Wer ist verantwortlich für die Sicherheit in der Cloud?

Transkript

1 Wer ist verantwortlich für die Sicherheit in der Cloud? Eine Trend Micro Stellungnahme Februar 2011 Verfasser: Dave Asprey, VP Cloud Security

2 I. WER IST VERANTWORTLICH FÜR DIE SICHERHEIT Cloud Computing ist zurzeit in aller Munde. Die Bereitstellung von On-Demand-Software und -Infrastrukturservices über das Internet bietet IT-Teams ungeahnte Vorteile in puncto Effizienz, Kosteneinsparung und Skalierbarkeit. Hand in Hand mit diesen bahnbrechenden Vorteilen aber entstehen völlig neuartige Herausforderungen, die mit den meisten herkömmlichen Sicherheitsansätzen nicht zu bewältigen sind. Das zentrale Paradoxon dieses neuen Computing-Paradigmas besteht darin, dass die Cloud auf der einen Seite die Vision einer vereinfachten IT auf Pay-per-use-Basis beinhaltet, wobei ein Großteil des Aufwands und der Komplexität ausgelagert wird. Auf der anderen Seite bringt Cloud Computing jedoch zahlreiche neue Probleme bei der Richtlinieneinhaltung und der Datensicherheit mit sich. Ob aus eigener Initiative oder aufgrund von unternehmerischem Druck IT-Manager können nicht umhin, die Optionen in der Computing-Umgebung des 21. Jahrhunderts neu zu bewerten. Schließlich wollen sie wissen, welche Risiken die neue Technologie birgt und wo Verantwortlichkeiten und Haftung in Hinblick auf die Sicherheit liegen. Mit der vorliegenden Stellungnahme möchten wir diese Problematik im Kontext von IaaS (Infrastructure-as-a-Service) beleuchten, die IT-Verantwortlichen das Mieten von Netzwerk, Speicher, Server und weiteren operationalen Elementen ermöglicht. Darüber hinaus bietet IaaS den Unternehmen größere Freiheiten beim Einsatz von Sicherheitskontrollen als es beispielsweise SaaS (Software-as-a-Service) kann. II. WARUM DIE CLOUD? In der öffentlichen Cloud dreht sich alles um Skalierung und die Möglichkeit, OPEX (Betriebsaufwand) statt CAPEX (Investitionsaufwand) zu nutzen. Cloud-Computing-Kunden sparen Investitionsaufwand für Hardware, Software und andere Infrastrukturservices, da sie im Rahmen eines Utility-Modells nur zahlen, was sie auch nutzen. Die On-Demand- Bereitstellung von Ressourcen ermöglicht Unternehmen darüber hinaus eine dynamische Skalierung gemäß dem individuellen Computing-Bedarf und zwar in Echtzeit, wodurch die Geschäftsagilität deutlich verbessert wird. Im Bereich der privaten Cloud dagegen stehen eine höhere Flexibilität und Reaktionsfähigkeit auf die Bedürfnisse interner Kunden im Mittelpunkt. Angesichts dieser Vorteile überrascht das große Interesse an dem neuem Computing- Paradigma nicht. Eine Cisco-Studie von Dezember 2010 beispielsweise zeigte, dass 52 Prozent der IT-Experten weltweit Cloud Computing bereits einsetzen oder dies innerhalb der nächsten drei Jahre planen. Eine ähnliche Umfrage des Sicherheitsorgans der ISACA (Information Systems and Control Association) aus März 2010 ergab, dass ein Drittel der europäischen Unternehmen bereits heute Cloud-Computing-Systeme nutzt, während das internationale Consulting-Unternehmen Accenture im Juli 2010 herausfand, dass die Hälfte seiner Kunden bestimmte geschäftskritische Anwendungen in der Cloud ausführt. 1 Trend Micro Stellungnahme Wer ist verantwortlich für die Sicherheit in der Cloud?

3 III. SICHERHEIT AM NETZWERKRAND IST NICHT HINFÄLLIG: ZWEI ANSÄTZE ZUM SCHUTZ DER CLOUD Es wurde viel Aufhebens gemacht um die Tatsache, dass der altbewährte Schutz am Netzwerkrand eines Unternehmens in Hinblick auf das Modell der öffentlichen Cloud einfach nicht mehr besteht. Firewalls, Systeme zur Abwehr von Eindringlingen (IPS) und weitere Standardsicherheitsfunktionen so heißt es können nicht auf die Cloud ausgeweitet werden. Stattdessen müssen Unternehmen auf den äußerst elementaren Perimeterschutz ihres Cloud-Anbieters vertrauen. Aus einem anderen Blickwinkel betrachtet ist das perimeterbasierte Sicherheitsmodell jedoch alles andere als hinfällig: Es hat sich zu einem nützlichen Element in einer funktionierenden Sicherheitsarchitektur entwickelt, darf aber nicht die einzige Komponente bleiben. Beim Umgang mit der Cloud denken Unternehmen immer noch ausschließlich an einen Netzwerkrand. Den Unternehmen stellt sich die Frage, ob sie diesen Netzwerkrand in die Cloud ausweiten, die Cloud in ihr Netzwerk einbeziehen oder gar beides tun sollen. In jedem Fall sind zusätzliche Sicherheitsebenen unerlässlich ebenso wie in einer internen Unternehmenssicherheitsumgebung. Allerdings weisen beide Szenarien ähnliche Nachteile in Hinblick auf eine möglicherweise mangelhafte Transparenz und Kontrolle auf, die sich durch eine Auslagerung in die Cloud ergeben. CISOs müssen äußerst wachsam sein, die erforderliche Sorgfalt walten lassen und sich der potenziellen Risiken bewusst sein. 1. Das erste Szenario, also die Ausweitung des Netzwerkrands auf die Cloud, umfasst die Einrichtung eines IPSec-VPN-Tunnels zu den Servern des Anbieters der öffentlichen Cloud sowie die Aufrüstung des Public-Cloud-Servers mit Sicherheitskomponenten auf Unternehmensebene. Dies erfolgt normalerweise in Form von Sicherheitssoftware und virtuellen Appliances. Der Vorteil dieser Anordnung ist, dass Sie Active Directory nicht neu konfigurieren müssen und die meisten vorhandenen Verwaltungstools kompatibel mit Ihrer Cloud-Einrichtung sein sollten, da Ihre Cloud-Server sich tatsächlich innerhalb des Netzwerks befinden. Doch es gibt auch Nachteile: Je nachdem, wie gut Sie Ihren Cloud-Server geschützt haben, gelten die mit der Cloud verbundenen Risiken nun möglicherweise auch innerhalb Ihrer Architektur [siehe unten]. Zur Abwehr dieser Risiken ist es wie bei allen geschäftskritischen Servern, ob innerhalb oder außerhalb der Cloud entscheidend, dass die Verknüpfung zwischen Cloud und internen Servern auf verdächtigen Datenverkehr überwacht wird. Eine weitere Option ist das Hinzufügen einer demilitarisierten Zone (DMZ) und einer Firewall. Sie schaffen damit jedoch einen weiteren Netzwerkrand, den es zu schützen gilt. Viele Unternehmen vergessen oder übergehen diesen Schritt bei ihrem Sprung in die Cloud, insbesondere kleinere Firmen, denen es an Zeit und IT-Ressourcen zur Gestaltung dieser Schutzbarrieren fehlt. 2 Trend Micro Stellungnahme Wer ist verantwortlich für die Sicherheit in der Cloud?

4 Darüber hinaus ist es unerlässlich, die Cloud-Server ausreichend zu schützen, beispielsweise durch bidirektionale IDS-/IPS-Firewalls. RISIKEN CIOs müssen sich bewusst sein, dass ihre Cloud-Server anderen Bedrohungen ausgesetzt sind als denen, die für gewöhnlich intern abgewehrt werden können. Ein wesentliches Problem ist, dass Cloud-Anbieter ihren Kunden wahrscheinlich keine Informationen darüber liefern, wer die Räumlichkeiten betreten bzw. auf die Daten zugreifen kann. Woher sollen Firmen also wissen, ob ein vom Anbieter der öffentlichen Cloud beauftragter IT-Administrator beispielsweise auf Unternehmensdaten zugegriffen hat? Die Bedrohung von innen kann bis zu einem gewissen Grad intern durch die Wartung von Zugriffsprotokollen abgewehrt werden, aber angesichts der mangelnden Transparenz in der Cloud sollte die Datenverschlüsselung zu einem allgemeinen Standard etabliert werden. [Im Dezember wurde bekannt, dass Unternehmensdaten eines Kunden der gehosteten Business-Suite BPOS von Microsoft nach einem Konfigurationsfehler abgegriffen und von anderen Benutzern der Software heruntergeladen wurden. Obwohl das Problem unverzüglich behoben wurde, zeigt es einmal mehr, welche Gefahren in diesem Ansatz lauern und wie wichtig Transparenz bezüglich der Systeme Ihres Cloud-Anbieters ist, um sicherzustellen, dass diese Ihre und behördliche Standards erfüllen.] Gemeinsam genutzten Speicherplatz sehen auch die Unternehmen als Risiko, die befürchten, dass ihre Daten nicht sicher sind, wenn sie zusammen mit den Daten der Konkurrenz auf derselben Festplatte in der Cloud gespeichert sind. Einige Public-Cloud-Anbieter sind bezüglich Sicherheit nicht so versiert oder transparent, wie sie sein sollten. Zumindest sollten Sie beim Auslagern geschäftskritischer Daten in die Cloud auf die strikte Einhaltungvon Sicherheitsverfahren, wie ISO und SAS70 II, achten und die SLAs und Sicherheitsrichtlinien Ihres Anbieters genauestens untersuchen. Eng verbunden damit ist die Tatsache, dass die meisten Cloud-Anbieter im Falle von Datenverlust wahrscheinlich nur Kosten in Höhe des angebotenen Services erstatten, selbst wenn sie für den Verlust verantwortlich sind. Für die Folgen eines Datenverlusts beispielsweise, wie immense Rufschädigung, Geldstrafen und finanzielle Verluste in Millionenhöhe, kommt allein der Kunde auf. 2. Das zweite Szenario, also die Ausweitung der Cloud auf das Unternehmen, ermöglicht eine wirksame Einbeziehung der Cloud in Ihre Netzwerkumgebung. Dazu müssen Sie allerdings zustimmen, dass ein IaaS-Cloud-Anbieter oder Cloud-basierter MSSP einen Cloud-Knoten vor Ort installiert. 3 Trend Micro Stellungnahme Wer ist verantwortlich für die Sicherheit in der Cloud?

5 Der Vorteil dieser von größeren Unternehmen immer häufiger verwendeten Struktur ist die relativ leichte Verständlichkeit. Akamai beispielsweise verfolgt seit über zehn Jahren einen ähnlichen Ansatz und verwaltet einen Server, der sich innerhalb des Sicherheitsparameters des Kunden befindet. Und MSSPs wie Integralis bieten seit Jahren Services zur Remote- Firewall-Verwaltung über die Cloud an. Ein weiteres Beispiel ist das Trend Micro Smart Protection Network, das Sicherheitsserver innerhalb eines Unternehmensnetzwerks mit einem Sicherheitsnetzwerk aus Tausenden von Servern in der Cloud vernetzt. Und dennoch: So einfach es auch ist, eine solche Box in Ihrem Rechenzentrum oder in Ihrer Niederlassung zu installieren und sie zentral vom Cloud-Anbieter verwalten und aktualisieren zu lassen, es bleibt der große Nachteil, dass es sich im Kern nach wie vor um einen Cloud-Service handelt. Damit birgt auch diese Möglichkeit viele Risiken des zuerst beschriebenen Szenarios. Fehlende Transparenz bezüglich Betreten der Räumlichkeiten bzw. Zugriff auf Daten bleibt nach wie vor ein Risiko. Die Haftung aufgrund eines fahrlässigen Verlusts Ihrer geschäftskritischen Daten ist auch hier begrenzt auf die Erstattung der Servicekosten. Der Service kann zwar aktiviert und deaktiviert werden, aber im aktivierten Zustand hat der Cloud-Anbieter Zugriff auf Ihr Netzwerk und Ihre Anwendungsdaten. Sie müssen ihm also vertrauen. Ist dieser Anbieter sicherheitsbewusst und transparent mit seinen SLAs, haben Sie in der Regel weniger zu befürchten. Doch wie bereits erläutert, ist die Sicherheit bei den meisten nicht spezialisierten Cloud-Anbietern kein Kernstück ihres Wertversprechens. Es gilt, zwischen ausreichender und optimaler Sicherheit zu unterscheiden. Ein Cloudbasierter -Service beispielsweise, der in Ihrem Netzwerk von einem Anbieter für verwaltete Sicherheitsservices eingerichtet wurde, ist vermutlich vertrauenswürdiger als der eines typischen Public-Cloud-Anbieters. IV. WER ALSO IST VERANTWORTLICH FÜR DIE SICHERHEIT IN DER CLOUD, UND WO GIBT ES LÜCKEN? Hier lautet die unangenehme Wahrheit: Wenn Sie Hilfe von Ihrem Cloud-Anbieter erwarten, werden Sie wahrscheinlich enttäuscht. Mehr noch: Nicht selten müssen Sie feststellen, dass die mangelnde Transparenz von Zugriffsprotokollen oder die beunruhigend schwammige Formulierung der Sicherheitsrichtlinien Ihre eigene Arbeit erschwert. Sie sollten Ihre Cloud-Server so umfassend schützen wie Ihre internen Server. Dazu gehören die Erkennung und Abwehr von Eindringlingen (IDS/IPS), Tools zum Schutz vor Datenverlusten (DLP), bidirektionale Firewalls und die Verschlüsselung. Es könnte zu Problemen bei der Netzwerksicherheit in der Cloud-Umgebung kommen, da nur wenige Anbieter öffentlicher Clouds Ihnen gestatten werden, den Netzwerkverkehr so genau zu überwachen, wie Sie es gerne täten. In Ihrem eigenen Netzwerk stehen Ihnen sämtliche Router-/Switch-Konfigurationen und Protokolle frei, Sie können jederzeit und im gewünschten 4 Trend Micro Stellungnahme Wer ist verantwortlich für die Sicherheit in der Cloud?

6 Umfang Einblick darin nehmen. In der Cloud aber ist dies nicht der Fall. Aus dem Blickwinkel der Richtlinieneinhaltung betrachtet würden Sie die Cloud als Option also möglicherweise ausschließen. Daher ist es ganz entscheidend, herauszufinden, wie viel Netzwerküberwachung und -zugriff Ihr Anbieter zulässt. Die Verschlüsselung von Daten im Speicher und bei der Übertragung wird angesichts der mangelnden Transparenz bezüglich des Netzwerkverkehrs und der administrativen Zugriffsprotokolle des Anbieters besonders wichtig. Viele Cloud-Anbieter bieten außerdem beängstigend wenig rollenbasierte Zugriffskontrollen auf Administratorebene. Bei Amazon EC2 beispielsweise besitzt ein einziges Konto alle Cloud- Boxen, so dass schon ein Unternehmensmitarbeiter mit dem entsprechenden Kontozugriff im Grunde allmächtig ist und Boxen nach Belieben hinzufügen oder entfernen kann. In der privaten Cloud fordert die Geschwindigkeit, mit der Server neu erstellt werden können, die Sicherheitsverantwortung der IT-Abteilung permanent heraus. Das natürliche Gleichgewicht zwischen der Bereitstellung der Server durch die IT-Verantwortlichen und deren Notwendigkeit für das Unternehmen geht mit der zunehmenden Geschwindigkeit dieses Ablaufs verloren. Heutzutage muss ein Unternehmen lediglich wissen, dass es die Lizenzkosten abdecken kann, und in einer Private-Cloud-Umgebung benötigen Geschäftseinheiten nicht mehr sechs Wochen, sondern ein oder zwei Tage, um einen Server einzurichten und in Betrieb zu nehmen. Dennoch muss jede neue Serveranfrage ordnungsgemäß verwaltet werden, da die Sicherheitsrisiken mit der Anzahl der zu verwaltenden Boxen zunehmen. IT-Verantwortliche müssen einen zentralen Freigabeprozess einrichten, der sicherstellt, dass sämtliche Anfragen der Geschäftseinheiten zunächst die IT durchlaufen. V. WORAUF WARTEN SIE NOCH? Unternehmen Verschlüsseln Sie Daten im Speicher und bei der Übertragung, und bewahren Sie die Kodierungsschlüssel getrennt von den Daten an einem Speicherort auf, auf den der Cloud- Anbieter nicht zugreifen kann. Setzen Sie in der Cloud alle Sicherheitstools ein, die Sie auch auf Ihren physischen Servern nutzen, denn von den Cloud-Anbietern erhalten Sie lediglich ein reines Betriebssystem ohne angemessene Sicherheit. Cloud-Anbieter Gehen Sie offener und transparenter mit Ihren Sicherheitsrichtlinien und Verfahren rund um Zugriffskontrollen und Netzwerkverkehr um. Ihre Kunden haben ein Recht zu erfahren, was wann und von wem durchgeführt wird. Außerdem sollten Sie ihnen einen Einblick in die Protokolle gewähren. 5 Trend Micro Stellungnahme Wer ist verantwortlich für die Sicherheit in der Cloud?

7 Formulieren Sie Ihre SLAs klar und deutlich, damit Ihre Kunden verstehen, welche Sicherheitsfunktionen Sie anbieten und was zu tun ist, damit ihre Daten gemäß den unternehmensinternen und behördlichen Standards zuverlässig geschützt sind. Private-Cloud-Umgebungen Erstellen Sie einen zentralen Freigabeprozess, sofern es für alle neuen Cloud-Serveranfragen vom Unternehmen noch keinen gibt. Sie müssen wissen, warum ein Server benötigt wird, was auf diesem ausgeführt werden soll, wie lange der Server in Betrieb sein soll und wie viel Verkehr über ihn abgewickelt wird. Diese Anforderungen sollten regelmäßig geprüft werden. Seien Sie vorbereitet. IT-Abteilungen müssen mit der Geschwindigkeit dieser neuen Technologie Schritt halten. Zum Wohl Ihres Unternehmens müssen Sie darauf vorbereitet sein, diese Anforderungen zu unterstützen und zwar zeitnah und ohne Einbußen für die Sicherheit. 6 Trend Micro Stellungnahme Wer ist verantwortlich für die Sicherheit in der Cloud?