Cloud-Sicherheit richtig angehen

Cloud-IT und Cloud-Sicherheit - worauf man achten sollte, welche Arten es gibt und wie wichtig die Sicherheit dabei ist.

Eine Definition der Cloud Security Alliance: „Cloud-Computing ist ein Modell für die Ermöglichung von allgegenwärtigem, bequemem Netzwerk-Zugriff nach Bedarf auf einen geteilten Pool von konfigurierbaren Rechen-Ressourcen (z.B. Netzwerke, Server, Storage, Anwendungen und Dienste).“ Eine bessere Definition lässt sich kaum finden – sie fasst elegant die wichtigsten Eigenschaften von Cloud-Computing für Unternehmen zusammen. „Bequem und nach Bedarf“ lässt sich dabei auch verstehen als flexibel, ohne Vorlaufzeit und zu geringen Kosten.

Ohne Frage dürften wir es mit Cloud-Computing noch eine Zeitlang zu tun haben, und die Technologie wird sich weiter verbreiten. Als Folge davon müssen wir dafür sorgen, dass Daten entsprechend den Erwartungen aller Stakeholder gesichert sind; dazu zählen das Unternehmen selbst, die Kunden und Klienten und natürlich Aufsichtsbehörden und -gremien.

Cloud-Dienste werden grundsätzlich in drei möglichen Modellen angeboten:

  • Software-as-a-Service (SaaS): Hier gehören dem Cloud-Provider Anwendung, Betriebssystem (OS) und Infrastruktur, und Sie greifen auf Entfernung auf die Anwendung zu. Beispiele dafür sind Dienste zur Dokument-Freigabe wie Evernote oder Anwendungen für Customer Relationship Management (CRM) wie Salesforce. Zusammengefasst: „Machen Sie das für mich!“
  • Platform-as-a-Service (PaaS): Dem Provider gehören OS und Infrastruktur, Ihnen die Anwendung. Diese Art von Dienstleistungen wird oft für Software-Entwicklung in der Cloud genutzt und bietet dann eine Test-Umgebung, ohne dass zusätzliche Hardware und OS-Lizenzen angeschafft werden müssen. Zusammenfassen lässt sich das als „Geben Sie mir eine nette API und kümmern Sie sich um den Rest!“
  • Infrastructure-as-a-Service (IaaS): Hier gehört dem Provider nur die Infrastruktur, OS und Anwendung verbleiben bei Ihnen. Dieses Modell ist oft passend für große E-Commerce-Anwendungen und hat große Ähnlichkeit mit älteren Hosting-Lösungen. Ein Beispiel dafür ist EC2 von Amazon. Kurz: „Warum Computer kaufen, wenn man CPU-Zyklen mieten kann?“

Für den Einsatz von Cloud-Computing können viele Faktoren sprechen. Einige der häufigsten sind:

Einfachheit

Oft ist es leichter und billiger, eine SaaS-Anwendung zu beziehen, statt in interne Enterprise-Software zu investieren; hinzu kommt, dass sie dann ohne Virtual Private Network (VPN) von überall aus zugänglich ist. SaaS-Dienstleistungen wie Dropbox, Evernote oder Gmail werden von kundigen Computer-Nutzern zuhause eingesetzt, und sie wollen dieselben Möglichkeiten auch bei der Arbeit.

Geschwindigkeit

Manche Projekte brauchen eine schnelle, einfache Lösung für die Software-Entwicklung. Hier bietet sich die Nutzung von PaaS an, denn dazu muss die zentrale Sicherheitsabteilung der Organisation nicht involviert werden.

Ersparnisse

Bei jedem IaaS-Modell entfallen die Kosten für Hardware, Software-Lizenzen, Strom und Kühlung von Rechenzentren sowie die Miete dafür.

Mit jedem der vorgestellten Modelle gehen allerdings auch unterschiedliche Herausforderungen und Antworten in Bezug auf Cloud-Sicherheit einher. Aber Cloud-Sicherheit ist keine Frage von Schwarz oder Weiß. Weder kann man sagen „Nein, ich nutze die Cloud nicht, weil sie nicht sicher ist“ noch „Ja, Cloud-Dienste sind die Lösung für alle Probleme“. Eher ist es so, wie es der Wissenschaft-Kolumnist Ben Goldacre formulieren würde: „Sie werden feststellen, dass die Sache etwas komplizierter ist“. Folgende Fragen stellen sich:

  • Wo werden Ihre Daten aufbewahrt? In welchem Land?
  • Wer hat Zugriff auf Ihre Daten?
  • Wurden die Belegschaft des Cloud-Providers (und seine freien Mitarbeiter) überprüft?
  • Wie gut werden Ihre Daten von anderen Nutzern getrennt gehalten?
  • Sind Ihre Daten beim Ruhen verschlüsselt? Wer hat die Schlüssel dafür?
  • Wie werden sie gesichert? Sind die Backups verschlüsselt? Wo liegen die Backups?
  • Wie werden Daten übertragen? Über verschlüsselte Verbindungen? Wie werden die Nutzer authentifiziert?
  • Hat sich der Provider von einer externen Partei mit gutem Ruf testen lassen?

Bei Überprüfungen von Cloud-Anbietern gab es durchaus schon unschöne Ergebnisse: Patches wurden unvollständig oder spät aufgespielt. Es gab schwache Zugangskontrollen für Remote-Zugriffe zur Administration und sogar Fehlkonfigurationen der Datentransfer-Kanäle zwischen mehreren Cloud-Anbietern, so dass Kreditkarten-Daten nicht verschlüsselt waren.

Die Lösung liegt hier darin, sich auf gute Praktiken und Prozesse für Sicherheit zurückzubesinnen. Sorgen Sie dafür, dass Sie bei jedem Projekt möglichst früh involviert werden, bei dem vielleicht ein Cloud-Dienst verwendet wird. Finden Sie so viel wie möglich heraus über die Maßnahmen und Infrastruktur eines Providers für Cloud-Sicherheit, und seien Sie dabei misstrauisch. Wenn der Dienst Daten nicht sowohl beim Ruhen als auch bei Transfers verschlüsselt, vertrauen Sie ihm keine sensiblen Informationen an.

Versuchen Sie auch, so weit wie möglich die Verantwortlichkeiten zwischen Ihren eigenen Administratoren und denjenigen beim Service-Provider aufzuteilen. So hat keine Einzelperson vollen Zugriff über alle Sicherheitsschichten. Prüfen Sie, ob der Cloud-Anbieter einen anerkannten Sicherheitsstandard wie ISO 27001 erfüllt. Und denken Sie darüber nach, einen Highend-Anbieter zu wählen, der sein Sicherheitsbewusstsein schon bewiesen hat - „man bekommt das, wofür man bezahlt“, sagt der Gartner-Analyst Jay Heiser.

  • Eine erste grobe Checkliste für die Evaluierung der Eignung eines Cloud-Anbieters in sachen Cloud-Sicherheit sollte die folgenden Punkte umfassen:
  • Lassen Sie sich die Richtlinie zu Informationssicherheit zeigen
  • Lassen Sie sich die Ergebnisse der Überprüfung von Beschäftigten und Mitarbeitern zeigen
  • Fragen Sie nach genauen Angaben dazu, wer Zugriff auf die Daten hat
  • Fragen Sie nach Belegen für externe Tests und Auditierungen
  • Sorgen Sie dafür, dass Verantwortlichkeiten in Bezug auf Sicherheit im Vertrag klar definiert sind
  • Falls es um sensible Daten geht: Fragen Sie, ob sie auch ruhend verschlüsselt sind
  • Nehmen Sie wenn möglich eigene Tests und Auditierungen vor.

Die Cloud Security Alliance veröffentlicht zu diesen Themen sehr hilfreiche Ratschläge und Hilfen, darunter vor allem den Leitfaden „Security Guidance for Critical Areas of Focus in Cloud Computing“, der aktuell in Version 3.0 vorliegt. Mit 177 Seiten ist er keine leichte Lektüre, aber für jeden unverzichtbar, der mit Datensicherheit zu tun hat – also jeden, der in einem Unternehmen einen Cloud-Dienst einsetzt. Wenn Sie sich Gedanken über Sicherheit in der Cloud machen, sollten Sie die nötige Zeit investieren, um das Modell und die damit zusammenhängenden Risiken für Ihre Daten genau zu verstehen.

 

Peter Wood ist Chief Executive Officer von First Base Technologies LLP und Mitglied der ISACA London Chapter Security Advisory Group

Artikel wurde zuletzt im Januar 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close