Der sichere Pfad in die Cloud
Viele Unternehmen marschieren mit großen Schritten in Richtung Cloud Computing, da es Möglichkeiten bietet, kostengünstig und flexibel IT-Infrastrukturen und Anwendungen zu betreiben
Den Chancen stehen aber auch Risiken gegenüber. Dabei kommt es besonders darauf an, einen klar definierten Prozess zur Migration in die Cloud zu verfolgen
Von: Dr. Thomas Störtkuhl, (ISC)⊃2;-zertifizierter CISSP, Mitglied der Geschäftsleitung, Secaron AG
(04.07.11) - Dieser Artikel versucht einen Prozess zur sicheren Migration in eine Public Cloud zu beschreiben. Das vorgestellte funktionsunabhängige Vorgehen soll eine Kontrolle der Risiken und Compliance-Anforderungen und damit ein angemessenes Sicherheitsniveau gewährleisten. Zudem werden die besonderen Risiken, die mit dem Outsourcing in eine Public Cloud verbunden sind, aufgezeigt. In diesem Zusammenhang wird Cloud Computing als ein Outsourcing-Vorhaben mit folgenden Besonderheiten betrachtet:
>> die Provider und die "Standorte" der Cloud sind anonym weltweit verteilt;
>> die Ressourcen können on-demand sofort zur Verfügung gestellt werden.
Chancen durch Cloud Computing
Cloud Computing steht für kostengünstige und flexible Services, die sofort verfügbar sind. Neue Geschäftsprozesse können so flexibel gestaltet und zügig eingeführt werden. Die Cloud stellt dafür zahlreiche Applikationen und Ressourcen zu Verfügung. Dabei werden die Daten der Geschäftsprozesse weltweit erreichbar und das auf denkbar einfache Weise: der Benutzer kann mit seinem "Mobile Device" über die von der Cloud zur Verfügung gestellten Schnittstellen jeder Zeit problemlos auf die gewünschten Informationen und Applikationen zugreifen. Gleichzeitig bieten unterschiedliche Abrechnungsmodelle große Einsparmöglichkeiten. Neben der Wartung von Hard- und Software, sowie dem IT Service Continuity Management, können mittlerweile auch erste Sicherheitsfunktionalitäten wie das Content Filtering als Cloud Services genutzt werden.
Risiken durch Cloud Computing
Die Betrachtung der Risiken beschränkt sich hier auf das Thema Public Cloud. Dieser Outsourcing-Fall schafft folgendes Risikoszenario:
>> Missbrauch der Cloud
Eine Public Cloud kann in vielfältiger Weise missbraucht werden: Server der Cloud können als Teil eines Botnetzes missbraucht werden, die Rechenleitung der Clouds könnte für das hacken von Passwörtern oder für Denial-of-Service-Angriffe verwendet werden, Malware könnte in der Cloud gespeichert werden etc. All diese Risiken betreffen zunächst den Betreiber einer Public Cloud, aber indirekt natürlich auch seine Nutzer.
>> Unsichere Schnittstellen
Die Schnittstellen der Cloud müssen ausreichend abgesichert werden, um Risiken wie die unverschlüsselte Übertragung sensibler Daten und Credentials (Passwörter, kryptographischer Schlüssel) oder unautorisierte Zugriffe auf Daten und Applikationen zu verhindern.
>> Interne Angriffe
Eine Lokalisierung der Daten ist auf einfache Weise insbesondere für den Dateneigentümer nicht mehr möglich. Die Gefahr liegt darin, dass aufgrund mangelnder Transparenz nicht klar ist in welchen Ländern und Rechenzentren sowie auf welchen Servern und mit welcher Software Daten gespeichert und verarbeitet werden. Aufgrund des Distributed Computing kann eine angemessene Zugriffskontrolle auf Daten nur schwer realisiert werden. Generell ist es eine große Herausforderung kulturenübergreifend bei unterschiedlicher Rechtsprechung Zugriffskontrollen durchgängig durchzusetzen. All diese Umstände führen dazu, dass interne Angriffe stärker als Risiko berücksichtigt werden müssen.
>> Löschung von Daten nicht möglich
Hier ist zu berücksichtigen, dass Applikationen zusammen mit ihren Daten beliebig zwischen Servern und Rechenzentren verschoben werden können. Damit ergibt sich das Problem, dass Daten, die auf verschiedenen Festplatten, in verteilten Archiven und Backups gespeichert sind, so gelöscht werden können, dass keine Möglichkeit mehr besteht sie wieder zu generieren. Zu beachten ist insbesondere, dass nach Beendigung des Vertragsverhältnisses die verarbeiteten Daten und alle Zwischenergebnisse in der Public Cloud gelöscht werden müssen oder auf sichere Weise auf andere Systeme übertragen werden.
>> Verletzung von Datenschutzgesetzen
Da nicht von vornherein klar ist, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden und auch die Datenflüsse prinzipiell unbekannt sind, besteht eine erhöhte Gefahr der Verletzung von Datenschutzvorschriften.
>> Intransparenz durch Subunternehmer
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider kann ja nach Belieben für gewisse Leistungen Subunternehmer verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer vollkommen verborgen, so dass nicht bekannt ist, auf welchen weltweit verteilten Ressourcen sich die Daten des Benutzers befinden.
>> Insolvenz des Providers
Die Insolvenz eines Providers bedeutet nicht, dass alle Rechenzentren, die der Provider für Cloud Computing verwendet hat, ebenfalls insolvent sind. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft. In all diesen Fällen ist nicht klar, wie die Daten vor unberechtigtem Zugriff geschützt werden.
>> Beschlagnahmung von Hardware
Eine Beschlagnahmung von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen betreibt. Diese kann aus vielen Gründen erfolgen, die nicht durch den Auftraggeber verantwortet oder beeinflusst werden können. Dabei können sich Daten des Auftraggebers auf den beschlagnahmten Servern befinden. Zudem können Logdaten auf Servern und Routern Schlussfolgerungen über Geschäftstätigkeiten ermöglichen auch wenn keine sonstigen Geschäftsdaten vorliegen.
>> Handel mit Ressourcen wird denkbar
Zurzeit ist noch nicht ersichtlich, inwieweit Provider von Cloud Computing einen Handel mit ihren Ressourcen untereinander aufbauen werden. Eine "Ressourcenbörse" ist aber denkbar. Die Konsequenzen, die sich daraus für die Sicherheit ergeben, können im Moment noch nicht beurteilt werden.
>> Erpressungsgefahr
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis, der die Ressourcen der Cloud administriert unüberschaubar groß ist. Zu beachten ist hier, dass das eingesetzte Personal im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein verfügt. Auch sind die Motivationslagen der Mitarbeiter in vielen Ländern nicht kalkulierbar.
Sicherheit in der Cloud umsetzen
Im Folgenden sollen nicht die gängigen Maßnahmen wie die Absicherung der Rechenzentren, Einsatz von Firewalls etc. diskutiert, sondern diejenigen Maßnahmen aufgezeigt werden, die geeignet sind die oben genannten Risiken zu reduzieren. Diese Maßnahmen betreffen besonders die Bereiche:
>> Verschlüsselung und Integrität
>> Authentisierung
>> Identity Management
>> Vertragsgestaltung und Compliance (Datenschutz)
>> Organisation
Eine Vielzahl von technischen und organisatorischen Maßnahmen ist denkbar um Risiken bei der Migration in die Cloud zu reduzieren. Hierzu zählen vertragliche Regelungen, die Themen wie Notfälle, Datenschutz, Audit-Rechte und Vertragsbeendigung berücksichtigen. Ergänzend muss in SLAs (Service Level Agreement) festgeschrieben werden, mit welcher Güte (Überprüfbar mit messbaren Kennzahlen) die Cloud Services zu erbringen sind. Bei den technischen Maßnahmen ist weiterhin die Verschlüsselung der Daten in Datenbanken und bei der Kommunikation (z.B. Ver- und Entschlüsselung von vertraulichen Daten nur am Client, XML Encryption zertifikatsbasiert zur Realisierung einer Ende-zu-Ende Verschlüsselung) zu berücksichtigen:
>> Einsatz digitaler Signaturen zum Schutz der Daten und Dokumente (XML Signature),
>> eine verbesserte Authentisierung mittels einer 2-Faktor-Authentisierung zum Beispiel mit dem Einsatz von Smartcard und digitalen Zertifikaten,
>> ein ausgereiftes Identity Management, das es erlaubt elektronische Identitäten gesichert zu transportieren (Federation),
>> Schutz von Dokumenten über Rights Mangement Systeme
>> Entwicklung von Sicherheitskonzepten, die auch den Notfall und die Migration in die Cloud und aus der Cloud berücksichtigen,
Um die notwendigen Maßnahmen zu erkennen, zu koordinieren und letztendlich umzusetzen sollte ein definiertes Verfahren, ein sogenannter sicherer Pfad für die Migration in eine Public Cloud durchlaufen und nicht verlassen werden.
Dieses Vorgehen sollte mindestens folgende Aspekte beinhalten:
>> Das Management hat eine Strategie für Cloud Computing entwickelt, in der insbesondere definiert ist, welche Geschäftsbereiche oder -prozesse in eine Public Cloud ausgelagert werden dürfen und sollen und welche nicht. Zudem wird erläutert, welche allgemeinen Risiken abzusichern sind oder auf keinen Fall eingegangen werden dürfen.
>> Das Vorgehen definiert klar die Phasen Planung, Vertragsgestaltung, Migration und Betrieb sowie alle notwendigen Verantwortlichkeiten.
>> Alle Verantwortlichen wie Management, Rechtsabteilung, Betriebsrat, Datenschutzbeauftragter, Sicherheitsbeauftragter und Fachabteilungen werden von Anfang an einbezogen.
>> Für die Migration in die Public Cloud ist ein Sicherheitsbeauftragter benannt, der auch während des Betriebs der Cloud zuständig bleibt.
Planungsphase
Zunächst wird für die Migration in die Public Cloud auf grober Ebene eine erste "Sicherheitsanalyse" durchgeführt. Hierzu werden erste Varianten für die Migration in die Public Cloud entwickelt, die sich zum Beispiel bzgl. des Service Modells (Software-as-a-Service - SaaS, Platform-as-a-Service - PaaS oder Infrastructure-as-a-Service - IaaS) unterscheiden können. Die unterschiedlichen Varianten, die in Frage kommen werden einer Schutzbedarfs- und Risikoanalyse unterzogen. In die Analyse fließen auch gesetzliche (insbesondere Datenschutzrichtlinien) und organisatorische Anforderungen ein. Aus den gewonnenen Informationen werden Sicherheitsanforderungen abgeleitet, die zu erfüllen sind. Aufgrund der analysierten Risiken und umzusetzenden Maßnahmen sowie den damit verbundenen Kosten wird eine Entscheidung getroffen. Die ausgewählte Variante wird im Arbeitsschritt "Auswahl des Dienstleisters" ausgeschrieben und ein Dienstleiter ausgewählt, der die ermittelten Sicherheitsanforderungen möglichst umfassen und kostengünstig erfüllen kann.
Vertragsphase
Ziel des Arbeitsschrittes "Vertragsgestaltung" ist es, in Verträgen und/oder Service Level Agreements (SLA) eine kontrollierbare Leistungsbeschreibung zu vereinbaren. Besondere Schwierigkeiten bei der Vertragsgestaltung bereiten u.a. folgende Punkte:
>> Einräumung von Auditrechten
Im Allgemeinen wird der Cloud-Anbieter seinen Kunden keine Auditrechte in seinen Rechenzentren einräumen. Dies wäre für den Cloud-Anbieter einerseits viel zu aufwändig, andererseits würde das Sicherheitsniveau sinken, wenn hunderte Fremd-Auditoren der Kunden die Rechenzentren prüfen. Deshalb ist es sinnvoll, sich Auditrechte auf Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um z.B. den korrekten Ablauf von Prozessen nachvollziehen zu können. Zudem können Zertifizierungen gefordert werden, die einen Mindeststandard bzgl. Informationssicherheit gewährleisten (z.B. die Zertifizierung nach ISO 27001).
>> Kennzahlen
Gerade die Definition von messbaren Kennzahlen für Vertraulichkeit und Integrität ist keine einfache Aufgabe. In Bezug auf die Verfügbarkeit und Performance werden bereits sinnvolle Kennzahlen durch die Cloud-Anbieter angegeben.
>> Schnittstellendefinition
Besonders wichtig sind die Schnittstellen für den korrekten Betrieb der ausgelagerten Funktion, zum Beispiel bzgl. Security Monitoring, Notfallmanagement und Incident Handling. Hier müssen Prozesse mit klaren Verantwortlichkeiten, Eskalationsstufen und Kommunikationswegen zwischen dem Kunden und dem Cloud-Anbieter definiert werden.
>> Regelungen für die Beendigung der Auslagerung in die Cloud
Auch Vereinbarungen für die Beendigung der Auslagerung in die Public Cloud sind zu treffen. Insbesondere muss u.a. geregelt werden, wie Daten zu übergeben sind und welche Daten so gelöscht werden, dass sie nicht mehr wiederhergestellt werden können.
Migrationsphase
Nach Abschluss des Vertrages beginnt die eigentliche Migration, also die schrittweise und geplante Auslagerung der Funktion. Die Umsetzung der Auslagerung in die Public Cloud beginnt mit der Erstellung von Sicherheitskonzepten, die zusammen mit dem Dienstleister entwickelt werden. Diese stellen die Sicherheitsarchitektur dar, benennen die Risiken und leiten daraus die umzusetzenden Maßnahmen ab. Die Sicherheitskonzepte berücksichtigen dabei die Migrationsphase selbst, da auch während der Migration zu jeder Zeit ein ausreichendes Sicherheitsniveau erhalten bleiben muss. Die Migration erfolgt dann gemäß den Vorgaben der mit dem Dienstleister abgestimmten Sicherheitskonzepte, in denen insbesondere die Verantwortlichkeiten klar definiert werden müssen. Es ist darüber hinaus erforderlich die Sicherheitskonzepte gemäß der Projektentwicklung laufend anzupassen.
Betriebsphase
In Arbeitsschritt "Aufrechterhaltung des sicheren Betriebs" werden die ausgelagerten Funktionen gemäß Vertrag und Sicherheitskonzepten durch den Cloud-Anbieter nach den Sicherheitsanforderungen des Kunden betrieben. Wichtig sind jetzt funktionierende Prozesse und Schnittstellen. Insbesondere dient das Security Monitoring dazu, die Erfüllung der vertraglich vereinbarten Leistungen nachweisen, kontinuierlich verbessern und überprüfen zu können.
Mit dem Arbeitsschritt "Sichere Beendigung der Auslagerung" wird eine geregelte Beendigung der Auslagerung durchgeführt. Auch die Beendigung der Auslagerung muss nach den vertraglich vereinbarten Regelungen erfolgen. Der Dienstleister muss nachweisbar Daten auf seinen Systemen so löschen, dass sie auch mit ausgefeilten Methoden und Technologien nicht wieder hergestellt werden können. Hierzu zählen nicht nur Daten des Geschäftsprozesses, sondern auch betriebliche Daten wie Protokolldaten von Systemen und Applikationen.
Fazit
Die Migration von Funktionen in eine Public Cloud ist wie ein Outsourcing-Vorhaben, beinhaltet jedoch einige Besonderheiten, die zusätzlich berücksichtigt werden müssen. Die Vorteile der Cloud sind u.a. Flexibilität, Skalierbarkeit, Service-basierte Abrechnungsmodelle etc. Diese tragen letztendlich dazu bei Kosten zu reduzieren und eine höhere Flexibilität zu erreichen. Dass all dem Potenzial auch Risiken gegenüberstehen sollte nicht ausblendet werden, vor allem nicht, weil diese mit Hilfe eines definierten sicheren Verfahrens für die Migration beherrschbar sind. Mit einem solchen Verfahren bleibt gewährleistet, dass Risiken rechtzeitig erkannt und kontrolliert werden können.
(Secaron: ra)
Secaron: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.