Die Definition von Cloud Computing und was für die IT-Security relevant ist

Cloud Computing hat viele Facetten, doch nicht alle Bereiche sind klar definiert. Security-Experten müssen sich daher mit allen Details beschäftigen.

Cloud Computing ist ein allgegenwärtiger Teil heutiger IT-Strategien und den zugehörigen Architekturen in Unternehmen. Betriebskosten werden an Dritte ausgelagert, die sich um das managen und warten der Services kümmern. Cloud-Provider bieten dabei verschiedene Services an: von der Gehaltsabrechnung über Personalbeschaffung, Performance-Management, Training bis hin zum Storage. Die durchschnittlichen Kosten sollen sinken, wobei die Kompetenzen für Technologien und Ressourcen gleichzeitig steigen. Der Grund ist die Verbindung zwischen Kunde und Service-Anbieter.

Durch den Einfluss der Cloud befinden sich Security-Fachleute verglichen mit Ihren IT-Kollegen in einer einzigartigen Position. Deren Kontrolle ist oft auf die Büroräume der Firma und das Data Center limitiert. Security-Fachleute müssen hingegen auch die Netzwerke der Drittanbieter im Auge behalten, die in der Regel einfach als die Cloud bezeichnet werden. Die zu beobachtende Geräte befinden sich also außerhalb ihres Einflusses. Es kommt nicht darauf an, ob Sie ein CISO sind, der ein Team an Security-Profis managt oder ein Techniker, der wichtige Anlagen eines Unternehmens schützen muss. Fachwissen über die Cloud ist ein Grundelement, um Anwender, Daten und Infrastruktur einer Firme wirksam zu schützen.

Bevor Security-Experten mit der Cloud zusammenhängende Assets schützen können, müssen sie natürlich eine vermeintlich einfache Frage beantworten: Was ist die Cloud? In diesem Tipp gehen wir auf existierende Definitionen von Cloud Computing ein und füllen Wissenslücken, um Security-Profis ein umfangreiches Gesamtbild zu vermitteln.

Definitionen von Cloud Computing neu bewerten

Wir haben uns bereits mit einigen Definitionen von Cloud Computing befasst. Security-Profis müssen Cloud-Technologie aber genau verstehen und nicht nur vage Kenntnisse davon haben. Das National Institute of Standards and Technology (NIST) liefert eine nützliche Definitionen zu Cloud Computing: „Ein Modell, um einen universellen und nützlichen Netzwerk-Zugriff bei Bedarf auf einen gemeinsam genutzten Pool konfigurierbarer Computing-Ressourcen (zum Beispiel Netzwerk, Server, Storage, Applikationen und Services) zu ermöglichen, die sich mit minimalem Aufwand oder ohne Eingriffe des Service-Providers bereitstellen lassen.“ NIST schlüsselt das Cloud-Modell zudem nach notwendigen Charakteristiken, Service- und Bereitstellungsmodellen auf. Die nachfolgende Tabelle bietet Überblick:

Cloud Computing

Charakteristik

Service-Modell

Bereitstellungs-Modell

On Demand Self-Service Software as a Service (SaaS) Private Cloud
Umfassender Netzwerk-Zugriff Platform as a Service (PaaS) Community Cloud
Poolbildung von Ressourcen Infrastructure as a Service (Iaas) Public Cloud
Schnelle Anpassbarkeit   Hybrid Cloud
Messbare Services    

Einige Analysten und Anbieter bezeichnen Cloud Computing als eine aktualisierte Version von Utility Computing. Im Prinzip sind das virtuelle Server, die über das Internet erreichbar sind. Viele Security-Experten definieren dies allerdings weiter und betrachten alle eingesetzten Services, die sich außerhalb der Firewall eines Unternehmens befinden, als Cloud. Sie beziehen sogar konventionelles Outsourcing in diese Definition ein.

Die hier genannten Definitionen sind hilfreich, auch wenn einige offensichtliche Lücken haben. Zum Beispiel ist Bring Your Own Device (BYOD) nicht enthalten. Dabei handelt sich um eine massive Änderung der Geschäftsumgebungen in den vergangenen Jahren. Durch BYOD wurden traditionelle private Netzwerke plötzlich Teil einer Firma. Heimnetzwerke besitzen ebenfalls alle Eigenschaften der Definition von NIST, befinden sich aber außerhalb der Unternehmens-Firewall. Betrachten deshalb Sicherheitsexperten Heimnetzwerk als Teil der Cloud?

In diesem Fall unterscheiden sich Cloud, BYOD und Heimnetzwerke in erster Linie bei den Kontroll- und Vertragsmöglichkeiten. Während die Service-Modelle, wie sie von NIST definiert werden, ein gewisses Maß an Verpflichtung bieten, setzt BYOD auf Ehrlichkeit. Wenn zum Beispiel jemand in mein Heimnetzwerk einbricht, bin ich nicht verpflichtet, den Einbruch meinem Arbeitgeber mitzuteilen. Das ist auch dann der Fall, wenn ich auf die Firmen-Assets via VPN-Verbindung zugreife. Sollte sich der Einbruch auch auf das Netzwerk meines Unternehmens ausweiten, kann man mich nicht dafür verantwortlich machen. Zudem weiß mein Arbeitgeber nicht, wer auf mein Heimnetzwerk Zugriff hat.

Wollen die IT-Security-Teams umfassenden Schutz gewährleisten, müssen Sie die von den Arbeitnehmern zugehörigen Infrastrukturen beachten. Wir nennen dies Consumer-as-a-Service (CaaS)-Infrastrukturen. Diese sollten Sie grundsätzlich als nicht-vertrauenswürdig behandel und alle verfügbaren Maßnahmen ergreifen. Die CaaS-Infrastrukturen setzen Sicherheitsmaßnahmen voraus, die auch bei hybriden Cloud-Computing-Implementierungen eingesetzt werden.

Eine weitere Lücke in diesen Definitionen ist das Deep Web oder auch Dark Web. Moderne Suchmaschinen haben darauf keinen Zugriff. Dieser Bereich gehört zum Tagesgeschäft von Security-Fachleuten. Die Struktur des Deep Web besteht aus verborgenen Kanälen,Verschlüsselungen und verteilten Dateisystemen. Diese lassen sich bei Bedarf mit geringem Kostenaufwand skalieren und sind undurchsichtig. Das so genannte Threat-as-a-Service- (TaaS) -Modell lässt sich vom Rechner eines Angreifers oder durch eine kompromittierte Infrastruktur nach Bedarf erweitern und bietet böswilligen Hacker die Fähigkeit, verwundbare Ziele mit Traffic lahmzulegen – unabhängig vom Standort.

Um die Diskussion abzuschließen, muss man auch die sogenannte Inert Cloud betrachten, die die letzte Security-Lücke in unserer Cloud-Definitionen darstellt. Wir nennen sie träge (inert), da wir kaum Einfluss auf die Gesetze und Regularien haben, die das Internet regeln und überwachen. Auch wenn wir nur wenig Kontrolle darüber haben, müssen Firmen mit diesen trägen Instanzen umgehen oder mit dem Ausschluss vom Internet rechnen.

Das Internet (zum Beispiel Registrierungsstellen, ISPs, Telekommunikations-Provider etc.) ist eine System, das aus Subsystemen besteht, die in einer Wechselbeziehung stehen: Das eine kann nicht ohne das andere existieren. Deswegen muss man das komplette System im Auge behalten, um den End-to-End-Schutz zu gewährleisten. Nachfolgend finden Sie eine NIST-Liste über Cloud Computing mit den entsprechenden Aktualisierungen, um die angesprochenen Lücken zu schließen.

Cloud Computing
Charakteristik Service-Modell Bereitstellungs-Modell
On Demand Self-Service Software as a Service (SaaS) Private Cloud
Umfassender Netzwerk-Zugriff Platform as a Service (PaaS) Community Cloud
Poolbildung von Ressourcen Infrastructure as a Service (Iaas) Public Cloud
Schnelle Anpassbarkeit Consumer as a Service (CaaS) Hybride Cloud
Messbare Services Threat as a Service (TaaS) Inert Cloud

Fazit: Cloud-Aktivitäten

Wie wir gezeigt haben, ist die Cloud ein undurchsichtiges Design-Konzept. Selbst so renommierte Enrichtungen wie NIST lässt hier Lücken offen. Mit den von uns aktualisierten Definitionen können Security-Fachleute die IT-Umgebungen neu bewerten. Dabei sollten Sie die dargelegten Bereiche beachten.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close