Cloud Computing Standards

Transkript

1 Cloud Computing Standards Jannis Fey 1

2 Motivation In dieser Präsentation sollen Zertifikate und Ihre zugrundeliegenden Standards auf ihre Eignung für eine Zertifizierung von Cloud Computing Services betrachtet werden. 2

3 Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 4. Auditing Tools 5. Fazit und Ausblick 3

4 Einleitung abschalten -> Kosten sparen Spitzenlast an Weihnachten etc. 4

5 Einleitung Flexibles, dynamisches System Risiken Zugangskontrolle Verschlüsselung etc. Lösung: Zertifizierung nach Standards speziell für Cloud Computing 5

6 Inhalt 1. Einleitung 2. Grundlagen 1. Cloud Computing 2. Zertifizierung 3. Auditing 4. Organisationen 3. Zertifizierung 4. Auditing Tools 5. Fazit und Ausblick 6

7 Grundlagen Wie genau ist Cloud Computing definiert? Was bedeutet Zertifizierung eigentlich und was ist ein Zertifikat? Was versteht man unter dem begriff Auditing und was sind Auditing Tools? Welche Organisationen gibt es in diesem Bereich? 7

8 Cloud Computing Definition des BSI: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. [ ] Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst [ ] unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. Liefermodelle: public, private, community und hybrid Cloud Servicemodelle: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) 8

9 Zertifizierung Überprüfungsprozess auf bestimmte Anforderungen. Zertifikat = Nachweis über Einhaltung Zertifizierung von: Mitarbeiter (z.b. schriftliche Prüfung) Software (z.b. Qualität) komplette IT-Umgebung (z.b. Cloud Computing System) Beispiel: Zertifizierung nach dem IT-Grundschutz 9

10 Auditing Überprüfung von Softwareprojekten durch Auditor spezielle Audits für: Quellcode, Sicherheitsaspekte, Performance, etc. bei Cloud Computing ist ein Security-Audit notwendig Sicherheitslücke suchen -> Lösung finden Auditing-Tools Unterstützung des Audits (Automatisierung) z.b. Wireshark, etc. 10

11 Organisationen 1. Cloud Security Alliance (CSA) 2. National Institute of Standards and Technology (NIST) 3. EuroCloud 4. Bundesamt für Sicherheit in der Informationstechnik (BSI) 11

12 Cloud Security Alliance (CSA) internationale, non-profit Organisation Ziel: Förderung von Standardisierung und Sicherheit geführt von Spezialisten aus Industrie, Verbänden, etc. aktive Forschung Certificate of Cloud Security Knowledge CloudAudit 12

13 National Institute of Standards and Technology (NIST) amerikanische Bundesbehörde für Standards viele Bereiche: z.b. Chemie, Physik, Logistik, Medizin, etc. große Beteiligung an Cloud Computing Standards (wie CSA) internationales Ansehen NIST Cloud Computing Standards Roadmap Definition, Lücken, Prioritäten der Standardisierung Bietet keine Zertifizierung an 13

14 EuroCloud unabhängig, non-profit Organisation für Europa gegliedert in zwei Stufen Haupt Organisation koordiniert lokale Komitees auf Länderebene Vorteil: jeder profitiert von jedem trotzdem noch unabhängig und eigenständig 14

15 Bundesamt für Sicherheit in der Informationstechnik (BSI) nationale Sicherheitsbehörde zuständig für IT-Sicherheit in Deutschland Im Bereich Cloud Computing: Anwendern und Anbieter bei Problemen helfen eigenes Zertifikat scheint in Arbeit zu sein bisher nur Zertifizierung nach ISO Eckpunktepapier mit relevanten Sicherheitsaspekten Leitfaden für Anbieter 15

16 Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 1. nach ISO/IEC EuroCloud Star Audit (ECSA) 3. Trusted Cloud - TÜV TRUST IT 4. CSA Security, Trust & Assurance Registry (STAR) 5. Certificate of Cloud Security Knowledge 6. Übersicht 4. Auditing Tools 5. Fazit und Ausblick 16

17 Zertifizierung Zertifizierung nach dem ISO Standard Spezielle Cloud Zertifikate EuroCloud Star Audit Trusted Cloud Register, Liste, Verzeichnis von Anbietern CSA Security, Trust & Assurance Registry Zertifizierung von Fachpersonal Certificate of Cloud Security Knowledge 17

18 ISO/IEC internationaler Standard für Informationssicherheits- Managementsysteme Aufbau, Instandhaltung, Verbesserung von IT- Sicherheitsmanagements Einschätzung und Behandlung von Risiken für alle Unternehmen anwendbar unabhängig von Größe und Art nicht Cloud spezifisch 18

19 ISO/IEC allgemeine Norm auf Cloud System anwendbar Vorsicht! Sicherheitslücken? evt. wichtige Bereiche für Cloud Systeme nicht abgedeckt in Branche trotzdem anerkannt ISO stellt selbst keine Zertifikate aus Zertifizierung durch z.b. BSI in Deutschland oder selbst verkünden 19

20 ISO/IEC Ablauf der Zertifizierung durch das BSI 1. Überprüfung des Dienstes durch BSI zertifizierten Auditor Sichtung aller notwendigen Dokumente, Protokolle, etc. Vor-Ort-Prüfung 2. Auditor erstellt Audit-Report 3. Report wird dem BSI zur Zertifizierung vorgelegt 4. BSI entscheidet ob Zertifikat vergeben wird 20

21 ISO/IEC Inhalt der Norm 21

22 EuroCloud Star Audit (ECSA) wird seit 2011 ausgestellt Kriterien: Sicherheit, Infrastruktur, Anwendungen, Implementierung Fragenkatalog mit ca. 200 Fragen (BSI) Fragebogen wird ausgewertet persönliches Gespräch Besichtigung der Rechenzentren zweijährige Zertifizierung individuelle Bewertung (1-5 Sterne) 22

23 EuroCloud Star Audit (ECSA) optimal für Cloud-Computing Services zugeschnitten Zertifizierung von nur zwei Jahren gezwungen zur erneuten Überprüfung kontinuierliche Überprüfung zuverlässige Sicherheit eher für mittelständiges Unternehmen aber auch Microsoft hat Interesse an Zertifizierung 23

24 Trusted Cloud - TÜV TRUST IT basiert auf z.b. ISO 27001, Bundesdatenschutzgesetz und Telekommunikationsgesetz 4 Bereiche: Organisatorische Sicherheit, technische Sicherheit, Qualität des Service-Managements und Compliance. Trust-Level (1-4) für jeden Bereich Gesamtlevel 7 Stufen 24

25 Trusted Cloud - TÜV TRUST IT Bewertung des Service sofort für Nutzer/Kunde einsehbar Beispiele: Level 1: geeignet für unkritische/unsensible Daten Level 4: Provider unterliegt höchsten Sicherheitsstandards Zertifikat 3 Jahre gültig allerdings jährlicher Monitoring-Audit zum Vergleich: EuroCloud nur 2 Jahre und erneuter Audit erst nach Ablauf des Zertifikats 25

26 CSA Security, Trust & Assurance Registry (STAR) offenes Online-Verzeichnis Dokumentation der Sicherheit von Providern 3 Level: Self-Assessment : Selbsteinschätzung seines Services Mithilfe von Tool Unterstützung Oder Multiple-Choise Fragen (Consensus Assessments Initiative Questionnaire) Certification/ Attestation Zertifizierung durch STAR Certificate basiert auf ISO Continuous erst für 2015 geplant, Automatisierung des Security Audits 26

27 CSA Security, Trust & Assurance Registry (STAR) Ein Blick in das Verzeichnis: 27

28 Certificate of Cloud Security Knowledge (CCSK) Zusammenarbeit zwischen CSA und ENISA Online-Test individuelles Wissen Sicherheit im Cloud Computing Bereich 90 Minuten, 60 zufällige Fragen, 80% richtig Bereiche: Verschlüsselung, Virtualisierung, Architektur, etc. Spezielle Trainings und Vorbereitungskurse Partner z.b. 28

29 Certificate of Cloud Security Knowledge (CCSK) gilt als Ausgangspunkt ( Mutter ) der Cloud Security Zertifikate international anerkannt bestätigt Wissen über Risiken und Sicherheit anders als Zertifikate zuvor: zertifiziert eine Person kein IT-System 29

30 Übersicht Anbieter ISO EuroCloud Star Audit CSA STAR Microsoft Azure Ja Nein Ja Microsoft BPOS/365 Ja geplant Ja Google Apps Ja Nein Nein Amazon AWS Ja Nein Ja 30

31 Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 4. Auditing Tools 1. CloudAudit (CSA) 2. ClouDAT 5. Fazit und Ausblick 31

32 Auditing Tools Was machen Auditing Tools eigentlich? Werkzeuge zur Unterstützung einer Überprüfung von Cloud Computing Services systematisches testen von Sicherheitsanforderungen Erstellung eines Berichtes 32

33 CloudAudit (CSA) noch laufendes Forschungsprojekt der CSA Ziel der Projekts: Tool welches den Audit Prozess automatisiert möglichst simpel Möglichkeit für Erweiterungen (Plug-Ins) Plattformunabhängig 33

34 CloudAudit (CSA) Tool auf HTTP-Basis aufgebaut wie ein(e) Verzeichnis(-struktur) muss durch Provider mit Inhalt gefüllt werden egal wie genau der Inhalt aussieht z.b. PDFs, Text-Dateien, URLs, Log-Files, Firewall=true, etc. Aufgabe des Tools: Daten auswerten und ausgeben ob Anforderungen aus Kontrollrahmen erfüllt werden 34

35 ClouDAT Forschungsprojekt (Beteiligung der TU-Dortmund) Ziel des Projekts: Open-Source-Tool zu Unterstützung von Sicherheitsanforderungen und Maßnahmen standardkonforme Dokumentation generieren Tool auf Basis von vorhandenen Open-Source-Tools Standardnotation: UML mit Erweiterungen wie UMLsec flexibel also individuelle anpassbar für Benutzer 35

36 ClouDAT Cloud Computing Anbieter können Analyse durchführen prüft ob die Umsetzung des Services den Sicherheitsanforderungen entspricht erzeugten Dokumente einem Auditor vorlegen Zertifizierung mit geringem Aufwand möglich Open-Source: Möglichkeit für Forschung und Lehre, individuell anpassbar, attraktiv für kleine und mittlere Unternehmen. 36

37 Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 4. Auditing Tools 5. Fazit und Ausblick 37

38 Fazit und Ausblick Zertifizierung in Bezug auf Sicherheit ein wichtiges Thema im Bereich Cloud Computing neue Zertifikate speziell für Cloud Computing EuroCloud STAR Audit, TÜV Trust IT Gütesiegel. Level direkt ablesbar CSA STAR offenes Online Verzeichnis / schnelle und einfache Aufnahme Certificate of Cloud Security Knowledge Zertifikat der individuellen Fachkompetenzen 38

39 Fazit und Ausblick ISO Norm nicht speziell für Cloud Computing unverzichtbar für Service Provider zuverlässiger Indikator für Sicherheit wird von der Industrie erwartet 39

40 Fazit und Ausblick Cloud Security Allinace (CSA) weltweit, führende Forschung CloudAudit, CCSK, STAR Certificate / Register USA -> NIST, Deutschland -> BSI bundesbehörden zuständig für Standards im Cloud Bereich EuroCloud übergeordnetes Netzwerk für Europa 40

41 Fazit und Ausblick Auditing wird versucht zu automatisieren bislang nur Forschungsprojekte CloudAudit (CSA), ClouDAT 41

42 Fazit und Ausblick Ausblick: Entscheident für die Zukunft ist die Entwicklung neuer Standards bzw. Umsetzung der bestehenden. Verteilung der Standards? EuroCloud STAR Audit für ganz Europa? oder doch lieber ein internationales nutzen? 42

43 VIELEN DANK 43