Heben Sie Ihre Cloud Services durch Sicherheit und Transparenz ab

Transkript

1 WHITE PAPER Cloud Service Provider August 2012 Heben Sie Ihre Cloud Services durch Sicherheit und Transparenz ab Russell Miller Tyson Whitten CA Technologies, Security Management agility made possible

2 Inhaltsverzeichnis ABSCHNITT 1: Ausgangssituation 3 ABSCHNITT 2: Chancen 3 ABSCHNITT 3: Schlussbemerkungen 7 ABSCHNITT 4: Literaturhinweise 7 ABSCHNITT 5: Informationen über die Autoren 8

3 Abschnitt 1: Ausgangssituation Die größten Hindernisse, die Organisationen heute zögern lassen, Unternehmenssysteme und services in die Cloud zu verschieben, sind der drohende Verlust der Kontrolle und mangelnde Transparenz. Während viele der frühen Cloud-Kunden mit schriftlichen Zusicherungen bezüglich der Sicherheit wie SAS 70-Audits und vertraglichen Bestimmungen zufrieden waren, sind die Ansprüche inzwischen gestiegen. Die Auslagerung kritischer Unternehmenssysteme, anwendungen und daten außerhalb des eigenen Unternehmens hat für Organisationen einen Blind Spot erzeugt und behindert ihre Risikobewertung. Um das Risikomanagement zu verbessern, fordern Cloud-Kunden nun bessere Transparenz bezüglich ihrer Daten sowie der Handlungen der IT-Administratoren und privilegierten Benutzer. Abschnitt 2: Chancen Cloud Service Provider (CSPs) sollten die wachsenden Ansprüche der Kunden hinsichtlich der Transparenz als Chance begreifen, sich von den Mitbewerbern abzuheben. Der Markt für Privileged Identity Management (PIM) und Datensicherung bieten ein breites Spektrum an Lösungen für unterschiedliche Level der Kontrolle und Transparenz. Der Einsatz einer detaillierten Zugriffssteuerung für interne Administratoren, das Management gemeinsam genutzter Konten, Sicherheit der Hypervisoradministration, Reporting der Benutzeraktivitäten sowie Klassifizierung und Steuerung von Informationen kann für einzigartige Cloud Service-Angebote genutzt werden. CSPs müssen auch die Geschwindigkeit bedenken, mit der sie Technologien für das Identity and Access Management (IAM) in ihre Services integrieren können. Wenn Mitbewerber Tools einsetzen, die Kunden Berichte über die Aktivitäten der Administratoren und Echtzeitinformationen über ihre Daten bieten, müssen CSPs entscheiden, wie viel Transparenz sie wie schnell bereitstellen können. Es gibt 5 Methoden, mit denen CSPs die wachsenden Ansprüche der Kunden erfüllen und ihre Services abheben können: 1. Bieten Sie Transparenz hinsichtlich des Speicherorts der Kundendaten 2. Bieten Sie Transparenz hinsichtlich Kontrolle und Maßnahmen der Administratoren 3. Belegen Sie sichere Mandantenfähigkeit 4. Demonstrieren Sie klassenbeste Sicherheit 5. Ermöglichen Sie die Einhaltung von Vorschriften Ihrer Kunden 3

4 Bieten Sie Transparenz hinsichtlich des Speicherorts der Kundendaten Die Abgabe der Kontrolle über sensible Datenbestände eines Unternehmens durch Outsourcing zu einem Hosting-Anbieter stellt ein bedeutendes Hindernis für den Übergang zu Cloud-basierten Services dar. Laut Security of sensitive data in the cloud is the number one issue for cloud adoption 1 von Gartner brauchen Unternehmen beim Outsourcing die Gewissheit, dass das Risiko von Datenkompromittierungen oder Verstößen gegen Vorschriften keinesfalls steigt oder besser noch, dass es sich verringert. Die behördlichen Anforderungen an die Speicherung und Sicherung bestimmter Datenelemente durch den Kunden variieren auf globaler und regionaler Ebene. Unternehmen akzeptieren nicht länger nur vertragliche Vereinbarungen, dass Daten nur in bestimmten Regionen gespeichert werden, sondern fordern Transparenz hinsichtlich des Speicherorts ihrer ausgegliederten vertraulichen Daten in Echtzeit. CSPs können folgende Schritte bezüglich der Transparenz unternehmen, um ihre Angebote abzuheben: 1. Kundendaten kennen: Der erste Schritt besteht darin, Kunden bei der Erstellung eines Inventars ihrer aktuell oder zukünftig auszugliedernden Daten zu unterstützen. Automatisierte Klassifizierungstechnologien sind ein guter Ansatzpunkt für die Bestandsermittlung vertraulicher Informationen. Einem Kunden zu helfen, einen Überblick darüber zu erlangen, ob personenbezogene Daten (Personally Identifiable Information, PII), geistiges Eigentum (Intellectual Property, IP) oder Kreditkartendaten (Payment Card Industry, PCI) extern gespeichert werden, kann die Bereitschaft einer Organisationen zur Speicherung sensibler Daten bei einem Dritten erhöhen. 2. Daten Prioritäten zuordnen: Im nächsten Schritt werden die Daten bestimmt, die verschoben werden können. Ein CSP kann einer Kundenorganisation dabei helfen, die eigenen Anforderungen und Risikoschwellwerte zu erkennen, um festzulegen, welche Daten in einer externen Cloud- Umgebung gespeichert werden können. 3. Bereitstellen von Transparenz: CSPs können nun umfangreiche Transparenz bieten, wo die Daten gespeichert werden. Die behördlichen Anforderungen an die Speicherung und Sicherung bestimmter Datenelemente variieren auf globaler und regionaler Ebene. Wenn ein Kunde per Gesetz verpflichtet ist, bestimmte Arten von Daten in bestimmten Regionen zu speichern, sollten CSPs sicherstellen und dem Kunden gegenüber belegen, dass dies auch für die gesamte Vertragslaufzeit der Fall ist. Unternehmen verlangen, zu jeder Zeit Informationen darüber erhalten zu können, wo sich ihre ausgegliederten sensiblen Daten befinden. Und Anbieter reagieren auf diese Forderung durch Bereitstellung einer Transparenz über Speicherorte von Daten, weil sie darin ein entscheidendes Differenzierungsmerkmal ihrer Services sehen. Aus der Befriedigung dieses Bedürfnisses nach Echtzeit-Transparenz über den Speicherort der Daten können CSPs ein entscheidendes Differenzierungsmerkmal ihrer Services entwickeln. Durch diese Möglichkeit erhalten Kunden ein besseres Gefühl dabei, ihre sensiblen Daten in eine komplex zu regulierende Umgebung auszugliedern, und können die Compliance-Vorgänge zu den jährlichen Audits vereinfachen. Bieten Sie Transparenz hinsichtlich Kontrolle und Maßnahmen der Administratoren CSPs zögern eventuell, ihren Kunden umfassenden Einblick in ihren internen Betrieb zu gewähren, aber mit den richtigen Tools kann dies ein entscheidendes Differenzierungsmerkmal bei minimalen operativen Auswirkungen werden. CSPs setzen IT-Administratoren oft in Zentren überall auf der Welt ein, um die Kosten gering zu halten und Support rund um die Uhr zu bieten. In einer Umgebung, in der Kunden größere Einblicke in den Betrieb des Service Providers erhalten, glauben CSPs möglicherweise, dass sie die Anzahl der Administratoren mit Zugriff auf ihre Systeme und Daten senken müssten. Um dieser Herausforderung zu begegnen, suchen CSPs nach Tools, die mehr Flexibilität beim internen und externen Reporting bieten. Diese Tools sollten nicht nur die Transparenz gegenüber dem Kunden verbessern, sondern auch den internen Administratoren ermöglichen, unterbrechungsfrei zu arbeiten, um die Effizienz hoch zu halten. 4

5 CSPs sollten sich die IAM-Tools der nächsten Generation näher ansehen, die ihnen solche flexiblen Reportingfunktionen bieten. Diese Tools können einzelne Identitäten zusammen mit Maßnahmenprotokollen steuern und bieten dabei Funktionen zur Anonymisierung einzelner Benutzer für das externe Reporting und die Konsolidierung der Maßnahmenprotokolle auf einem bestimmten Level. CSPs können beispielsweise alle individuellen Identitäten und deren Handlungen intern nachverfolgen, bieten dem Kunden aber nur Daten auf einem der folgenden drei Level: Granularitätsebene Beschreibung Transparenz Administrative Gruppen (z. B. Administratorgruppe für Linux ) Individuelle Rollen (z. B. Linux-Admin Nr. 1 ) Individuelle Identitäten (z. B. Third_Party_ ID15624 oder Third_ Party_JohnSmith ) Alle Berechtigungen und Prüfprotokolle können von ausgliedernden Unternehmen auf Gruppenebene überwacht werden. Der Hosting-Anbieter kann aus diesen Gruppen, ohne das Wissen der Abteilungen seiner Kunden, Personen hinzufügen oder entfernen. Der mit dieser Identität verbundene Benutzer kann verändert werden, wenn der Outsourcer seine Ressourcen verlagert. Der Hosting-Anbieter muss zu jeder Zeit überwachen, welcher Mitarbeiter welche Rolle erfüllt. Jedem einzelnen Benutzer ist eine einzelne Identität zugeordnet. Der Hosting-Anbieter übermittelt dem ausgliedernden Unternehmen Berichte über Berechtigungen und Aktivitäten. Geringste Granularität Höhere Granularität Höchste Granularität CSPs können zusammengefasste Informationen in Standardberichten bieten ( Geringste Granularität oder Höhere Granularität ), aber auch zusätzliche Details (z. B. Höchste Granularität ) auf Anfrage des Kunden oder im Falle eines Verstoßes bereitstellen. CSPs können darüber hinaus belegen, dass Sie nach den Sicherheitsprinzipien Minimale Berechtigungen und Aufgabentrennung verfahren, um sich von Mitbewerbern abzuheben, die diese Konzepte nicht umsetzen oder deren Implementierung zumindest nicht belegen können. Belegen Sie sichere Mandantenfähigkeit Ausgliedernde Organisationen haben oft Bedenken, wenn ihre Daten Teil einer mandantenfähigen Umgebung werden, und fordern Kontrollen, um die Risiken gemeinsam genutzter Umgebungen zu senken. CSPs können diese Bedenken entkräften und ihre Services abheben, indem sie mandantenfähige Umgebungen effektiver absichern und diese Sicherheitskontrollen demonstrieren. Erstens: Tools für die Zugriffskontrolle können so konfiguriert werden, dass sie den Zugriff auf einzelne virtuelle Maschinen nur in Abhängigkeit zu den Berechtigungen jeder Hypervisor-Administratoridentität gewähren. Dadurch kann sichergestellt werden, dass selbst in einer gemeinsam genutzten Umgebung nur berechtigte Administratoren Zugriff auf die virtuellen Maschinen eines Unternehmens erhalten. CSPs können diese Leistungsmerkmale nutzen, um Premiumservices anzubieten, die nur dedizierten Administratoren Zugriff auf eine besonders sensible virtuelle Maschine eines Kunden gewähren. Während dedizierte Administratoren kostspielig sein können, sind CSPs so in der Lage, Services in einer mandantenfähigen Umgebung bereitzustellen, die die Kosten zu reduzieren hilft. 5

6 Zweitens: CSPs können automatisierte Sicherheitskontrollen auf Hypervisor-Ebene nutzen, um einzelne virtuelle Maschinen vor versehentlichen Verstößen oder unbefugten administrativen Zugriffen zu schützen. Und drittens: CSPs können ihren Kunden nun als Service Daten zu Benutzeraktivitäten anbieten, beispielsweise als Download in die Sicherheitstools des Kunden. Dies hilft Unternehmen dabei, zu erkennen, wer auf ihre Daten zugreift und Protokolle der Benutzeraktivitäten für die Erfüllung von Auditanforderungen zu erstellen. Demonstrieren Sie klassenbeste Sicherheit Die Vertraulichkeit von Daten liegt in ihrem Inhalt, unabhängig von ihrem Speicherort. Da herkömmliche Ansätze die Daten auf Containerebene steuern, sind sie in Szenarien, in denen Daten die Grenzen des Rechenzentrums des CSPs im Rahmen von Zusammenarbeit oder Partnerschaften überschreiten, nicht ausreichend. CSPs müssen daher einen datenzentrierten Sicherheitsansatz bereitstellen, damit die sensiblen Assets des Unternehmens, die ausgegliedert werden sollen, auch effektiv geschützt werden können. Dadurch werden Risiken beim Outsourcing verringert, der Datenfluss sichergestellt und die Kontrolle durch das Unternehmen aufrechterhalten. Beispiele für solche umfassenden datenzentrierten Sicherheitslösungen beinhalten bedingte Klassifizierung, Vorbeugung von Datenverlusten, Verschlüsselung und Information Rights Management (IRM). CSPs können ihre Kunden dabei unterstützen, ihre Daten bei Aufbewahrung, Zugriff, Verwendung und Übertragung zu schützen. Im Folgenden einige Beispiele dazu: Bei Aufbewahrung: Sobald Daten innerhalb des Netzwerks oder der Repositories des Anbieters übertragen und gespeichert wurden, sollten sie möglichst verschlüsselt werden. Einige Informationen, wie etwa personenbezogene Daten, müssen aufgrund behördlicher Vorschriften verschlüsselt werden, andere Daten sollten je nach geschäftlichem Vertraulichkeitsgrad verschlüsselt werden. Bei Zugriff: Wenn Administratoren oder Mitarbeiter versuchen, auf vertrauliche Informationen zuzugreifen, muss der Vertraulichkeitsgrad der Daten berücksichtigt werden. Die Kenntnis über den Vertraulichkeitsgrad von Daten vor der Vergabe von Zugriffsberechtigungen erlaubt differenzierte Zugriffskontrollentscheidungen. Zusätzlich dazu können verschlüsselte Informationen das Unternehmen vor unberechtigten Zugriffen schützen, die durch eine ineffektive Kontrolle durch Container-Richtlinien auftreten können. Bei Verwendung: Sobald ein Benutzer Zugriff auf Daten erhält, sollte deren Verwendung einer Kontrolle unterliegen. Administratoren, die Zugriff auf vertrauliche Kundeninformation haben, sollte es ohne Berechtigung nicht erlaubt sein, diese Daten auf ein bewegliches Laufwerk zu kopieren oder sie auszudrucken. Bei Übertragung: Auch die Informationsverarbeitung über ein Netzwerk sollte kontrolliert werden. Rollen, die Zugriff auf Daten haben, sollten auf Basis der Vertraulichkeit dieser Rollen und Daten selektiv kontrolliert werden. Die Möglichkeit, bei über das Netzwerk gesendeten Informationen Warnungen auszugeben sowie Blockierungen oder Verschlüsselungen anzuordnen, unterstützt dabei die Effektivität der Kontrollmechanismen. Ermöglichen Sie die Einhaltung von Vorschriften Ihrer Kunden Unternehmen verlangen von ihrem Outsourcing-Partner Tools und Reporting, durch die sie ihre Ziele bei der Einhaltung von Vorschriften erfüllen können. Zusätzlich zu den auf Abruf verfügbaren Berichten, sollten wichtige Compliance-Berichte bei Bedarf und unter Verwendung von Echtzeitdaten bereitgestellt werden. CSPs können sich von Mitbewerbern abheben, indem sie Sicherheitsberichte bieten, die Informationen hochverdichtet für Führungskräfte darstellen, und detaillierte Information bereitstellen, die einen technischen Auditor des Kunden zufriedenstellen. 6

7 Da sich die individuellen Anforderungen der Kunden unterscheiden, können CSPs Berichte über folgende Informationen bereitstellen: Wo wurden Ihre Daten gespeichert? (Land, Stadt, etc.) Wann und durch wen wurde auf Daten zugegriffen? (unterbrechungsfreie Zugriffsprotokollierung einzelner Identitäten, nicht nur gemeinsam genutzter administrativer Konten) Auf welche Daten wurde zugegriffen? (einschließlich der Informationsart: Kreditkarteninformationen, private Gesundheitsinformationen, etc.) Was wurde nach dem Zugriff mit den Daten gemacht? (Wurden sie vom System exportiert oder von einer Anwendung verarbeitet?) Durch die Bereitstellung der auf spezifische Anforderungen zugeschnittenen Berichte, die durch Auditoren überprüft wurden, kann ein CSP den Interpretationsspielraum einzelner Prüfer begrenzen und somit Kunden dabei unterstützen, Risiken bei der Einhaltung von Vorschriften zu verringern. Abschnitt 3: Schlussbemerkungen CSPs können Tools für Privileged Identity Management (PIM) und Datensicherung nutzen, um Kunden die Informationen und Transparenz zu bieten, die diese verstärkt nachfragen, und sich dadurch auch von ihren Mitbewerbern abheben. Die Möglichkeit, Informationen über Sicherheitskontrollen und Maßnahmen der Administratoren zur Verfügung zu stellen, wird ein zunehmend wichtiges Differenzierungsmerkmal im Wettbewerb. Mit den geeigneten Tools können CSPs ihren Kunden genau die Informationen bereitstellen, die diese benötigen, und sorgen gleichzeitig für Flexibilität und Produktivität der internen Ressourcen. Das alles lässt sich heute erreichen, indem die neuesten PIM-Tools auf Cloud-Umgebungen angewendet werden. Weitere Informationen über die Voraussetzungen für PIM für Cloud Services finden Sie hier. Abschnitt 4: Literaturhinweise 1 Gartner, Inc., 2012 Planning Guide: Security and Risk Management; Dan Blum et al; 1. November

8 Abschnitt 5: Informationen über die Autoren Russell Miller arbeitete über sechs Jahre in verschiedenen Positionen, von Ethical Hacking bis Produktmarketing, im Bereich der Netzwerksicherheit. Derzeit ist er für das Marketing von CA ControlMinder und Produkte im Privileged Identity Management und der Virtualisierungssicherheit verantwortlich. Russell Miller hat einen B.A. in Computerwissenschaften vom Middlebury College und einen M.B.A. von der MIT Sloan School of Management. Tyson Whitten ist ein CISSP mit mehr als zehn Jahren Erfahrung im Bereich Informationssicherheit bei der Verwaltung von Anwendungen, Netzwerken und risikobasierten Produkten und Services. In seiner derzeitigen Funktion ist er in der CA Technologies Security Customer Solutions Unit für das Marketing für Mobilitäts- und Datenschutzlösungen verantwortlich. Vor CA Technologies war Tyson Whitten bei Genuity, Guardent, VeriSign und SecureWorks tätig. Allan Anders hat einen B.S. in Informationssystemen und einen M.B.A. in Product und General Management vom Boston College. CA Technologies ist ein Anbieter für IT-Management-Software und -Lösungen mit Erfahrung in allen IT-Umgebungen, von Mainframes und verteilten Systemen bis hin zu virtuellen Systemen und Cloud Computing. CA Technologies verwaltet und schützt IT-Umgebungen und ermöglicht Kunden die Bereitstellung flexiblerer IT-Services. Die innovativen Produkte und Services von CA Technologies bieten den Überblick und die Kontrolle, die IT-Organisationen zur Unterstützung geschäftlicher Flexibilität benötigen. Die meisten Fortune Global 500-Unternehmen nutzen Lösungen von CA Technologies für ihre wachsenden IT-Ökosysteme. Weitere Informationen finden Sie auf der Website von CA Technologies unter ca.com/de, ca.com/at und ca.com/ch/de. Copyright 2012 CA. Alle Rechte vorbehalten. Linux ist eine eingetragene Marke von Linus Torvalds in den USA und in anderen Ländern. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier verwiesen wird, sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken. CA übernimmt für die Genauigkeit oder Vollständigkeit der Informationen keine Haftung. Soweit nach anwendbarem Recht erlaubt, stellt CA dieses Dokument im vorliegenden Zustand ohne jegliche Gewährleistung zur Verfügung; dazu gehören insbesondere stillschweigende Gewährleistungen der Markttauglichkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Rechten Dritter. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde. CA bietet keine Rechtsberatung. Keines der Softwareprodukte, auf die hier verwiesen wird, dient als Ersatz für die Einhaltung Ihrerseits sämtlicher Gesetze (dazu gehören insbesondere verabschiedete Gesetze, Satzungen, Vorschriften, Regeln, Richtlinien, Normen, Regelwerke, Verordnungen, Verfügungen usw. (zusammenfassend als Gesetze bezeichnet)), auf die hier verwiesen wird, bzw. etwaig bestehender vertraglicher Verpflichtungen mit Dritten. Lassen Sie sich über solche Gesetze oder vertragliche Verpflichtungen von fachkundigem Rechtsbeistand beraten. CS2723_0812