Cloud-Security: Grundlagen

Was ist Cloud-Sicherheit? Cloud-Sicherheit definiert

In modernen Unternehmen findet eine zunehmende Transition zu cloudbasierten Umgebungen und IaaS-, Paas- oder SaaS- Datenverarbeitung statt. Die dynamisch Spezifik des Infrastrukturmanagements , insbesondere beim Skalieren von Anwendungen und Services , kann Unternehmen eine Anzahl Herausforderungen bringen, wenn sie für ihre Abteilungen Ressourcen beschaffen. Diese as-a-Service-Modelle geben Organisationen die Fähigkeit zur Auslagerung vieler der zeitintensiven IT-bezogenen Aufgaben.

Mit der fortschreitenden Migration von Unternehmen in die Cloud ist das Verständnis der Sicherheitsanforderungen für den Schutz von Daten entscheidend geworden. Auch wenn Drittanbieter von Cloud Computing die Verwaltung dieser Infrastruktur übernehmen können, übernehmen sie damit nicht zwangsläufig die Verantwortung für die Sicherheit der Daten-Assets und die zugehörige Rechenschaftspflicht.

Die meisten Cloud-Anbieter befolgen standardmäßig die besten Sicherheitspraktiken und ergreifen aktive Maßnahmen zum Schutz der Integrität ihrer Server. Unternehmen müssen jedoch ihre eigenen Überlegungen anstellen, wenn es um den Schutz von Daten, Anwendungen und Workloads geht, die in der Cloud ausgeführt werden.

Die Sicherheitsbedrohungen sind mit der fortschreitenden Entwicklung der digitalen Landschaft immer weiter fortgeschritten. Diese Bedrohungen zielen explizit auf Cloud-Computing-Anbieter ab, da ein Unternehmen insgesamt keine Transparenz in Bezug auf Datenzugriff und -bewegung hat. Ohne aktive Schritte zur Verbesserung ihrer Cloud-Sicherheit zu unternehmen, können Unternehmen bei der Verwaltung von Kundeninformationen erheblichen Governance- und Compliance-Risiken ausgesetzt sein, unabhängig davon, wo sie gespeichert sind.

Die Cloud-Sicherheit sollte unabhängig von der Größe Ihres Unternehmens ein wichtiges Diskussionsthema sein. Cloud-Infrastruktur unterstützt nahezu alle Aspekte der modernen Datenverarbeitung in allen Branchen und über mehrere Vertikalen hinweg.

Eine erfolgreiche Cloud-Einführung hängt jedoch davon ab, dass angemessene Gegenmaßnahmen zur Abwehr moderner Cyberangriffe getroffen werden. Unabhängig davon, ob Ihre Organisation in einer öffentlichen, nicht öffentlichen oder Hybrid-Cloud-Umgebung tätig ist, sind Cloudsicherheitslösungen und beste Praxis eine Notwendig für die Sicherung unterbrechungsfreier Geschäftsabläufe.

Sicheres Cloud Computing für Unternehmen - datenschutz notizen

Für die sichere Cloud-Nutzung sollte Informationssicherheit beginnend bei der IT-Strategie bis zum letztendlichen Vertragsabschluss berücksichtig werden. Dazu kann sich z. B. an der Vorgehensweise der Veröffentlichung „Sichere Nutzung von Cloud-Diensten“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert werden.

Ähnlich wie die Verankerung der Informationssicherheit in einem Unternehmen, bspw. durch die Etablierung eines ISMS nach ISO/IEC 27001, muss auch die sichere und weitreichende Einführung von Cloud Computing auf der Leitungsebene entschieden werden. Vor der strategischen Entscheidung sollten die damit verbundenen Chancen und Risiken nachvollziehbar erhoben und nüchtern bewertet werden.

Neben einer versprochenen Kostenersparnis sollten vorwiegend die erweiterten Möglichkeiten des Cloud Computing in Bezug auf die Steigerung der Informationssicherheit Anreize schaffen. Die Sicherstellung des kontinuierlichen Betriebs (Business Continuity Management, BCM) und die Sicherheit der betriebenen Systeme können durch den breiten Erfahrungsschatz des jeweiligen Cloud-Anbieters verbessert werden. Allerdings kommt es hier auch wieder auf die Eigenverantwortung des Kunden an.

Geteilte Sicherheitsverantwortung

Bezogen auf die Informationssicherheit bzw. die Sicherheitsverantwortung sind die Plattformen für das Cloud Computing im Allgemeinen zweigeteilt. Der Anbieter ist dabei für die Sicherheit der zugrunde liegenden Cloud-Infrastruktur verantwortlich („Security OF the Cloud“). Der Kunde hingegen ist für die Sicherung der auf der Plattform bereitgestellten Workloads zuständig („Security IN the Cloud“).

Ein Workload ist im Cloud Computing-Umfeld ein plattformunabhängiger Service oder ein eigenständig ausführbarer Programmcode zur Erledigung einer bestimmten Aufgabe. Geeignete Vorkehrungen bezogen auf die bereitzustellenden Anwendungen müssen daher vom Kunden selbst vorgenommen werden.

Erfreulicherweise stellen die Cloud-Plattformen bereits unterstützende Werkzeuge, Vorlagen und Best Practices zur Verfügung, um die selbst definierten Sicherheitsziele zu erreichen. Der weltweite Marktanteil an Cloud-Infrastrukturen wird nach einer Analyse der Synergy Research Group hauptsächlich durch die fünf nachstehenden Anbieter abgedeckt, welche jeweils Informationen zur Absicherung ihrer Plattformen bereitstellen. Nachfolgend finden sich Verlinkungen zum Security-Bereich der jeweiligen Anbieter:

Generelle Prinzipien

Folgende Prinzipien sollten dabei unabhängig vom Anbieter berücksichtigt werden, um die Informationssicherheit der Workloads in einer Cloud Computing-Plattform zu erhöhen:

Starke Identitätsgrundlage : Verwenden des Prinzips der geringsten Privilegien (Principle of Least Privilege, PoLP) und Einsatz von Aufgabentrennung mit entsprechender Berechtigungsvergabe für jede Interaktion mit Cloud-Ressourcen. Zentralisieren des Identitätsmanagements und Vermeidung von langfristigen, statischen Anmeldeinformationen.

: Verwenden des Prinzips der geringsten Privilegien (Principle of Least Privilege, PoLP) und Einsatz von Aufgabentrennung mit entsprechender Berechtigungsvergabe für jede Interaktion mit Cloud-Ressourcen. Zentralisieren des Identitätsmanagements und Vermeidung von langfristigen, statischen Anmeldeinformationen. Nachverfolgbarkeit : Echtzeit-Überwachung von Aktionen und Änderungen in der Cloud Computing-Umgebung. Erfassung von Protokollen und Metriken in Systemen zur automatischen Untersuchung und Durchführung von Maßnahmen.

: Echtzeit-Überwachung von Aktionen und Änderungen in der Cloud Computing-Umgebung. Erfassung von Protokollen und Metriken in Systemen zur automatischen Untersuchung und Durchführung von Maßnahmen. Anwendung von IT-Sicherheit auf allen Ebenen : Einen tiefgreifenden Verteidigungsansatz (Defense in Depth) mit mehreren Sicherheitskontrollen auf allen Ebenen implementieren. Die Ebenen umfassen dabei u. a. VPCs (Virtual Private Cloud), die Lastverteilung (Load Balancing), jede Cloud-Instanz und -Rechenressource (Compute) sowie Betriebssysteme, Anwendungen und den Quellcode.

: Einen tiefgreifenden Verteidigungsansatz (Defense in Depth) mit mehreren Sicherheitskontrollen auf allen Ebenen implementieren. Die Ebenen umfassen dabei u. a. VPCs (Virtual Private Cloud), die Lastverteilung (Load Balancing), jede Cloud-Instanz und -Rechenressource (Compute) sowie Betriebssysteme, Anwendungen und den Quellcode. Automatisierung von Sicherheitsverfahren : Verwendung von automatisierten und softwarebasierten Sicherheitsmechanismen. Erstellung von sicheren Architekturen sowie Kontrollen, die als Quellcode in versionsgesteuerten Vorlagen definiert und verwaltet werden (Infrastructure as Code, IaC). Der Umfang manueller Sicherheitsverfahren sollte geringgehalten werden.

: Verwendung von automatisierten und softwarebasierten Sicherheitsmechanismen. Erstellung von sicheren Architekturen sowie Kontrollen, die als Quellcode in versionsgesteuerten Vorlagen definiert und verwaltet werden (Infrastructure as Code, IaC). Der Umfang manueller Sicherheitsverfahren sollte geringgehalten werden. Schützen der Daten während der Übertragung und im Ruhezustand : Klassifizieren der involvierten Daten nach Sensibilität und Einsatz von Mechanismen zur Wahrung der Vertraulichkeit und Integrität, wie Verschlüsselung, Tokenisierung und Zugriffskontrolle.

: Klassifizieren der involvierten Daten nach Sensibilität und Einsatz von Mechanismen zur Wahrung der Vertraulichkeit und Integrität, wie Verschlüsselung, Tokenisierung und Zugriffskontrolle. Trennen von Benutzern und Daten : Bedarf an direktem Zugang oder manueller Verarbeitung von Daten durch Benutzer vermeiden oder reduzieren. Hierdurch wird das Risiko von Fehlbedienungen oder Änderungen und menschlicher Fehler beim Umgang mit sensiblen Daten eingeschränkt.

: Bedarf an direktem Zugang oder manueller Verarbeitung von Daten durch Benutzer vermeiden oder reduzieren. Hierdurch wird das Risiko von Fehlbedienungen oder Änderungen und menschlicher Fehler beim Umgang mit sensiblen Daten eingeschränkt. Vorbereitung auf Sicherheitsereignisse: Auf einen Sicherheitsvorfall vorbereitet sein, indem ein Vorfallmanagement mit Richtlinien vorhanden ist, welches auf die organisatorischen Anforderungen abgestimmt ist. Simulationen zur Reaktion auf Vorfälle durchführen und in diesem Zusammenhang Werkzeuge zur Automatisierung verwenden, um die Erkennung, Untersuchung sowie Wiederherstellung zu beschleunigen (BCM).

Wie aus der Auflistung hervorgeht, sollte jede Ebene der Cloud-Infrastruktur abgesichert werden – nicht nur die oftmals ausschließlich betrachtete Außengrenze zum Internet. Dabei sollten vor allem automatisierte Verfahren zum Einsatz kommen und manuelle Handlungen in den hochskalierbaren Cloud-Infrastrukturen weitestgehend reduziert werden. Des Weiteren sollte eine angemessene Verschlüsselung von Daten der Standard in allen Kommunikationsverbindungen sein und mit minimalen Rechtestrukturen in der zentralen Identitäts- und Zugriffsverwaltung (IdM bzw. IAM) gearbeitet werden. Sicherheitsereignisse sollten, z. B. durch ausgiebige Protokollierungen, analysiert und Ernstfälle geprobt werden.

Fazit

Ist in einem Unternehmen die strategische Entscheidung getroffen, eine Cloud Computing-Plattform einzusetzen, dann sollten die von dem Cloud-Anbieter bereitgestellten Werkzeuge zur Informationssicherheit sowie die Compliance-Anforderungen für das anvisierte Vorhaben bekannt und bereits bei der Entscheidung berücksichtigt worden sein. Werden die aufgezeigten Prinzipien zum sicheren Cloud Computing entschlossen angegangen, ist ein solider Grundschutz auch außerhalb des Hoheitsbereichs eines Unternehmens vorhanden und somit ein sicherer Cloud-Einsatz gegeben.

Cloud-Security: Grundlagen

Vom 12. bis 15.12.2022 finden die Software-Architektur-Tage statt. Das Besondere daran: Du kannst nicht nur von jedem Ort teilnehmen,…

Vom 12. bis 15.12.2022 finden die Software-Architektur-Tage statt. Das Besondere daran: Du kannst nicht nur von jedem Ort teilnehmen,…

Vom 6. bis 9.12.2021 finden die Software-Architektur-Tage statt. Das Besondere daran: Du kannst nicht nur von jedem Ort teilnehmen, sondern…

Nadine Schöne ist Expertin für Analytics und Big Data. Sie spricht regelmäßig auf Konferenzen und ist Autorin zum Thema Big Data. >> Weiterlesen

Dr. Nadine Schöne

Cloud-Security: Grundlagen

© Adobe: kras99 Sicherheit ist wichtig – aber Security ist an sich ein eher unbequemes Thema. Sicherheitsvorkehrungen bedeuten in der Regel zusätzlichen Aufwand beim Zugriff auf abgesicherte Bereiche. Das können im täglichen Leben zusätzliche Schlösser an Türen und Fenstern sein, die man beim Heimkommen aufschließen muss, plus zusätzliche Wohnungsschlüssel, die man mit sich herum trägt. Die besten Schlösser nutzen aber nichts, wenn man die Balkontür versehentlich oder zum einfacheren Zugang offen stehen lässt, oder gar freundlich anklopfende Diebe auf einen Kaffee herein bittet. Wenn man Hauseigentümer ist, steht man hier selbst voll in der Verantwortung. Aber wie sieht es mit einer Mietwohnung aus? Wofür ist der Vermieter verantwortlich und wofür man selbst? Und wie schaut es im Urlaub aus, wenn man ein Hotelzimmer oder eine Ferienwohnung hat? Ähnliche Überlegungen zu Verantwortlichkeiten spielen eine Rolle wenn man sich mit dem Thema IT-Security On-Premises und in der Cloud befasst. IT-Security allgemein IT-Security versucht Daten und Systeme vor unerwünschtem Zugriff zu schützen, egal ob diese im eigenen Rechenzentrum lokalisiert sind oder nicht. Das beinhaltet sowohl gezielte Angriffe von Extern oder Intern, als auch unbeabsichtigte Aktionen durch eigene Mitarbeiter. Daten sollen vor Löschung, Änderung, Kopieren oder Lesen geschützt werden. Systeme sollen ungestört funktionieren und nicht als Hintertür für Angriffe genutzt werden können, und Services sollen unterbrechungsfrei und performant zur Verfügung stehen. IT-Security sichert den störungsfreien Betrieb und verhindert Systemausfälle und die dadurch entstehenden Kosten. Zuallererst möchte man natürlich verhindern, dass überhaupt etwas passiert. Hierzu gehört aber auch ein Monitoring: es muss nachvollziehbar dokumentiert werden, dass wirklich nichts passiert ist. Wenn es aber eine Sicherheitslücke gab, möchte man so schnell wie möglich informiert werden, um Schadensbegrenzung zu betreiben. Hierzu muss auch nachvollziehbar sein, wer wann was genau gestohlen, kopiert, gelöscht oder verändert hat, auch, um eventuelle Schadensersatzansprüche geltend machen zu können. Einen Überblick über die vielfältigen Themen, die in der IT-Security eine Rolle spielen, liefert Abb. 1. Je nach Branche können einzelne Bestandteile einer Sicherheitsstrategie durch Regularien genau definiert werden.

Abb. 1: Bestandteile einer IT Sicherheitsstrategie – deren Umfang durch branchenspezifische Regularien genau vorgegeben sein kann. © Dr. Nadine Schöne Selbst wenn z.B. Schadsoftware frühzeitig erkannt wird, d. h. bevor sie ihren geplanten Zweck erfüllt hat (Daten löschen, Hintertüren in Systemen öffnen etc.), führt dies unweigerlich zu Ausfällen, da die Schadsoftware erst entfernt werden muss, bevor alle Systeme wieder voll genutzt werden können. Hierzu ein Beispiel: Am 8. Dezember 2019 führte ein Hackerangriff zu einem Ausfall von IT-Systemen an der Justus-Liebig-Universität Gießen: "Die Justus-Liebig-Universität Gießen (JLU) ist nach einem schwerwiegenden IT-Sicherheitsvorfall nach wie vor und bis auf weiteres offline. Internet, E-Mail-Systeme und interne Netzwerke sind nicht nutzbar. Wegen des Verdachts auf einen Cyber-Angriff hat die JLU am Montagnachmittag Strafanzeige erstattet." Einen Monat später war der IT-Betrieb noch nicht wieder voll hergestellt, obwohl sehr schnell reagiert und aus Sicherheitsgründen sofort alle Server heruntergefahren wurden [1,2].

Cloud-Services

Cloud-Services sind nicht gleich Hosting. Die allgemein anerkannte Definition ist die NIST-Definition of Cloud-Computing [3]: "Cloud-Computing ist ein Modell, das universellen, bequemen, bedarfsgerechten Netzwerkzugriff auf einen gemeinsam genutzten Pool konfigurierbarer Computing-Ressourcen (z. B. Netzwerke, Server, Speicher, Applikationen und Services) erlaubt, die schnell bereitgestellt und mit minimalem Aufwand oder Interaktion mit dem Service-Provider zur Verfügung gestellt werden."

Generell werden hier die Cloud-Services in drei Kategorien eingeteilt:

IaaS (Infrastructure-as-a-Service): Bereitstellung der Infrastruktur zur Installation und Nutzung von Software wie Betriebssystemen und Applikationen. Dies beinhaltet u. a. Speicher, Prozessoren und Netzwerke. Der Nutzer hat keinerlei Kontrolle über die zugrundeliegende Cloud-Infrastruktur, wohl aber über Betriebssysteme, Speicher, installierte Applikationen und eventuell über einzelne Netzwerkkomponenten wie Firewalls.

PaaS (Platform-as-a-Service): Hier wird dem Nutzer die Möglichkeit geboten, selbst Applikationen zu installieren. Er hat jedoch keine Kontrolle über die zugrundeliegende Cloud-Infrastruktur inklusive Netzwerk, Server, Betriebssystem und Speicher, wohl aber über die Applikationen selbst sowie über bestimmte Umgebungseinstellungen.

SaaS (Software-as-a-Service): Applikationen werden als Cloud-Services bereitgestellt. Der Nutzer hat keinerlei Zugriff auf die zugrundeliegende Infrastruktur und höchstens eingeschränkten Zugriff auf die nutzerspezifischen Konfigurationen der Applikationen.

Cloud-Services bieten einige Vorteile gegenüber eigenen On-Premises-Rechenzentren, wie Skalierbarkeit mit möglicher Pay-as-you-go-Abrechnung, Redundanz (auch für Hochverfügbarkeit), die Art der Investitionsausgaben (Opex statt Capex), standardisierte Software, Zugang zu neuester Hardware wie GPUs, und die geringere Abhängigkeit von Fachleuten im eigenen Haus zur Wartung der Systeme. Die Absicherung der Rechenzentren durch den Cloud-Provider ist in der Regel sehr stringent, meist sogar rigoroser als man dies im eigenen On-Premises-Rechenzentrum durchsetzen würde. Deshalb sind heutzutage hybride Architekturen, die sowohl On-Premises-IT als auch Cloud-Services eines oder auch mehrerer Cloud-Provider beinhalten, weit verbreitet.

Je nachdem was für eine Art von Cloud-Service man betrachtet, liegen unterschiedliche Handlungsmöglichkeiten und Verantwortlichkeiten beim Nutzer oder beim Cloud-Provider. Beim Speichern personenbezogener Daten in einem Cloud-Service gibt es z. B. folgende grundlegende Unterschiede zwischen unterschiedlichen Typen von Cloud-Services:

IaaS: Der Nutzer installiert alle Applikationen selbst. Der Cloud-Provider kann also nicht wissen, ob es sich bei den im Cloud-Service gespeicherten und verarbeiteten Daten um personenbezogene Daten handelt. Handlungsmöglichkeiten und die Verantwortung, Daten konform zur Datenschutz-Grundverordnung (DSGVO) zu verarbeiten, liegen komplett beim Nutzer [4].

SaaS: Wenn die bereitgestellte Software explizit mit personenbezogenen Daten arbeitet, dann sollten im Service entsprechende Sicherheits-Funktionalitäten enthalten sein (z. B. Verschlüsselung, feingranulare Zugriffskontrollen etc.).

Risikominimierung auch in Cloud-Umgebungen

Wie geht man jetzt aber damit um, dass die Verantwortung (Haftbarkeit) bei einem selbst liegt, man aber beim Nutzen von Cloud-Services einen Teil der Handlungsmöglichkeiten an den Cloud-Provider abgibt? Wir werden uns im Folgenden an zwei Whitepapern orientieren [4,5]. Sie beschreiben detailliert u. a. die Schritte, die bei der Evaluation und dem Management der Sicherheit von Cloud-Umgebungen unterstützen, um Risiken zu minimieren und angemessenen Support zu sichern.

Prozesse für Governance, Risikobewertung und Compliance

Die Details der Verarbeitung von Daten werden in einem rechtlich bindenden Data Processing Agreement (DPA) festgelegt. Hierzu gehören die Art und Dauer sowie der Grund der Verarbeitung, die Art der (persönlichen) Daten, sowie Rechte und Pflichten des Cloud-Providers und des Kunden. DPAs sind in der Regel ein essentieller Bestandteil der Compliance mit Regularien, wie z. B.

Datenschutzgrundverordnung [6],

Health Insurance Portability and Accountability Act (HIPAA),

Family Educational Rights and Privacy Act (FERPA) und

Payment Card Industry Data Security Standard (PCI DSS).

Zertifizierungen und Standards sind weitere Faktoren beim Thema Cloud-Security. Zu beachten ist, dass Zertifizierungen meist nur für Services, nicht aber für den Provider selbst vergeben werden. Sie stellen das Ergebnis einer Auditierung zu einem bestimmten Zeitpunkt dar. Wichtige Standards sind die ISO/IEC 27000-Serie (insbesondere 27017 und 27018), ISO/IEC 19086, ISO/IEC 27036-4 und ISO/IEC 2000. Diese betreffen unterschiedliche Aspekte von Cloud-Security, wie z. B. den Schutz persönlicher Daten und Risikomanagement.

Auditierung

Welche Auflagen für Auditierung hat man selbst, und kann der Cloud-Anbieter diese Auflagen auch erfüllen? Reicht z. B. eine Selbst-Auditierung des Cloud-Providers oder ist eine Auditierung durch Drittanbieter gewünscht? Die Details sollten im Cloud-Service-Agreement festgehalten werden.

Hilfreich sind auch sogenannte Cloud Access Security Broker (CASB), die alle Aktivität zwischen Nutzern und Cloud-Services überwachen und Security Policies durchsetzen. Diese sind jedoch bisher nicht standardisiert, d. h. man muss auf jeden Fall untersuchen, ob die gebotenen Möglichkeiten für den jeweiligen Anwendungsfall ausreichend sind.

Management von Nutzern, Rollen und Identitäten

Management von Nutzern, Rollen und Identitäten muss sowohl von Seiten des Cloud-Providers für seine Kunden als auch von Seiten des Kunden für seine Mitarbeiter betrachtet werden. Der Zugriff auf Daten und Anwendungen der Cloud-Nutzer muss von Seiten des Cloud-Providers genau geregelt sein, und zwar individuell für jeden Service. Multi-Factor-Authorization für den Zugriff auf Cloud-Services ist inzwischen Standard und sollte wenn möglich genutzt werden. Darüber hinaus muss jeder Zugriff genau überwacht und geloggt werden. Der Kunde muss die Möglichkeit haben, für jeden genutzten Cloud-Service Rollen und Zugriffsrechte feingranular und seinen Security Policies folgend zu vergeben.

Datenschutz

Hybride und Multi-Cloud-Architekturen stellen besondere Herausforderungen an den Datenschutz. Eine Verschlüsselung (Encryption) der Daten ist sowohl für Data-at-Rest als auch für Data-in-Motion wichtig. Die Encryption Keys sollten sicher durch den Kunden verwahrt werden. Damit wird das Risiko für Datenverlust, Änderung der Daten incl. Löschen und unautorisierten Zugriff minimiert.

Der Schutz personenbezogener Daten ist insbesondere mit der Datenschutzgrundverordnung, aber auch durch andere Regularien, ein zentrales Thema geworden. Auch beim Nutzen von Cloud-Services sind hier insbesondere Zugriffskontrollen und die Maskierung der Daten ein Thema. Je nachdem, welche Kategorie von Cloud-Service man nutzt (IaaS, PaaS, SaaS), kann oder muss der Cloud-Provider entsprechende Tools zur Verfügung stellen. Die Verantwortung des Schutzes personenbezogener Daten liegt am Ende aber beim Nutzer des Cloud-Services.

Netzwerke und Netzwerkanbindungen

Nicht nur der Cloud-Service selbst, sondern auch Netzwerke und Netzwerkanbindungen müssen abgesichert werden. Der gewünschte Datenverkehr soll ungehindert fließen, bösartiger Datenverkehr (Malicious Traffic) muss hingegen blockiert werden. In vielen Fällen ist es für den Cloud-Anbieter aber nicht möglich, zwischen erwünschtem und unerwünschtem Datenverkehr seiner Kunden zu unterscheiden. Neben der grundlegenden Absicherung des Network Perimeters durch den Cloud-Provider (z. B. gegen Denial-of-Service-Attacken oder Traffic zu Malware Ports), ist es deshalb wichtig, dass dem Cloud-Nutzer Tools zum Schutz der eigenen Umgebung zur Verfügung gestellt werden. Hierzu gehören zur Network-Security neben einer zeitnahen Benachrichtigung im Falle eines erfolgreichen Angriffs auch die Möglichkeiten des Monitorings und die Einsicht in Logfiles. Von Vorteil sind auch Statistiken zur Anzahl erfolgreich erkannter und abgewehrter Angriffe.

Cloud Service Agreement (CSA)

Im Cloud Service Agreement (CSA) wird festgehalten, wofür der Nutzer und wofür der Cloud-Provider verantwortlich ist. Hierzu gehören Zertifizierungen, implementierte Standards, Regeln zum Reporting von Vorfällen, Recovery nach Ausfällen und Metriken. Die Service Level Agreements (SLAs) sind Teil des CSAs. Sie setzen klare Erwartungen zwischen dem Nutzer und dem Cloud-Provider zu Frequenz und Art erwarteter Ausfällen oder schlechter Performanz der Services.

Exit-Prozess: "das Recht vergessen zu werden"

Was passiert, wenn man irgendwann den Cloud-Provider wechseln oder die abgebildete Funktionalität ins eigene Rechenzentrum verlagern möchte? Der Exit-Prozess sollte schon vor Abschluss eines Vertrages definiert werden. Hierzu gehört das garantierte Löschen von Backups, Logs etc. erst nach einer bestimmten Zeit nach einer Migration, und auch das Recht auf das vollständige Löschen der Daten (the right to be forgotten). Neben den Kosten für das Hochladen von Daten (Inbound Traffic) in den Cloud-Service sollte man auch die Kosten des Rücktransfers der Daten (Outbound Traffic) betrachten, diese können je nach Cloud-Provider unterschiedlich hoch sein.

Unterschiede zwischen Cloud-Providern

Eine pauschale Aussage, welcher Cloud-Anbieter jetzt "besser" oder "sicherer" ist als der andere, lässt sich nicht treffen, und Details der Angebote können sich auch von einem auf den anderen Tag ändern.

Bei der Auswahl eines Cloud-Anbieters sollte man aber besonders auf folgende Punkte achten:

Welche Sicherheitsaspekte sind "eingebaut", d. h. standardmäßig Bestandteil des jeweiligen Cloud-Services, und was ist als extra Service (evtl. mit zusätzlichen Kosten) verfügbar? Gibt es Sicherheitsaspekte, die gar nicht abgedeckt werden (können)?

Je nach Cloud-Provider sind standardmäßig unterschiedliche Ports und Protokolle geöffnet und erlaubt. Es kann sein, dass nach Provisionierung eines Cloud-Services alle Ports zu sind, und man öffnet selbst diejenigen, die man braucht. Aber auch der gegensätzliche Fall ist möglich, und stellt ein Sicherheitsrisiko dar, das man selbst beheben kann und muss.

Wie schnell sind neue Einträge in den Activity Logs sichtbar (handelt es sich um Sekunden, Minuten, oder gar Stunden?), und wo und wie hat man Zugriff auf die Logs?

Konkrete Schritte

Wo fängt man nun an, wenn man sich für einen Cloud-Service oder Cloud-Provider entscheiden will? Welche Überlegungen sind wichtig?

Was braucht man genau? Wie genau sieht der technische Bedarf aus, d. h. was muss der Cloud-Service an Funktionalität liefern? Welchen Policies und Regularien muss man (und damit auch der Cloud-Service) genügen? Welche Abrechnungsmodalitäten wären optimal? Und welche Integration mit den bereits vorhandenen Systemen muss gewährleistet werden? Wer ist wofür verantwortlich? Verantwortlichkeiten werden im Cloud Service Agreement (CSA) sowie in Service Level Agreements (SLAs) festgelegt. Hier sollte man auch auf eventuelle Lücken achten – gibt es Aspekte, die in den Agreements nicht definiert sind, die aber vom Nutzer aus technischen Gründen nicht abgedeckt werden können? Welche Sicherheitsstandards werden eingehalten/sind implementiert? Sicherheitsstandards garantieren, dass Best Practices befolgt werden – sowohl intern als auch beim Cloud-Provider. Damit wird sowohl eine Integration mit bereits bestehender Infrastruktur gewährleistet, als auch ein Vendor-lock-in vermieden, d. h. Flexibilität erhalten. Zudem erleichtern Sicherheitsstandards die Einhaltung von Regularien und Policies. Welche Experten kann und sollte man in den Entscheidungsprozess involvieren? Neben der eigenen IT-Abteilung, dem Chief Security Officer (CSO) und der Rechtsabteilung ist oft auch die Einbindung anderer Abteilungen und Personas, wie z. B. der Finanzabteilung, sinnvoll. Wenn noch Fragen offen sind, sollten diese auf jeden Fall vor Abschluss eines Vertrages geklärt werden!

In a Nutshell

Man sollte sich auch beim Thema Cloud-Security genau überlegen, welche Ziele man genau verfolgt und wie man diese am besten (am schnellsten und nachhaltigsten) umsetzen kann. Dabei sollte man möglichst alle Parteien, die später an der Umsetzung und Aufrechterhaltung des Projektes beteiligt sein werden, beratend in den Entscheidungsprozess mit einbeziehen.

Ich habe mich für eine lesefreundliche (und damit gegen eine gendergerechte) Schreibweise entschlossen. In diesem Artikel verwende ich nur die männliche Form – die weibliche Form ist selbstverständlich immer mit eingeschlossen.

Autorin