1

Cloud Computing NASA kriegt es nicht auf die Reihe – wie sollen es dann alle anderen? Insights aus einem kürzlich veröffentlichen Bericht des Office Inspector General.

Dominique C. Brack

CEO, Reputelligence & Mitglied des Vorstands Cloud Security Alliance Schweiz CSACH

NASA sendet Astronau-ten ins All und konzi-piert Raketen –aber bei Cloud Computing hapert es auch bei NASA. – Ei-ne Lehrstück aus dem Cloud Computing Tum-melfeld.

Cloud Computing hat sich vom medialen Hype zum tatsächlichen Trend mit realistischen Einsatzszena-rien entwickelt. Beim Thema Cloud im Business-Umfeld herrscht Uneinig-keit: Befürworter bejahen die Cloud als uneinge-schränkten Heilsbringer für eine flexible, kostengün-stige und effiziente IT-Landschaft. Kritiker sehen darin eher eine Gewitter-wolke. Die grössten Pro-bleme mit der Cloud liegen nicht in der IT Sicherheit oder bei Privacy concerns, sondern in der Governan-ce.

Das Provider-Management spielt beim Cloud-Sourcing eine zentrale Rolle, meist ist nur ein geringer Ein-blick in die Vorgehenswei-se der Service-Erbringung möglich und der Kontroll-

grad ist oft unzureichend. Ein effektives Provider-Management wird häufig dadurch erschwert, dass Fachabteilungen - "begün-stigt" durch eine fehlende Cloud-Strategie des Un-ternehmens - selbst die Initiative ergreifen und die IT-Abteilung nicht befrie-digend einbeziehen. Cloud Services erfordern ein sy-stematisches Vorgehen. Methoden aus dem Out-sourcing z.B. unterstützen das und sorgen für Ver-gleichbarkeit der Angebote sowie einen risiko-minimierten Cloud-Betrieb. Ein Ende Juli 2013 veröf-fentlichter Audit Bericht des Office of Inspector General über NASA’s Fort-schritt in der Adoption von Cloud-Computing, stellt dem Cloud Pionier ein nicht so gutes Zeugnis aus. NASA startete 2009 „Nebula“, das eigene in-house private cloud data-center. Im April 2012 wur-de dann nach einem 5

2

monatigen Benchmark Test, bei welchem Nebula mit Anbietern wie Amazon und Microsoft und dessen Cloud Diensten verglichen wurde, entschieden – aus Gründen der Zuverlässig-keit und Kosten Effizienz – den eigenen private Cloud Dienst zu stoppen. NASA selber hat eine sogenannte „Cloud First“ Strategie, welche besagt, dass bei neuen IT Investments Cloud Services berücksich-tigt werden müssen. Die Strategie fordert, dass ei-ne minimale Anzahl an Services in die Cloud mi-griert werden müssen.

Quelle:NASA

NASA verwendet im Mo-ment 1% ihres IT Budgets für die Cloud (ca. 10 Mil-lionen US$). NASA sagt voraus, dass in den näch-sten 5 Jahren ca. 75% der Services in der Cloud star-ten und dass 100% der öffentlichen Daten in die Cloud wandern sollen.

Nun zu den bereits er-wähnten Problemen. Von den 5 untersuchten Ver-trägen der Cloud Dienste Anbietern hat kein einziger Vertrag auch nur die mi-nimalen Anforderungen an Datensicherheit und „Best Practice“ für Informations- sicherheit erfüllt. Bei 4 von 5 Verträgen wurden die Standard-Vertragsklauseln des Anbieters akzeptiert und keine Provisionen für Performance oder Privacy definiert. Beim 5. Vertrag wurde mit Hilfe eines ex-ternen Beratungsbüros ein Vertrag ausgehandelt. Aber auch dieser Vertrag hat die Anforderungen nicht erfüllt. Tabelle:

. Es stimmt schon nach-denklich, dass NASA Leute auf den Mond schiessen und Raketen bauen kann, es aber in der eigenen IT nicht mal bis in die Wolken

Engl. Clouds reicht. Dieses Beispiel verdeutlicht, dass Cloud Computing noch in den Anfängen steckt und jede Organisation sich zu-erst Zeit nehmen sollte, Cloud als Ganzes zu ver-stehen. Hier noch die wichtigsten Tipps für die Cloud: Im Minimum sollte von den Cloud Service Provi-dern eine jährliche Sicher-heitsüberprüfung und/oder Zertifizierung durch einen Dritten ermöglicht werden, mit der Option, den Ver-trag im Falle einer Sicher-heitslücke zu kündigen, wenn der Anbieter bei we-sentlichen Massnahmen versagt. Es ist auch emp-fehlenswert, dass Wieder-herstellungszeiten und Wiederherstellungspunkte sowie Massnahmen zur Datenintegrität in die SLAs einfliessen. Verbunden mit bedeutsamen Sanktionen für den Fall, dass diese verfehlt werden. Der Man-gel an bedeutsamen finan-ziellen Entschädigungen für Verluste an Sicherheit, Dienstleistung oder Daten, stellt auch eine uner-wünschte Form von Risi-koexposition in Cloud-Verträgen dar. Daher ver-meidet die Mehrheit der

3

Anbieter eine vertragliche Verpflichtung jedweder Form von Entschädigung oder Sanktionen für den Fall, dass das SLA nicht eingehalten wird. Kunden sollten 24 bis 36 Monate als Haftungsgrenzen aus-handeln, anstatt der übli-chen 12 Monate und so-weit möglich eine zusätzli-che Haftpflichtversiche-rung abschliessen.

Was ist eigentlich Cloud? Ist überall Cloud drin, wo auch Cloud drauf steht? Eines der brennenden Themen innerhalb Cloud Computing sind die Be-grifflichkeiten. Leider wird, nicht zuletzt aus Marketing Gründen, der Begriff Cloud Computing sehr erfinde-risch eingesetzt. Cloud ist leider auch den Marketing-Guerillas zum Opfer gefallen. Überall ist Cloud drin, wenn man den Werbeslogans glauben soll. «Cloud Computing - Just do it.» «Aussen Cloud Computing, innen Geschmack.»

Meist sind die angebote-nen Produkte oder Ser-vices gar keine Cloud Ser-vices im eigentlichen Sin-ne. Auch wenn dies mar-keting-technisch sehr at-traktiv ist: ein Memory Stick ist einfach keine per-sönliche Private Cloud! Somit ist es von Nöten, sich ein Basiswissen an Cloud zuzulegen. „Cloud Computing“ steht für „Da-tenverarbeitung in der Wolke“ und beschreibt ei-ne über Netze (meistens das Internet) angeschlos-sene Rechnerlandschaft, in die die eigene Datenverar-beitung ausgelagert wird. Ziel ist es, IT-Dienstleistungen dyna-misch und skalierbar nut-zen zu können. Im Ideal-fall soll es dem Nutzer egal sein, ob gerade der eigene oder ein weit entfernter Computer eine Aufgabe löst. Teilweise werden ganze Workloads in die Cloud verlagert oder die Cloud wird dazu verwen-det, um Bedarfsspitzen abzudecken, mit denen die eigene IT-Infrastruktur überfordert ist.

Die Cloud setzt sich nor-malerweise aus 5 Charak-teristiken, 3 Service Mod-ellen und 4 Deployment Modellen zusammen. Beim Cloud Computing wird zwischen 3 Service Modellen unterschieden: Software-as-a-Service (SaaS), Platform-as-a-Service (Paas), Infrastruc-ture-as-a-Service (IaaS). Bei den 4 Deployment Mo-dellen wird zwischen Priva-te, Public, Community und Hybrid Clouds unterschie-den. Private Clouds sind vernetzte Rechner, die sämtliche unter der recht-lichen Verantwortung einer einzigen Stelle stehen. Public Clouds sind Angebo-te von kommerziellen Betreibern wie Amazon, Microsoft etc. Community Clouds sind Infrastruktu-ren, welchen von mehre-ren Interessen Gruppen betrieben werden. Hybride Clouds sind eine Mischung von Private- und Public Clouds, also eine Nutzung sowohl von eigenen wie auch fremden Ressourcen. Die 5 essentiellen Charak-teristiken einer Cloud sind:

• On-demand self-service

4

• Broad network ac-cess

• Resource pooling • Rapid elasticity • Measured service

Die Tools, die Abhilfe schaffen. Die Cloud Security Alliance bietet eine Vielzahl von Tools und Hilfsmitteln an. Aus meiner persönlichen Erfahrung stellen sich die meisten Probleme im Be-reich der Governance. CSA bietet hier ein hervorra-gendes Toolset an. Im Rahmen des CSA Security, Trust & Assurance Registry (STAR), welches ein frei Zugängliches Verzeichnis darstellt, unter welchem sich Cloud Dienste Anbie-ter freiwillig registrieren können. Die zwei wichtig-sten Dokumente unter STAR sind das: • Das Consensus As-

sessments Initiative Questionnaire (CAIQ), ein Fragebogen, wel-cher 140 Kontrollfragen enthält, welche dem Cloud Provider gestellt werden können.

• Die Cloud Controls Ma-trix (CCM), das Kon-trollframework, welches mit den Cloud Security Alliance Guidelines als

Kontrollgrundlage ver-wendet werden kann.

Viele der namhaften Cloud Dienste Anbieter haben das Consensus Assess-ments Initiative Question-naire (CAIQ) schon ausge-füllt, und die Antworten können öffentlich eingese-hen werden. Dies hilft der internen Cloud Governan-ce enorm, denn damit können auch die Bedürf-nisse des Internen Audit und Risk Managements abgedeckt werden. Diese frei verfügbaren Do-kumente bieten einen enormen Mehrwert. Mit Hilfe dieser Dokumente können die grössten Stol-persteine im Handling der Cloud Governance besei-tigt werden. https://www.cloudsecurityalliance.org/star Die Cloud Security Alliance (CSA) wurde aus der In-formationssicherheits-Community heraus im Jahr 2008 ins Leben gerufen, um die Sicherheit in Cloud Computing-Umgebungen zu fördern und die IT-Industrie über die Rolle von Cloud Computing bei der Absicherung anderer Rechnerumgebungen auf-zuklären. Die CSA erarbei-

tet Best Practices, Guideli-nes und viele weitere Grundlagen für sicheres Cloud Computing. Die Cloud Security Alliance Vorgaben haben sich als Quasi-Standard etabliert. Cloud Security Alliance mit neuem Switzerland Chapter Die Cloud Security Alliance (CSA) setzt sich als nicht-gewinnorientierte, interna-tionale Organisation um-fassend mit dem Themen-bereich Cloud Security auseinander. Mit der Gründung des Switzerland Chapters besteht CSA aus aktuell 37 länder- bzw. regionalspezifischen Orga-nisationen. Initiator und Gründer des CSA Switzer-land Chapter ist Klaus Gri-bi, Senior Security Consul-tant und Chief Security Officer beim Schweizer In-formationssicherheits-Anbieter United Security Providers.

Das Switzerland Chapter fokussiert sich in seiner

5

Tätigkeit auf den Informa-tions- und Datenschutz beim Cloud Computing in der Schweiz. Im Vorder-grund steht dabei die Compliance zur Schweize-rischen Gesetzgebung. In diesem Kontext wird das CSA Switzerland Chapter Best Practices und Stan-dards für Cloud Computing in der Schweiz etablieren. Zu diesem Zweck strebt das Switzerland Chapter die enge Zusammenarbeit mit lokalen Cloud Provi-dern, Cloud Integratoren, Cloud Consumern, Univer-sitäten, Fachhochschulen und Regierungsstellen an. Kurz nach seiner Grün-dung zählt das CSA Swit-zerland Chapter 151 Mit-glieder. Das Netzwerk or-ganisiert und vernetzt sich via Linkedin-Gruppe.

Interessierte Personen sind eingeladen, dem CSA Switzerland Chapter beizu-treten. Dies ist kostenlos möglich unter http://www.linkedin.com/groups?gid=4484376. Das Switzerland Chapter ist als Verein organisiert. Im April 2013 wurde das Board of Directors konsti-tuiert. https://cloudsecurityalliance.org/chapters/official/#switzerland-chapter https://cloudsecurityalliance.org

Besuchen Sie an der se-curity-zone das Referat von Dominique C. Brack dem Vorstandsmitglied des Cloud Security Alli-ance Chapters Switzer-land, Verantwortlicher für Education und Trai-ning. Ziel des Referates ist: Richtiges Anwenden und

Nutzen der Cloud Security Alliance Tools. Wie kann man aus Business Sicht das Risiko mit Cloud Dien-sten einschätzen. Wie kann man mit Hilfen einer standardisierten Methode Cloud Dienste Anbieter vergleichen. Die richtige Sprache für Cloud, was bedeutet was in der Cloud. Akronyme Entschlüsse-lung. Kennenlernen des Cloud Security Alliance Chapters Schweiz.

security-zone 2013

Cloud Computing Insights aus einem kürzlich veröffentli-chen Bericht des Office Inspector General. Mehr dazu im Referat von Dominique C. Brack am Donnerstag, 19. 9 um 9:00 Uhr. Details & Anmeldung hier …