Definieren von Cloud-SLAs: Grundlegende Sicherheits- und Compliance-Fragen

Gerade in der Cloud ist ein klar definiertes SLA enorm wichtig. Nur dann weiß der Kunde ganz genau, auf was er sich im Ernstfall verlassen kann.

Die Notwendigkeit einer sorgfältigen Prüfung von Service-Level Agreements (SLAs) für die Cloud liegt auf der Hand. Cloud-Services, die Bedingungen und Verantwortlichkeiten klar definieren, können damit die Erwartungen ihrer Kunden steuern und ihnen bestimmte Zusagen machen. In diesem Tipp finden Sie hilfreiche Anregungen zu Sicherheits- und Compliance-Fragen, die bei der Erarbeitung eines Cloud-SLA berücksichtigt werden sollten.

ITIL v3 definiert ein Service-Level Agreement als die zwischen einem Anbieter und einem Kunden vereinbarten Dienste, Ziele und Verantwortlichkeiten. Im Hinblick auf  Sicherheit bedeutet dies: Ein SLA bietet Transparenz und gibt gewisse Kennzahlen vor. Damit schafft es Vertrauen in Umgebungen, die schnelle Änderungen und Automatisierung ermöglichen.

Unter Berücksichtigung dieser Punkte konzentrieren sich die dringendsten Fragen hinsichtlich Cloud-Sicherheit und Compliance auf die drei größten Risikobereiche:

  1. Eigentumsrechte an Daten, einschließlich Aufbewahrung, Kontrolle, Besitz und Recht auf Rückgabe
  2. Verfügbarkeit, Überwachung und Antwortzeit von Services
  3. Grundlegende Merkmale von Services wie die sorgfältige Überprüfung der Einhaltung gesetzlicher Vorgaben oder der Sicherheit hinsichtlich Konfigurations- und Schwachstellen-Management.

Das Verfassen eines SLA, das die obigen drei Bereiche abdeckt, lässt sich durch ein Vorgehen nach den vier Kontrollbereichen (Technologie, Prozesse, Menschen und Standort) erleichtern. Die Messung erfolgt anhand der Kriterien Verfügbarkeit, Vertraulichkeit und Integrität.

Cloud-SLA: Verfügbarkeit

Für Service-Provider ist die Verfügbarkeit vermutlich der wichtigste Prüfstein. Übliche Kennzahlen dafür sind Antwortzeit, Zeitaufwand für Wiederherstellung und Wiederherstellungspunkt. Als 2011 der Cloud-Dienst von Amazon mehrere Tage lang  ausfiel, zeigte sich auch die Bedeutung der Geographie für eine Cloud-SLA: Der Ausfall verstieß nicht gegen das EC2 SLA von Amazon, das eine "Verfügbarkeit des Service in Höhe von 99,95 Prozent innerhalb einer Region über einen laufenden Zeitraum von 365 Tagen" zusagt. So bewahrte das Kleingedruckte im SLA Amazon vor Schadensersatzforderungen, als eine Region der EBS- und RDS-"Verfügbarkeitszone" unerwartet ausfiel. Kunden mit Bedarf an einer höheren Verfügbarkeit hätten dies von vornherein durch Anforderung mehrerer Verfügbarkeitszonen und Provisionierung des Service über verschiedene geografische Bereiche ausschließen sollen.

Cloud-SLA: Vertraulichkeit

Hinsichtlich Vertraulichkeit hat der Standort die umgekehrte Wirkung. Die meisten Unternehmen möchten einen Transfer ihrer Daten in Regionen mit anderer Rechtsprechung vermeiden. Europäer tendieren beispielsweise dazu, ihre Daten nicht auf Servern in den USA zu speichern. Grund hierfür ist ein möglicher Verlust der Vertraulichkeit, da Aufbewahrung, Steuerung und Besitz von Daten eventuell unter US-Gesetze fallen und Behörden darauf zugreifen könnten. Auf der anderen Seite verlangt  eine gesetzliche Bestimmung mit der Bezeichnung "International Traffic in Arms" (ITAR), dass nur US-Staatsbürger Zugriff erhalten. Zur Erfüllung dieser Anforderung kündigte Amazon im Jahr 2011 einen Service an, der über ein einziges Rechenzentrum bereitgestellt wird.

Der Standort spielt bei einer Cloud-SLA eine große Rolle hinsichtlich Verschlüsselung, Identitätsmanagement und anderen Maßnahmen, die nationale Gesetze berühren. Ein weiterer wichtiger Aspekt ist die Frage, wie Menschen, Prozesse und Technologie für eine zuverlässige Vernichtung von Daten sorgen können, um eine Offenlegung von Informationen zu verhindern. Angesichts der Flexibilität einer Cloud mit der entsprechenden hohen Verfügbarkeit und geografischer Verteilung stellt sich folgende Frage: Wie kann ein Cloud-Provider überhaupt und in Übereinstimmung mit einem anerkannten Kriterium oder einem Standard die vollständige Vernichtung von Daten belegen?

Cloud-SLA: Integrität

Die Bewertung der Integrität bezieht sich auf Risiken hinsichtlich Datenformat, Portabilität und Change-Management. Verwendet ein Cloud-Anbieter ein proprietäres Format für Systeme, das dem Kunden bei einem Ausstieg Probleme bereitet? Wie kann ein Cloud-Anbieter garantieren, dass eine Anwendung oder das Image eines virtuellen Systems nicht ohne Genehmigung des Kunden geändert wird? Einige SaaS-Anbieter haben ohne Mitteilung oder Hinweis auf ein dokumentiertes Verfahren zur Rückgängigmachung sogar Änderungen eingeführt und Bugs in Produktionssystemen verursacht. Für die Kunden ergeben sich dann Probleme, falls geschäftliche Prozesse – einschließlich der auf APIs basierenden Prozesse – plötzlich und unerwartet ausfallen.

Wie Sie sehen, gibt es jede Menge Risiken und ein paar eindeutige Faktoren, mit denen sich ein Cloud-Anbieter auseinandersetzen muss, um im Rahmen eines SLA realistische Zusicherungen machen zu können. Glücklicherweise lassen sich zur Lösung dieses Problems vorhandene Standards, Regeln und Maßnahmen-Listen problemlos anpassen. Als international anerkannter Standard bezieht sich das ISO 27001 Framework für die sichere Verwaltung von Daten auf den Standard ISO 27002. Er beschreibt und nennt Details für die durch einen Anbieter von Cloud-Services zu treffenden Sicherheitsvorkehrungen. Zudem ersetzt in den USA der Standard SSAE16/SOC2 den Standard SAS70, in dem Maßnahmen durch Service-Anbieter erläutert werden. Kunden können diese Standards als Grundlage für die Entwicklung von Cloud-SLAs verwenden.

Über den Autor:

Davi Ottenheimer ist President des Sicherheitsberatungsunternehmens flyingpenguin und Autor des Buchs „Securing the Virtual Environment: How to Defend the Enterprise Against Attack.“ Er ist QSA und PA-QSA für K3DES mit mehr als 18 Jahren Erfahrung  im Bereich Betriebssicherheit und Assessments. Zudem hat er zehn Jahre  Erfahrung mit Notfall-Plänen und digitaler Forensik. Ottenheimer war früher Global Communication Security Manager bei Barclays Global Investors und ein „Dedicated Paranoid“ bei Yahoo!, wo er mit Fragen der Sicherheit von digitaler Haustechnik, Breitband und mobilen Geräten befasst war.

Artikel wurde zuletzt im November 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close