redundant untereinander vernetzt sein.

33


Netzsicherheit Private

B C+ A+

Public B C+ A+

Sicherheitsmanahmen gegen Malware (Virenschutz, Trojaner-Detektion, Spam-Schutz, etc.)

Sicherheitsmanahmen gegen netzbasierte Angriffe(IPS/IDS-Systeme,Firewall,ApplicationLayerGateway, etc.)

DDoS-Mitigation (Abwehr von DDoS-Angriffen)

Geeignete Netzsegmentierung (Isolierung des Management-Netzs vom Datennetz)

SichereKonfigurationallerKomponentenderCloud-Architektur

Fernadministration durch einen sicheren Kommunikationskanal(z.B.SSH,IPSec,TLS/SSL,VPN)

Verschlsselte Kommunikation zwischen Cloud Computing Anbieter und Cloud Computing Nutzer (z.B.TLS/SSL)

Verschlsselte Kommunikation zwischen Cloud Computing Standorten

Verschlsselte Kommunikation mit Drittdienstleistern, falls diese fr das eigene Angebot notwendig sind

Redundante Vernetzung der Cloud-Rechenzentren

Anwendungs- und Plattformsicherheit

Bei Angeboten im Bereich PaaS mssen sich die Kunden nicht mehr explizit um Datenbankzugriffe, Skalierbarkeit, Zugriffskontrolle, etc. kmmern, sondern diese Funktionalitten werden von der Plattform bereitgestellt. Aufgrund der Tatsache, dass die Kunden zur Entwicklung eigener Software auf Kernfunktionalitten der Plattform zurckgreifen, kann eine sichere Software-Entwicklung auf Seiten der Kunden allerdings nur

34

4.4


gelingen, wenn der gesamte Software-Stack der Plattform professionell und sicher entwickelt bzw. weiterentwickelt wird. Typischerweise setzen CSPs nicht nur eine Vielzahl verschiedener Software-Komponenten ein, sondern entwickeln diese auch weiter, um die Dienste der Laufzeit-Umgebung ihren Kunden optimal bereitstellen zu knnen. Bei der Software-Entwicklung muss jeder CSP Sicherheit als festen Bestandteil des Software Development Life Cycle Prozess (SDLC-Prozess) etabliert haben. Sicherheitsaspekte mssen in allen Phasen des Software-Entwicklungsprozesses bercksichtigt werden und es drfen nur Programme bzw. Module zum Einsatz kommen, die ordnungsgem getestet und auch seitens der Sicherheitsverantwortlichen des CSP freigegeben wurden.

Software, die von den Kunden entwickelt wird, bentigt nicht nur eine sichere Basis (die vom CSP zu stellen ist), sondern auch dabei mssen Sicherheitsaspekte beachtet werden. Es ist zu empfehlen, dass der CSP entsprechende Anwenderrichtlinien fr Kunden zur Erstellung von sicheren Anwendungen bereitstellt, damit durch die von Kunden selbst-entwickelten Programme gewisse Mindestanforderungen an Sicherheit, Dokumentation und Qualitt erfllt werden. Dies ist nicht nur hilfreich fr die Kunden, sondern unterstreicht auch die Kompetenz des Providers und reduziert die Gefahr, dass Sicherheitslcken in Kundensoftware andere Kunden beeintrchtigen.

Wenn der CSP zur Bereitstellung der Plattform-Dienste auch Drittdienstleister hinzuzieht, so gelten diese Anforderungen gleichermaen auch fr sie. Neben Code Reviews sollten zustzlich auch automatische Review-Tools eingesetzt sowie Vulnerability Tests durchgefhrt werden. Automatische Review-ToolsknnenbeispielsweisehufigvorkommendeProgrammierfehler, wie Endlosschleifen oder Null-Pointer-Exceptions, erkennen. Bei hherem Schutzbedarf sollte der CSP auch den von den Kunden selbst-entwickelten Code automatisch auf Schwachstellen berprfen.

Bei PaaS teilen sich mehrere Kunden eine gemeinsame Plattform, um Software auszufhren. Eine sichere Isolierung der Kunden-Anwendungen sollte gewhrleistet werden, beispielsweise unter Anwendung von Sandboxing Technologien. Eine strikte Isolierung der Kundenbereiche trgt

35


unter anderem dazu bei, dass von einer Anwendung nicht unberechtigt auf die Daten einer anderen Anwendung zugegriffen werden kann.

Da die Cloud-Kommunikation im Kern ausschlielich auf Web-Technologienberuht,z.B.WebinterfacesfrCloud-NutzerundAnwendungs-Administrationen, Application Frameworks wie Java und .NET, Kommunikation ber HTTP(S), kommt der Sicherheit der Cloud-Anwendungen gegen Angriffe auf Applikationsebene eine noch hhere Bedeutung zu als bei traditionellen Web-Anwendungen. Daher sollte jeder CSP sicherstellen knnen, dass bei ihm die Prinzipien zur sicheren Software-Entwicklung des Open Web Application Security Project bei der Erstellung der Anwendungen eingehalten werden, die gegen die wichtigsten Sicherheitsrisiken bei Webanwendungen (OWASP Top 10) wirken [10].

Anwendungs- und Plattformsicherheit Private

B C+ A+

Public B C+ A+

Sicherheit muss Bestandteil des Software Development Life Cycle-Prozesses sein (Reviews, Automatisierte Tests, Vulnerability Tests, etc.)

Sichere Isolierung der Anwendungen (PaaS)

Einhaltung von Sicherheits-Mindeststandards der zur Verfgung gestellten Webanwendungen (z. B. Prinzipien zur sicheren Software-Entwicklung nach OWASP)

Richtlinien fr Kunden zur Erstellung von sicheren Anwendungen (PaaS)

Automatische berprfung von Kunden-Anwendungen auf Anwendungs-Schwachstellen, insbesondere vor Inbetriebnahme (PaaS)

Patch- und nderungsmanagement (zgiges Einspielen von Patches, Updates, Service Packs) sowie Release Management

Sicherstellung der Patchvertrglichkeit auf Testsystemen vor Einspielen in Wirkbetrieb

36


4.5

Wichtig ist weiterhin ein gut eingespieltes und effektives Patch- und nderungsmanagement, damit Strungen im Betrieb vermieden sowie Sicherheitslcken minimiert und zeitnah beseitigt werden knnen. Zur Qualittssicherung und um Fehler erkennen beziehungsweise zuknftigen Fehlern vorbeugen zu knnen, sollte jeder Patch und jede nderung, bevor sie aufgespielt werden, ausreichend getestet und ihre Wirksamkeit bewertet werden.

Datensicherheit

Der Lebenszyklus von Daten umfasst ihre Erzeugung, die Datenspeicherung, die Datennutzung und -weitergabe und die Zerstrung der Daten. Alle diese Phasen im Daten-Lebenszyklus sollte jeder CSP mit entsprechenden Sicherheitsmechanismen untersttzen.

Zur Speicherung der Daten werden eine Vielzahl von Speichertechniken wiez.B.NAS,SAN,ObjectStorage,etc.eingesetzt.AllenSpeichertechnikenist gemeinsam, dass sich viele Kunden einen gemeinsamen Datenspeicher teilen. In einer solchen Konstellation ist eine sichere Trennung von Kundendaten essentiell und sollte daher gewhrleistet sein.

Bei SaaS beispielsweise werden Kundendaten meist in einer gemeinsamen Tabelle gespeichert. Die Unterscheidung der Kunden untereinander erfolgt dann anhand einer sogenannten Tenant-ID. Ist die Webanwendung (geteilteApplikation)unsicherprogrammiert,dannknnteeinKundez.B.ber eine SQL-Injection unerlaubt auf die Daten eines anderen Kunden zugreifen, diese lschen oder manipulieren. Um dies zu verhindern, mssen entsprechende Sicherheitsmechanismen umgesetzt werden.

hnlich wie bei der traditionellen IT sind Datenverluste auch beim Cloud Computing eine ernst zu nehmende Gefahr. Zur Vermeidung von Datenverlusten sollte jeder CSP regelmige Datensicherungen basierend auf einem Datensicherungskonzept durchfhren. Durch technische Defekte, falsche Parametrisierung, einer beralterung der Medien, einer unzureichenden Datentrgerverwaltung oder der Nichteinhaltung von Regeln, die in einem

37


Datensicherungskonzept gefordert werden, kann es vorkommen, dass sich Backups nicht wieder einspielen lassen und eine Rekonstruktion des Datenbestandes nicht mglich ist. Daher ist es notwendig, dass sporadisch berprft wird, ob die erzeugten Datensicherungen zur Wiederherstellung verlorener Daten genutzt werden knnen. Je nachdem, wie lange der Zeitraum zwischen Datensicherung und Wiedereinspielen der Daten aufgrund von Datenverlusten oder anderer Zwischenflle war, knnen die letzten nderungen an den Daten verloren sein. Daher muss ein CSP seine Kunden sofort informieren, wenn Datensicherungen wieder eingespielt werden mssen, insbesondere ber deren Stand. Die Datensicherung (Umfang, Speicherintervalle, Speicherzeitpunkte, Speicherdauer, etc.) muss transparent und nachvollziehbar fr den Kunden erfolgen.

Hilfreich fr die Kunden kann es auerdem sein, wenn Cloud-Anbieter ihnen die Mglichkeit bieten, selbst Datensicherungen anzufertigen.

Aufgrund der zugrunde liegenden Multi-Tenant-Architektur ist eine dauerhafte, also vollstndige und zuverlssige Lschung von Kundendaten auf Wunsch eines Servicekonsumenten, beispielsweise nach Beendigung eines Vertragsverhltnisses, oft nur nach einer gewissen Zeitspanne mglich. Dieser Wert sollte in den SLAs kenntlich gemacht werden. Nach Ablauf der definiertenZeitspannemssenalleKundendatendannvonallenSpeichermedien vollstndig und zuverlssig gelscht worden sein. Um Daten selektiv zu lschen, muss darauf geachtet werden, dass nicht nur die aktuelle Version, sondern auch alle Vorgngerversionen, temporre Dateien und Dateifragmente gelscht werden.

Daher muss jeder CSP eine effektive Vorgehensweise zum sicheren Lschen bzw. Vernichten von Daten und Datentrgern haben. Kunden sollten darauf achten, dass vertraglich geregelt ist, zu welchem Zeitpunkt und in welcher Weise der CSP Daten bzw. Datentrger vollstndig lschen oder vernichten muss.

38


Datensicherheit Private Public

B C+ A+ B C+ A+

Datensicherheit im Lebenszyklus der Kundendaten definierenundumsetzen

SichereIsolierungderKundendaten(z.B.virtuelleSpeicherbereiche, Tagging, etc.)

Regelmige Datensicherungen, deren Rahmenbedingungen (Umfang, Speicherintervalle, Speicherzeitpunkte und Speicherdauer) fr die Kunden nachvollziehbar sind

Daten mssen auf Wunsch des Kunden vollstndig und zuverlssig gelscht werden

4.6 Verschlsselung und Schlsselmanagement

Um sensible Informationen sicher speichern, verarbeiten und transportieren zu knnen, sollten geeignete kryptographische Verfahren und Produkte eingesetzt werden. Die Verwaltung der kryptographischen Schlssel in Cloud Computing Umgebungen ist komplex und derzeit fehlen entsprechende Werkzeuge zur Schlsselverwaltung. Deswegen werden ruhende Daten von den meisten Anbietern nicht verschlsselt. Bei Angeboten der Form IaaS-Storage hat der Kunde jedoch die Mglichkeit, seine Daten vor der Speicherung selbst zu verschlsseln. Somit behlt er die vollstndige Kontrolle ber die kryptographischen Schlssel und muss sich naturgem auch um die Schlsselverwaltung kmmern.

Wird seitens des Anbieters verschlsselt, dann mssen in jeder Lebenszyklus-Phase eines kryptographischen Schlssels geeignete Sicherheitsmanahmen umgesetzt werden, damit Schlssel vertraulich, integer und authentisch erzeugt, gespeichert, ausgetauscht, genutzt und vernichtet werden. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe Einflussfaktorenzubetrachtensind,solltejederCSPhierfreinKryptokonzept erstellen. Damit die Kunden wissen, welche Aufgaben im Bereich der

39


Kryptographie der CSP bernimmt und welche Aspekte sie selbst beachten sollten, ist es sinnvoll, wenn Provider den Kunden eine bersicht ber die eingesetzten kryptographischen Mechanismen und Verfahren zur Verfgung stellen.

Die folgenden Best-Practices der Schlsselverwaltung sollten umgesetzt werden:

Die Schlsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlsselgeneratoren erfolgen.

Kryptographische Schlssel sollten mglichst nur fr einen Einsatzzweck dienen.

Generell sollten Schlssel nie in klarer Form, sondern grundstzlich verschlsselt im System gespeichert werden. Darber hinaus muss die Speicherung stets redundant gesichert und wiederherstellbar sein, um einen Verlust eines Schlssels zu vermeiden.

Die Schlssel mssen sicher (vertraulich, integer und authentisch) verteilt werden.

Administratoren der Cloud drfen keinen Zugriff auf Kundenschlssel haben.

Es mssen regelmig Schlsselwechsel durchgefhrt werden. Die verwendeten Schlssel sollten regelmig auf ihre Aktualitt berprft werden.

Der Zugang zu Schlsselverwaltungsfunktionen sollte eine separate Authentisierung erfordern.

Die Schlssel sollten sicher archiviert werden.

NichtmehrbentigteSchlssel(z.B.Schlssel,derenGltigkeitsdauerabgelaufen sind) sind auf sichere Art zu lschen bzw. zu vernichten.

40


Fr ein verlssliches Schlsselmanagement sind ausreichende Kryptographie-Kenntnisse erforderlich. Daher mssen beim CSP Verantwortliche fr das Schlsselmanagement benannt und geschult sein.

Schlsselmanagement Private Public

B C+ A+ B C+ A+

Best-Practices der Schlsselverwaltung umsetzen

Krypto-bersicht fr Kunden zugnglich machen

41

5 ID- und Rechtemanagement

42

CLOUD COMPUTING | ID- UND RECHTEMANAGEMENT

5 ID- und Rechtemanagement

Die Identitts- und Berechtigungsverwaltung ist ein wichtiger Bestandteil der Zugriffskontrolle. Ein CSP muss diese mit geeigneten organisatorischen, personellen und technischen Manahmen absichern. Daher sollte die Identittsverwaltung von jeder Cloud Computing Plattform untersttzt werden. Die Untersttzung kann darauf basieren, dass ein Serviceanbieter selbst dem Kunden ein ID-Management anbietet oder Schnittstellen zu externen Identittsanbietern bereitstellt. Fr beide Modelle, Serviceanbieter mit oder ohne integriertem ID-Management, werden im Folgenden die Themen Authentisierung und Autorisierung nher betrachtet, die in Cloud Computing Plattformen abgebildet werden mssen.

Authentisierung

Hardware, Software und Services werden beim Cloud Computing von vielen Nutzern in Anspruch genommen. Aufgabe des Identitts- und Berechtigungs-Managements ist es, dafr zu sorgen, dass nur befugte Personen die IT-Ressourcen nutzen knnen. Der Zugriff auf alle ITSystemeoderDienstemussdurchIdentifikationundAuthentikationder zugreifenden Benutzer oder IT-Systeme abgesichert werden. Fr sicherheitskritische Anwendungsbereiche sollte starke Authentisierung verwendet werden, also Zwei-Faktor-Authentisierung, wie es zum Beispiel beim Online-Banking blich ist. Netzzugriffe sollten grundstzlich ber eine starke Authentisierung abgesichert werden. Diese hohen Anforderungen gelten insbesondere fr die Mitarbeiter des CSP: Sie sollten ebenfalls nur ber eine starke Authentisierung Zugriff auf die zu administrierenden IT-Ressourcenerhalten,alsoz.B.bereineHardware-basierteAuthentisierung mit Chipkarten oder USB-Sticks oder ber Einmal-Passwrter, die auch von Hardwaregerten generiert werden knnen. Dies ist fr Zugriffe ber das Internet absolut unumgnglich. Greift ein CSP-Administrator aus einem gesicherten Firmennetz ber ein VPN, fr das er sich bereits mit zwei Faktoren authentisieren musste, auf die Systeme beim CSP zu, dann kann in diesem Fall auf eine erneute Zwei-Faktor-Authentisierung verzichtet werden.

Auch Servicekonsumenten sollten bei hohen Anforderungen an die Sicherheit der bereitgestellten Services nur nach einer starken Authentisierung

43


(z.B.Zwei-Faktor-Authentisierung)aufdieDienstezugreifenknnen,wennder Zugang zum genutzten Dienst direkt ber das Internet erfolgt. Greift ein Kunde ber ein VPN aus dem abgesicherten Kundennetz auf die Cloud-Dienste zu, fr das er sich mit zwei Faktoren authentisieren muss, ist eine zustzliche Zwei-Faktor-Authentisierung zur Nutzung der Cloud Services nicht zwingend erforderlich.

Bei verschlsselter Kommunikation zwischen CSP und Servicekonsumenten, wie im Abschnitt 4.3 gefordert, kann zur Erhhung der Sicherheit der Zugriff auf die Services auf bestimmte IP-Adressen oder Domains beschrnkt werden.

Ein weiteres Thema, das beim Cloud Computing eine Schlsselrolle spielt, ist die Fderation von Identitten bei der Authentisierung von Unternehmenskunden, bei der Bereitstellung von Single-Sign-On-Lsungen (SSO) und dem Austausch von Identittsattributen zwischen dem Serviceanbieter und den Identittsanbietern. Im Unternehmensumfeld sind SAML oder WS-Federationweitverbreitet,wobeiSAMLdeutlichhufigereingesetztwird. Die Alternative zu SAML und WS-Federation ist eine SSO-Lsung, die ber einen gesicherten VPN-Tunnel eingesetzt wird. Der weitverbreitete SAML-StandardwirdhufigindenVersionen1.1und2.0eingesetzt.NachMglichkeit sollte SAML 2.0 untersttzt werden, da in diesem Standard verschiedene proprietre Erweiterungen integriert wurden und damit eine breite Basis an Einsatzszenarien adressiert werden kann.

Autorisierung

Das Rechtemanagement muss gewhrleisten, dass jede Rolle nur die Daten (auch Metadaten) sehen darf, die zur Erfllung der Aufgabe notwendig sind. Die Zugriffskontrolle sollte rollenbasiert erfolgen und die eingerichteten Rollen und Berechtigungen sollten regelmig berprft werden. Generell sollte das Least Privilege Model genutzt werden, Benutzer und CSP-Administratoren sollten nur die Rechte besitzen, die sie zur Erfllung ihrer Aufgaben bentigen. Besonderes Augenmerk sollte dabei auf privilegierte Benutzer gerichtet werden. Handelt es sich bei einer

44


Rolle um einen CSP-Administrator, dann sollte es mglich sein, nachzuweisen, dass tatschlich nur die fr die Aufgabe notwendigen Daten eingesehen wurden. Darber hinaus sollte das Rechtemanagement in der Lage sein, Datenexporte und -importe von und zum CSP vollstndig zu dokumentieren und zu kontrollieren. Und schlielich sollten besonders kritischeAdministrationsttigkeitenwiez.B.dasEinspielenvonPatchesnur im Vier-Augen-Prinzip durchfhrbar sein.

ID- und Rechtemanagement Private Public

B C+ A+ B C+ A+

Starke Authentisierung (Zwei-Faktor-Authentisierung) fr Administratoren des CSP

Rollenbasierte Zugriffskontrolle und regelmige berprfung der Rollen und Rechte

Least Privilege Model (Nutzer bzw. CSP-Administratoren sollen nur die Rechte besitzen, die sie zur Erfllung ihrer Aufgabe bentigen)

Vier-Augen-Prinzip fr kritische Administrationsttigkeiten

StarkeAuthentisierung(z.B.Zwei-Faktor-Authentisierung) fr Cloud-Kunden

45

6 Kontrollmglichkeiten fr Nutzer

46

CLOUD COMPUTING | KONTROLLMGLICHKEITEN FR NUTZER

6 Kontrollmglichkeiten fr Nutzer

Beim Public Cloud Computing begibt sich der Kunde in eine starke Abhngigkeit von seinem Cloud-Dienstleister er hat schlielich keinen direkten Zugriff mehr auf Hard- und Software und ist auf die Verfgbarkeit der Dienste, die in der Cloud laufen, angewiesen. Insofern sollte es dem Kunden mglich sein, die Verfgbarkeit der genutzten Services zu berwachen,z.B.bereineWebschnittstelleoderperAPI.Dieswirdbereitsvon vielen CSPs praktiziert. In vielen Fllen knnen sich die Kunden ber eine Webseite des CSP den Status der in Anspruch genommenen Dienste anzeigen lassen. ber zustzlich beim CSP buchbare Dienste oder Tools von Drittanbietern haben die Kunden auch die Mglichkeit, umfassende Monitoring-Informationen ber die Performance der genutzten Dienste wiez.B.CPU-Auslastung,Netzauslastung,Durchsatz,Latenzsowiedurchschnittliche Transaktionszeit abzufragen.

Kunden sollten darauf achten, dass es ihnen mglich ist, die vertraglich festgehaltene Dienstgte auch zu berwachen. Der CSP sollte hierfr geeignete Schnittstellen zur Verfgung stellen.

Kontrollmglichkeiten fr Nutzer Private Public

B C+ A+ B C+ A+

Kunden mssen die Mglichkeit haben, messbare Gren, wie im SLA vereinbart, zu berwachen

47

7 Monitoring und Security Incident Management

48

CLOUD COMPUTING | MONITORING UND SECURAITY INCIDENT MANAGEMENT

7 Monitoring und Security Incident Management

Die Beurteilung der operationellen Sicherheit einer Cloud Computing Plattform setzt ein umfassendes Monitoring voraus. Neben der berwachung der Performance zur Einhaltung der SLAs und fr Abrechnungszwecke ist insbesondere auch das Sicherheitsmonitoring in einer Cloud-Umgebung wichtig. Um die Informationssicherheit im laufenden Betrieb aufrecht zu erhalten, ist es notwendig, die Behandlung von Angriffen bzw. Sicherheitsvorfllen im Vorfeld zu konzipieren und einzuben. CloudDienstesolltenrundumdieUhr(24/7)umfassendberwachtwerdenundPersonal fr zeitnahe Reaktionen bei Angriffen bzw. Sicherheitsvorfllen vorgehalten werden. Falls im SLA so geregelt (z. B. bei hohen Anforderungen an die Verfgbarkeit der Cloud Services), sollte das Team beim CSP fr Security Incident Handling und Trouble-Shooting fr die Kunden ebenfalls rund um die Uhr erreichbar sein.

Zur Nachvollziehbarkeit der Administration sollten alle administrativen Handlungen protokolliert werden. So kann der CSP gegenber seinem Kunden nachvollziehbar darstellen, wann, wer, welche nderungen am Service vorgenommen hat.

ZurErkennungvonAngriffensolltenProtokolldateien(z.B.berSystemstatus, fehlgeschlagene Authentisierungsversuche, etc.) und weitere sicherheitsrelevanteDatenquellenwiez.B.AuswertungenvonToolszurNetz- und Systemberwachung (IDS, IPS, Integrittschecker, etc., siehe Abschnitt 4.3) herangezogen und korreliert werden. Hat ein Kunde einen hheren Schutzbedarf an die Vertraulichkeit seiner Information, knnen beiBedarfweitereTools(z.B.zurDataLeakagePrevention)eingesetztwerden,diedenDatenflussimNetzund/oderaufEndgertenkontrollieren. Sie sollen erkennen oder sogar einschreiten, wenn vertrauliche Informationen ber unsichere Wege bertragen werden oder in falsche Hnde geraten. Solche Tools berprfen beispielsweise, ob per E-Mail, Datenaustausch oder bei der Internet-Nutzung bestimmte Informationen bermittelt werden sollen oder ob diese auf CD gebrannt oder auf einen USB-Stick kopiert werden sollen. Da ber solche Tools unter Umstnden auch Einsicht in vertrauliche oder persnliche Daten genommen werden kann, muss deren Einsatz sorgfltig geplant und zwischen CSP und Kunden abgestimmt werden.

49


Erkennt der CSP Angriffe gegen die Cloud Computing Plattform, sollte er zeitnah und angemessen reagieren und entsprechende Gegenmanahmen einleiten. Aufgrund der Multi-Tenant-Architektur sollte bei der Planung der Detektionsmanahmen von Angriffen ein besonderes Augenmerk auch auf interne Angriffe von Cloud-Nutzern auf andere Cloud-Nutzer gerichtet werden. Weiterhin ist es wichtig, Meldungen ber neue Schwachstellen in den eingesetzten IT-Komponenten auszuwerten und nachzuprfen, ob offene Schwachstellen ausgenutzt werden knnen.

Beim Public Cloud Computing hat der Kunde a priori nur eingeschrnkte Einsicht in die Protokolldateien. Dabei sollten die Kunden ber eine externeSchnittstelleeinenTeilderProtokolldateienabrufenknnen,z.B.berfehlgeschlagene Authentisierungsversuche. Insofern ist es wichtig, dass der CSP bei Sicherheitsvorfllen zeitnah reagiert und den Kunden ber mgliche Auswirkungen informiert, die seine Services betreffen knnten.

Ein weiterer wichtiger Punkt ist eine revisionssichere Speicherung der relevanten Protokolldaten, die der CSP auf Kundenwunsch anbieten sollte.

Neben einer schnellen Information muss der CSP dem Kunden auch alle fr ihn relevanten Protokolldaten in einem geeigneten Format zur Verfgung stellen. Hier bietet es sich an, sie in einem fr die maschinelle Verarbeitung geeigneten Format zur Verfgung zu stellen, damit der Kunde diese Information bei Bedarf in ein vorhandenes Tool zum Security Incident and Event Management (SIEM) integrieren kann.

50


Monitoring und Security Incident Management

Private B C+ A+

Public B C+ A+

24/7umfassendeberwachungderCloudDienstesowie zeitnahe Reaktion bei Angriffen bzw. Sicherheitsvorfllen

ErfassungundAuswertungvonDatenquellen(z.B.Systemstatus, fehlgeschlagene Authentisierungsversuche, etc.)

24/7-erreichbares,handlungsfhigesTeamfrSecurity Incident Handling und Trouble-Shooting

MitteilungspflichtendesCSPgegenberdemKunden ber Sicherheitsvorflle oder Hinweise auf Sicherheitsvorflle, die den Kunden betreffen knnten

n/a

Geeignete Bereitstellung relevanter Logdaten durch den CSP

Logging und Monitoring der Aktivitten von Administratoren

51

8 Notfallmanagement

52

CLOUD COMPUTING | NOTFALLMANAGEMENT

8 Notfallmanagement

Der vorbeugende Schutz gegen mgliche Gefhrdungen ist eine wichtige Aufgabe bei den Bemhungen um Sicherheit. Die Erfahrung zeigt aber, dass gravierende Strungen und Unglcke auch bei bester Vorsorge nicht vollstndig verhindert werden knnen. Und oftmals sind es unverhoffte Ereignisse,welchediegrtenRisikenmitsichbringen,wiez.B.:

Im Oktober 2008 konnten, aufgrund des Ausfalls eines Umspannwerks in Hannover, bundesweit in rund 150 Geldinstituten Geldautomaten, Kontoauszugsdrucker und das Online-Banking nicht mehr benutzt werden.

Im Januar 2009 fhrten fehlerhaft durchgefhrte Wartungsarbeiten in einem Rechenzentrum dazu, dass in ganz Deutschland ber Stunden hinweg keine Bahnfahrkarten mehr verkauft werden konnten, die Zge erheblicheVersptungenaufwiesenoderteilweisesogarganzausfielen,und sich zudem vielerorts die Kunden ber aus ihrer Sicht unzureichende Informationen durch das betroffene Verkehrsunternehmen beklagten.

Im April 2010 brachte ein Ausbruch des Vulkans Gletschervulkans EyjafjallainIslanddenFlugverkehrinEuropatagelangnahezuvollstndig zum Erliegen, was beispielsweise bei nicht wenigen Unternehmen Produktionsunterbrechungen aufgrund verzgerter Zulieferungen befrchteten lie.

All diesen Beispielen ist gemeinsam, dass scheinbar lokal begrenzte Ereignisse unerwartete Breitenwirkungen und erhebliche Schden in anderen Branchen nach sich gezogen haben. Bei nherer Betrachtung dieser und vergleichbarer Vorflle zeigt sich aber auch immer wieder, dass es bei den betroffenen Institutionen Mngel in der Vorbereitung auf solche Ereignisse gab: Zustndigkeiten sind nicht geregelt, Ausweichkapazitten fehlen, die Krisenkommunikation ist unzureichend, Notfallplne sind veraltet oder fehlen vollkommen die Liste mglicher Mngel liee sich beliebig verlngern.

Um gegen solche Vorflle gewappnet zu sein und um angemessen auf Notfallsituationen reagieren zu knnen, sollte daher jeder CSP ber ein funktionierendes Notfallmanagement (Business Continuity Management) verfgen,basierendaufetabliertenStandardswiebeispielsweiseBS25999

53


oder BSI-Standard 100-4 [11]. Dazu gehrt es, entsprechende organisatorische Strukturen aufzubauen sowie Konzepte zu entwickeln, die eine rasche Reaktion bei auftretenden Notfllen und die rasche Wiederaufnahme zumindest der wichtigsten Geschftsprozesse ermglichen.

Eine der wichtigsten Aufgaben im Vorfeld ist es, die betriebenen Dienste und Geschftsprozesse fr den Wiederanlauf zu priorisieren. Dafr muss der CSP deren Verfgbarkeitsanforderungen ermitteln und die Konsequenzen seinen Kunden deutlich machen, da die gesetzten Prioritten und Wiederanlaufzeiten auf beiden Seiten wirtschaftliche Auswirkungen haben. Hierfr kann eine Einteilung der angebotenen Cloud-Dienste in Wiederanlaufklassensinnvollsein.

DaraufaufbauendmssenNotfallplneundManahmenentwickeltundumgesetzt werden, die eine effektive Notfallbewltigung und eine schnelle Wiederaufnahme der kritischen Geschftsprozesse entsprechend der vorgenommenen Priorisierung ermglichen.

Um die Wirksamkeit von Manahmen im Bereich des Notfallmanagements zu berprfen, sollte jeder CSP regelmig Tests und Notfallbungen durchfhren. Dadurch wird nicht nur berprft, dass die Strategien und Plne fr die Notfallbewltigung funktionieren, nachvollziehbar und umsetzbar sind, sondern die Mitarbeiter gewinnen auch die notwendige Routine im Umgang mit Ausnahmesituationen. Da Tests und bungen sehr aufwndig sein knnen, muss genau abgewogen werden, welche Arten von berprfungen fr welchen Zweck sinnvoll sind. In einem zu entwickelnden Konzept wird beschrieben, welche Tests und bungen vorgesehen sind. Die wesentlichen Ziele bei bungen sind, Inkonsistenzen in den Notfallplnen oder Mngel in der Planung und Umsetzung von Notfallmanahmen aufzudecken sowie effektive und reibungslose Ablufe in einem Notfall zu trainieren. Typische bungen sind beispielsweise:

Funktionstests(z.B.vonStromaggregaten,Klimaanlagen,zentralenServern),

Durchfhrung von Brandschutzbungen,

54

55


Wiederanlauf nach Ausfall von einzelnen Ressourcen oder Geschftsprozessen,

Rumung eines Brogebudes und Bezug einer Ausweichlokation und

Ausfall eines Rechenzentrums und Inbetriebnahme des Ausweichrechenzentrums.

Bei hohem Schutzbedarf bzgl. der Verfgbarkeit der Prozesse sollte der CSP nachweisen, dass sein Notfallmanagement auf einem anerkannten Standardwiez.B.BS25999oderBSI-Standard100-4basiertundNotfallorganisation und Notfallkonzeption (bestehend aus den zwei wesentlichen Komponenten Notfallvorsorgekonzept und Notfallhandbuch) effektivundeffizientsind.

Notfallmanagement Private Public

B C+ A+ B C+ A+

Der Cloud-Anbieter muss ein Notfallmanagement aufsetzen und betreiben

Der CSP muss seinen Kunden die Priorisierung des Wiederanlaufs fr die angebotenen Cloud-Dienste transparent machen

RegelmigeNotfall-bungen(z.B.zuAusfalleines Cloud Computing Standorts)

Der CSP sollte nachweisen, dass sein Notfallmanagement auf einem international anerkannten Standardwiez.B.BS25999oderBSI-Standard100-4basiert(z.B.anhandNotfallvorsorgekonzeptundNotfallhandbuch)

9 Portabilitt und Interoperabilitt

56

CLOUD COMPUTING | PORTABILITT UND INTEROPERABILITT

9 Portabilitt und Interoperabilitt

Mit Interoperabilitt von Cloud Computing Plattformen wird die Fhigkeit bezeichnet, zwei oder mehr unabhngige Cloud Computing Plattformen zusammenarbeiten zu lassen, ohne dass gesonderte Absprachen zwischen den Plattformen notwendig sind. Hierzu ist die Nutzung gemeinsamer Standards die Grundlage.

Mit Portabilitt bzw. Plattformunabhngigkeit wird hingegen die Eigenschaft eines Cloud-Dienstes bezeichnet, auf unterschiedlichen Cloud Computing Plattformen lauffhig zu sein.

Im Falle von Daten bedeutet Portabilitt, dass sie aus einem Cloud Service exportiert und in einen anderen Service importiert werden knnen. Bei SaaS-Angeboten erwirbt der Kunde das Nutzungsrecht an einem Software-Service. Da er sich normalerweise darauf verlsst, dass dieser Dienst auf Grundlage des geschlossenen Vertrags erbracht wird, entsteht dadurch eine Bindung an den Cloud Service Anbieter. UmeinsogenanntesVendorLock-In,alsoeinenichteinfachauflsbareAbhngigkeit von einem Anbieter, zu vermeiden, ist es wichtig, dass die Daten des Kunden portierbar bleiben. Die Portabilitt der Daten muss dafr im Rahmen einer Exit-Vereinbarung mit zugesicherten Formaten unter Beibehalten aller logischen Relationen gewhrleistet sein. Bei einer Migration der Daten beispielsweise zu einem anderen CSP knnen auch Kosten entstehen, die der Cloud Service Anbieter seinen Kunden offen legen sollte.

Eine Plattformunabhngigkeit zwischen verschiedenen CSPs kann derzeit nicht zugesichert werden. Plattformen wie Force.com von Salesforce (verwendetdieProgrammierspracheAPEX,einJava-Subset),SAPBusinessbyDesign, Microsoft Azure (.NET, PHP; Ruby, Python oder Java), Google App Engine (Python, Java) stellen Kunden eine Reihe von Funktionalitten zur Entwicklung von SaaS-Anwendungen zur Verfgung. Erstellt ein Servicekonsument eigene Dienste auf Basis eines PaaS-Dienstes, so muss er sich fr eine der angebotenen Plattformen entscheiden. Die Nutzung beispielsweise eines Microsoft Azure Datenbank-Dienstes durch einen auf Google App Engine entwickelten Cloud-Dienst ist derzeit nicht mglich. Ein einmal auf einer Plattform entwickelter Dienst kann gegenwrtig in

57

CLOUD COMPUTING | PORTABILITT UND INTEROPERABILITT

derRegelnichtohneerheblichenAufwandportiertwerden.Hufigistineinem solchen Fall sogar die Neuentwicklung eines Cloud-Dienstes ntig.

Bei Angeboten der Form IaaS-Compute kann die Portabilitt von VMs durch den Einsatz von OVF (Open Virtualization Format) erreicht werden. OVF ist ein plattformunabhngiger Standard zur Verpackung und Verteilung von virtuellen Appliances [12]. Derzeit nutzen allerdings fast alle Anbieter von virtuellen Maschinen eigene Formate, was den Servicekonsumenten den Wechsel des Anbieters erschwert. Beispielsweise sind bei Amazon sowohl die API zur Steuerung der Cloud-Dienste als auch das Format der virtuellen Images proprietr. Generell wre die Untersttzung von OVF durch die Service-Anbieter zu begren.

Mittlerweile existieren bereits eine Reihe von Industrie-Standards zur Senkung von Interoperabilitts- und Portabilittsproblemen, die im Bereich des Cloud Computings verwendet werden knnen und auch teilweisebereitsverwendetwerden.Zunennenwrenz.B.dasOpenCloud Computing Interface (OCCI) des Open Grid Forums [13], die vCloud API von VMware [14] oder das bereits erwhnte OVF-Format. Eine andere Mglichkeit fr Serviceanbieter, um die Interoperabilitt und Portabilitt zuverbessern,istderNachbauvonbereitsexistierendenherstellerspezifischenSchnittstellen,wieesz.B.beiderOpenSourceSoftwareEucalyptusmit dem Amazon Web Services Interface gemacht wurde. Um Interoperabilitt zu gewhrleisten, sollten Cloud Computing Anbieter standardisierte oder offen gelegte Schnittstellen (API und Protokolle) verwenden.

Portabilitt und Interoperabilitt Private Public

B C+ A+ B C+ A+

Standardisierte oder offen gelegte Schnittstellen (API und Protokolle)

Exit-Vereinbarung mit zugesicherten Formaten unter Beibehalten aller logischen Relationen und ggf. Offenlegung der damit verbundenen Kosten (SaaS)

58

10 Sicherheitsprfung und -nachweis

59

CLOUD COMPUTING | SICHERHEITSPRFUNG UND -NACHWEIS

10 Sicherheitsprfung und -nachweis

Ein Bestandteil jedes erfolgreichen Informationssicherheitsmanagements ist die regelmige berprfung der etablierten Sicherheitsmanahmen und des Informationssicherheits-Prozesses. Cloud Service Anbieter mssen regelmig den IT-Sicherheitszustand ihrer Geschftsprozesse, Dienste und ihrer Plattformen berprfen und kontinuierlich verbessern und weiterentwickeln. Es bietet sich an, regelmig Reviews und Prfungen durch unabhngige Dritte durchfhren zu lassen, um Betriebsblindheit zu vermeiden und entsprechende Prfnachweise den Cloud-Nutzern zur Verfgung stellen.

Auf der Basis einer Informationssicherheitsrevision (IS-Revision) knnen Aussagen ber die wirksame Umsetzung von Sicherheitsmanahmen sowie deren Aktualitt, Vollstndigkeit und Angemessenheit und damit ber den aktuellen Zustand der Informationssicherheit getroffen werden. Die IS-Revision ist somit ein Werkzeug zum Feststellen, Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus in einer Institution.

Die Kernforderung an die CSPs nach Sicherheitsprfung und -nachweis hat verschiedene Facetten:

Ergebnisse der von CSPs selbst durchgefhrten Sicherheitstests sollten in geeigneter Form verffentlicht werden.

Die Kunden haben ein berechtigtes Interesse daran, eigene Sicherheitsprfungen durchzufhren oder Dritte in ihrem Auftrag durchfhren zu lassen.

Nutzt ein CSP Subunternehmen zur Erbringung seiner Services, so entlsstihndiesnichtvonderVerpflichtung,dieSicherheitdieserDienstezuberprfen, da der CSP gegenber seinen Kunden fr die Gesamtsicherheit seines Angebots verantwortlich und dies nicht auf Subunternehmer bertragen kann. In einem solchen Fall muss der CSP die erforderlichen Nachweise aller notwendigen Sicherheitsprfungen von seinen Subunternehmern einfordern. Generell sollten durchgefhrte Sicherheitsprfungen so dokumentiert werden, dass es mglich ist, diese bei Bedarf an seine Kunden weitergeben zu knnen, sowohl die Nachweise beim CSP selber als auch bei dessen Subunternehmen.

60

CLOUD COMPUTING | SICHERHEITSPRFUNG UND -NACHWEIS

61

Regelmige Sicherheitsberprfungen mssen sowohl bei Public als auch bei Private Cloud Diensten durchgefhrt werden. Bei Private Clouds knnen allerdings typischerweise von den Betreibern die Ergebnisse von Sicherheitsprfungenwiez.B.PenetrationstestseinfacherandieAnwenderweitergegebenwerden,dadiesesichinnerhalbeinergemeinsamenInstitutionbefinden.

Um die Wirksamkeit vorhandener technischer Sicherheitsmanahmen zu berprfen, sind Penetrationstests ein erprobtes und geeignetes Vorgehen. Sie dienen dazu, die Erfolgsaussichten eines vorstzlichen Angriffs auf einen Informationsverbund oder ein einzelnes IT-System vorab einzuschtzen und daraus notwendige ergnzende Sicherheitsmanahmen abzuleiten, bzw. die Wirksamkeit von bereits umgesetzten Sicherheitsmanahmen zu berprfen. CSPs sollten fr die von ihnen betriebenen Netze und Systeme, Anwendungen regelmig Penetrationstests durchfhren.

Generell mssen alle Formen von Sicherheitsprfungen von Personen mit geeignetenQualifikationendurchgefhrtwerden.Diesedrfenjedochnicht an der Erstellung der geprften Strategien und Konzepte beteiligt gewesensein,umBetriebsblindheitundKonfliktezuvermeiden.DiePrfer bzw. Auditoren mssen mglichst unabhngig und neutral sein.

Sicherheitsprfung und -nachweis Private Public

B C+ A+ B C+ A+

Cloud Service Anbieter mssen den Cloud-Nutzern regelmig ber Sicherheitsmanahmen, nderungen im IT-Sicherheitsmanagement, Sicherheitsvorflle, die Ergebnisse durchgefhrter IS-Revisionen und Penetrationstests berichten

Regelmige Penetrationstests

Regelmige Penetrationstests bei Subunternehmen

Regelmige und unabhngige Sicherheitsrevisionen

Regelmige und unabhngige Sicherheitsrevisionen bei Subunternehmern

11 Anforderungen an das Personal

62

CLOUD COMPUTING | ANFORDERUNGEN AN DAS PERSONAL

11 Anforderungen an das Personal

Informationssicherheit wird unmittelbar von den Personen getragen, die mit den jeweiligen Informationen umgehen. Daher ist es essentiell, dass das bei CSPs ttige Personal ausreichend eingearbeitet und zu allen eingesetzten Techniken ebenso geschult wird wie zu Informationssicherheit und Datenschutz. Personen, die sicherheitsrelevante Aufgaben ausben wieAdministratorenundMitarbeitermitZugangzufinanzwirksamenoder vertraulichen Informationen, mssen vertrauenswrdig und zuverlssig sein.

Vertrauenswrdiges Personal

Die Mglichkeiten, die Vertrauenswrdigkeit von neuem oder fremdem Personal berprfen zu lassen, sind in Deutschland, aber auch in vielen anderen Lndern, rechtlich sehr eingeschrnkt. Dazu kommt, dass die Ergebnissemeistwenigaussagekrftigsind,wiez.B.beipolizeilichenFhrungszeugnissen. Grundstzlich sollte aber vor der bernahme von neuen oder externen Mitarbeitern beim CSP berprft werden, ob

diesehinreichendeReferenzenhaben,z.B.ausanderen,hnlichenArbeitsbereichen, und

der vorgelegte Lebenslauf des Bewerbers aussagekrftig und vollstndig ist.

Darberhinauskannessinnvollsein,sichakademischeundberuflicheQualifikationenbesttigenzulassen,beispielsweisedurchNachfragenan der Universitt oder frheren Arbeitgebern oder Kunden. Die Datenschutzgesetze sind bei der berprfung der Person aber in jedem Fall einzuhalten.

Wenn ein CSP externes Personal einsetzt, das auf interne Anwendungen und Daten zugreifen kann, sollten vergleichbare berprfungen wie fr eigene Mitarbeiter durchgefhrt werden. Bei der Vertragsgestaltung mit externen Dienstleistern sollte vertraglich festgehalten werden, welche Seite solche berprfungen durchzufhren hat und in welcher Tiefe diese erfolgen.

63

CLOUD COMPUTING | ANFORDERUNGEN AN DAS PERSONAL

Die Aufgabenverteilung und die hierfr erforderlichen Rollen sind so zu strukturieren, dass operative und kontrollierende Funktionen auf verschiedenePersonenverteiltwerden,umInteressenkonfliktebeidenhandelndenPersonen zu minimieren oder ganz auszuschalten. Zu achten ist auch auf Interessenkonflikte,dieauftretenknnen,wenneinMitarbeitergleichzeitig verschiedene Rollen inne hat, die ihm zu weitreichende Rechte geben oder sich ausschlieen. Zudem sollten die Aufgaben von Mitarbeitern nicht vonInteressenkonfliktenauerhalbderBehrdeoderdesUnternehmensbeeintrchtigt werden, beispielsweise durch frhere Stellen oder durch anderweitigeVerpflichtungen.EinrollenbasiertesRechtemanagement,dasnur Zugriff auf diejenigen Daten und Systeme zulsst, die zur Erfllung der jeweiligen Aufgaben notwendig sind, bietet hier die notwendige organisatorische und technische Untersttzung.

Alle Personen, die Zugang zu Kundendaten haben, sind in besonderem MaeberihrePflichtenimUmgangmitdiesenhinzuweisen.AuchbeiSubunternehmen sollte auf die Auswahl und den Wissensstand des Personals geachtet werden.

Das Personal ist ber die bestehenden Regelungen und Handlungsanweisungen zur Informationssicherheit, zum Datenschutz sowie zum Umgang mit KundendatenzuunterrichtenundaufderenEinhaltungzuverpflichten.

Schulungen

Documents

Eckpunktepapier Sicherheitsempfehlungen CloudComputing Anbieter