Cloud Computing Security

Transkript

1 LANDESAMT FÜR VERFASSUNGSSCHUTZ Cloud Computing Security Wirtschaftsschutz Beratungsleitfaden Version 1.2 Stand November 2011

2 Einleitung Wieso, Weshalb, Warum Die Informationstechnik (IT) hat inzwischen alle Lebens- und Arbeitsbereiche durchdrungen. Insbesondere Unternehmen und Behörden achten auf ein optimales Kosten-Nutzen-Verhältnis beim Einsatz von IT. Bisher wurden zu diesem Zweck Geschäftsprozesse der Unternehmensund Behörden-IT teilweise oder gänzlich zu externen Dienstleistern ausgelagert (Outsourcing). Die IT-Outsourcing-Anbieter stellen ihren Kunden die meist langfristig vertraglich fest vereinbarte Infrastruktur zur Verfügung und betreiben diese exklusiv für sie. Insbesondere im Serverbereich konnte durch die Einführung von Virtualisierungstechniken (Betrieb mehrerer logischer auf einem physischen Rechner) der Ressourcenverbrauch weiter gesenkt werden. Cloud Computing greift die Vorteile des Outsourcings und der Virtualisierung auf und bietet weiteres Einsparpotential durch einfache Skalierbarkeit und eine nochmals optimierte Ressourcennutzung. Cloud Services werden von Cloud Service Providern (CSP) bereitgestellt. Cloud Computing Merkmale: Die Infrastruktur der Cloud wird von mehreren Kunden genutzt. Cloud Services eines CSP oder von ihm beauftragter Dritter können von verschiedenen Rechenzentren aus mehreren Ländern bereitgestellt werden. Entsprechend des Kundenbedarfs sind Cloud Services kurzfristig skalierbar. Nutzung und Administration der Cloud Services erfolgen über standardisierte Netzwerkschnittstellen und Protokolle. Kunden buchen und administrieren ihre Cloud Services selbstständig über einfach zu bedienende grafische Benutzeroberflächen, meist Web-Interfaces. Die Nutzung der bereitgestellten Cloud Services wird erfasst und dem Kunden in Rechnung gestellt, sofern sie kostenpflichtig sind. Es gibt auch Flatrates. Zur Schaffung einer gemeinsamen Grundlage hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Begriff Cloud Computing wie folgt definiert: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. 2

3 Cloud Computing Architektur ein Überblick Es wird zwischen verschiedenen Bereitstellungs- bzw. Liefermodellen unterschieden. Public Cloud das etablierteste und bekannteste Modell. Ein Cloud Service Provider (CSP) bietet der Allgemeinheit, meist Privatnutzern oder einer größeren Zielgruppe wie beispielsweise Unternehmen einer Branche seine Cloud Services an. Private Cloud die Cloud-Infrastruktur wird ausschließlich für eine Organisation betrieben. Sie kann von der Organisation selbst oder einem Dritten bereitgestellt und betrieben werden und hierbei im eigenen Rechenzentrum oder dem eines Dritten zu Verfügung gestellt werden. Virtual Private Cloud bei dieser Spezialform der Private Cloud wird die physische Hardware im Rechenzentrum des CSP mit anderen Kunden geteilt. Die logischen Ressourcen, z. B. virtuelle Server, bleiben unter der Kontrolle des einzelnen Kunden. Hybrid Cloud sie kombiniert mehrere unterschiedliche, für sich eigenständige Cloudarchitekturen über standardisierte Schnittstellen zur gemeinsamen Nutzung. Community Cloud sie vereint mehrere Private Clouds einer Branche oder Institution und stellt die Ressourcen allen Mitgliedern zur gemeinsamen Nutzung zur Verfügung. Es werden drei grundlegend unterschiedliche Servicemodelle definiert, die auch als Cloud-Stack bezeichnet werden. Sie können unabhängig vom verwendeten Bereitstellungsbzw. Liefermodell in jeder Cloud Computing Architektur angeboten werden. Infrastructure as a Service (IaaS) bezeichnet als unterste Schicht die grundlegende Infrastruktur mit dem größten Gestaltungsspielraum für den Kunden. Er ist hier ab der Betriebssystemebene selbst verantwortlich. Der Kunde richtet das Betriebssystem sowie die Anwendungen seiner Wahl ein. Verglichen mit einem Standard-PC übernimmt der Kunde die Kontrolle über die virtualisierten Ressourcen der Cloud (Rechenleistung und Datenspeicher), wie der Nutzer nach der Eingabeaufforderung des BIOS am PC. Platform as a Service (PaaS) setzt beim CSP einen vorhandenen virtualisierten Server voraus. Der Kunde hat hier keinen direkten Zugriff mehr auf die Hardwareressourcen, sondern bringt nur die Programmlogik in die Cloud ein. Die Anwendung des Kunden steht bei PaaS im Vordergrund. Verglichen mit einem Standard-PC übernimmt der Kunde die Kontrolle über den vom CSP bereitgestellten 3

4 virtuellen Server inklusive Betriebssystem lediglich als Betreuer und Nutzer der eigenen Anwendung. Software as a Service (SaaS) steht für das aktuell am häufigsten genutzte Servicemodell. Der CSP betreibt bei SaaS eine spezialisierte Anwendung, z. B. ein Kundenbeziehungsmanagement (engl. CRM). Dem Kunden wird die Funktionalität der Anwendung über standardisierte Schnittstellen, z. B. ein Web-Interface, zur Verfügung gestellt. Administrativen Zugriff auf die Anwendung und die darunter liegenden Schichten hat der Kunde nicht. Verglichen mit einem Standard-PC darf der Kunde nur die bereitgestellte Anwendung nutzen. Überleitungsstrategie Das Ziel ist der richtige Weg Das Potenzial von Cloud Computing lässt sich von Unternehmen und Behörden nur ausschöpfen, wenn es den Cloud Service Providern gelingt, die Bedenken bezüglich der Informationssicherheit und des Datenschutzes dauerhaft auszuräumen. Soll Cloud Computing ein Bestandteil der eigenen IT-Strategie werden, ist eine individuelle Struktur- und Sicherheitsanalyse unumgänglich. Schwerpunkte sollten hierbei bilden: Strukturanalyse der auszulagernden IT-Systeme und Anwendungen sowie ihrer Schnittstellen zu definierten Übergängen zwischen lokaler IT und der in die Cloud auszulagernden IT Durchführung einer Schutzbedarfsfeststellung (z.b. nach BSI IT-GSHB) für Informationen (Unternehmens- und Behördendaten), Anwendungen und IT-Systeme Eingruppierung der Informationen, Anwendungen, IT-Systeme und Cloud Services in Schutzbedarfskategorien (Klassifizierung) Klärung der rechtlichen Rahmenbedingungen, insbesondere des Datenschutzes Berücksichtigung von unternehmens- und behördeninternen Arbeitsabläufen Nur unter Berücksichtigung dieser Punkte kann fundiert entschieden werden, welches Sicherheitsniveau für die angedachte Nutzung der Cloud Services benötigt wird. Am Ende steht die Festlegung spezifischer Sicherheitsanforderungen an den CSP. 4

5 Anforderungen an den Cloud Service Provider Nachfolgende Basisanforderungen an den CSP orientieren sich eng an den Empfehlungen des BSI. Stellen Kunden höhere Ansprüche an die Vertraulichkeit und/oder die Verfügbarkeit der Cloud Services, sind diese auch darüber hinaus abzusichern. Mit weniger als den Basisanforderungen sollten sich Kunden im eigenen Interesse nicht zufrieden geben. Sicherheitsmanagement beim CSP Definiertes Vorgehensmodell für alle IT-Prozesse anhand eines anerkannten IT- Service-Managements (ITSM), z.b. nach IT Infrastructure Library (ITIL) Implementation eines anerkannten Information Security Management System (ISMS), z.b. auf Basis des BSI IT-Grundschutzes (beinhaltet ISO 27001) Nachhaltige juristische, organisatorische und technische Umsetzung eines Informationssicherheitskonzeptes für die Cloud Angemessene Organisationsstruktur für Fragen der Informationssicherheit inklusive Ansprechpartner für den Kunden (Sicherheitsfragen) Sicherheitsarchitektur Rechenzentrumssicherheit Redundante Auslegung aller wichtigen Komponenten (Spannungsversorgung, Klimatisierung, Internetanbindung, etc.) Kontrollierter Zugang zum Rechenzentrum (RZ) durch Zwei-Faktor-Authentisierung und andere Maßnahmen (GMA, Sicherheitspersonal) Brandschutz (BMA, Feuerlöschanlage, regelmäßige Brandschutzübungen) Robuste Infrastruktur mit ausreichendem Widerstand gegen Elementarschäden und unbefugtes Eindringen Server-Sicherheit Sichere Grundkonfiguration des Hosts (Verwendung gehärteter Betriebssysteme (z.b. BSD), Deaktivierung nicht verwendeter Dienste, etc.) Technische Maßnahmen zum Schutz des Hosts (Host Firewall, Patchmanagement, Host Intrusion Detektion System (IDS), regelmäßige Integritätsprüfungen, etc.) Ausschließlich IaaS: Verwendung von sicher vorkonfigurierten und geprüften Images des CSP oder des Kunden für die virtuellen Maschinen (VM) 5

6 Ausschließlich PaaS/SaaS: sicherte Grundkonfiguration der VM (Verwendung gehärteter Betriebssysteme, Deaktivierung nicht verwendeter Dienste, etc.) Netzsicherheit Sicherheitsmaßnahmen gegen Schadsoftware, z.b. Detektoren zur Erkennung von Viren, Trojanern und unerwünschten s (Spam) Sicherheitsmaßnahmen gegen netzbasierte Angriffe, z.b. IDS/IPS-Systeme, Firewalls, Application Layer Gateway (ALG) [nicht für Private Cloud notwendig] Maßnahmen zur Abwehr von Denial of Service (DoS) sowie Distributed Denial of Service (DDoS) Angriffen [nicht für Private Cloud notwendig] Isolierung des Cloud-Management-Netzes vom Datennetz durch Segmentierung Sichere Konfiguration aller Komponenten der Cloud-Architektur zur Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität Fernadministration ausschließlich über sichere Kommunikationskanäle, z.b. IPsec- VPN, TLS-VPN (früher SSL-VPN) Verschlüsselte Kommunikation zwischen CSP und Kunde Verschlüsselte Kommunikation zwischen verschiedenen Standorten des CSP Falls vorhanden, verschlüsselte Kommunikation mit Drittanbietern Anwendungs- und Plattformsicherheit Sicherheit muss fester Bestandteil der Softwareentwicklung sein (Code-Reviews, Vulnerability Tests, etc.) Sichere Isolierung der Anwendungen [PaaS/SaaS] Zur Verfügung gestellte Webanwendungen müssen Sicherheits-Mindeststandards, z.b. nach den Kriterien des Open Web Application Security Project (OWASP), erfüllen Definition von Richtlinien für Kunden zur Erstellung von sicheren Anwendungen [PaaS] Zeitnahes Patch- und Releasemanagement (u.a. schließen von Sicherheitslücken) Sicherstellung der Patch- und Releaseverträglichkeit auf Testsystemen vor der Installation im Wirkbetrieb Datensicherheit Datensicherheit im Lebenszyklus der Kundendaten definieren und umsetzen Sichere Isolierung der Kundendaten (virtuelle Speicherbereiche, Tagging, etc.) Regelmäßige Datensicherungen, deren Rahmenbedingungen für die Kunden nachvollziehbar sind (Umfang, Intervalle, Speicherdauer, Wiederherstellung) 6

7 Daten müssen auf Kundenwunsch zuverlässig und sicher gelöscht werden, insbesondere nach Vertragsende und auch von den Backupmedien Verschlüsselung und Schlüsselmanagement Bestmögliche Schlüsselverwaltung umsetzen (praxisgerecht und sicher) Auf Wunsch und sofern möglich, Unterstützung der Kunden zur Verschlüsselung auf Kundenseite (kompatible kryptografische Verfahren und Produkte, bei denen die Kontrolle beim Kunden verbleibt) ID- und Rechtemanagement Zwei-Faktor-Authentisierung für CSP-Administratoren Rollenbasierte Zugriffsrechte CSP-Administratoren und Kunden dürfen nur die Zugriffsrechte besitzen, die sie für ihre Rolle benötigen (Least Privilege Model) Kontrollmöglichkeiten für Kunden Kunden müssen die Möglichkeit haben, messbare Größen (z.b. Serververfügbarkeit), wie in der Dienstgütevereinbarung (DGV) oder im Service-Level-Agreement (SLA) vereinbart, zu überwachen Protokollierung von Systemparametern und Regelung von Sicherheitsvorfällen (Monitoring und Security Incident Management) 24/7 umfassende Überwachung der Cloud Dienste sowie zeitnahe Reaktionen bei Sicherheitsvorfällen Erfassung und Auswertung von Datenquellen (Systemstatus, fehlgeschlagene Authentisierungsversuche, etc.) Information des Kunden über für ihn bedeutsame Sicherheitsvorfälle beim CSP Bereitstellung relevanter Logdaten in geeigneter Form durch den CSP Logging und Monitoring der CSP-Administratoraktivitäten Notfallmanagement Der CSP muss ein Notfallmanagement aufsetzen und betreiben (z.b. Notfallhandbuch) 7

8 Portabilität und Interoperabilität Exit-Vereinbarung mit zugesicherten Formaten und Eigenschaften [SaaS] Standardisierte oder offen gelegte Schnittstellen, z.b. Application Programming Interface (API) Sicherheitsprüfung und nachweis CSP müssen den Kunden regelmäßig über Sicherheitsmaßnahmen, Änderungen im IT- Sicherheitsmanagement, Sicherheitsvorfälle, Ergebnisse von Informationssicherheitsrevisionen (IS-Revision) und Penetrationstests informieren Regelmäßige Penetrationstests Regelmäßige Penetrationstests bei Subunternehmen Anforderungen an das Personal Vertrauenswürdiges Personal Aus- und regelmäßige Fortbildung der Mitarbeiter des CSP Regelmäßige Sensibilisierung der Mitarbeiter des CSP für die Belange der Informationssicherheit und des Datenschutzes Nachweisbare Verpflichtung der Mitarbeiter auf Informationssicherheit, Datenschutz und angemessenen Umgang mit Kundendaten Vertragsgestaltung Transparenz Offenlegung der Standorte des CSP (Staaten), an denen Kundendaten gespeichert und verarbeitet werden Offenlegung der Subunternehmer des CSP, die für die Erbringung des Cloud Services wesentlich sind Transparenz, welche Eingriffe der CSP oder Dritte in Daten und Verfahren der Kunden vornehmen dürfen Unterrichtung über relevante Änderungen (neue oder nicht mehr verfügbare Funktionen, neue Subunternehmer, ausgelagerte Dienste, etc.) Transparenz, ob und wenn ja welche Software durch den CSP auf Kundenseite installiert wird sowie über daraus resultierende Sicherheitserfordernisse/ -risiken Transparenz bezüglich der durch den Standort sowie den Stammsitz des CSP bedingten staatlichen Zugriffsrechte, über gerichtlich festlegbare Einsichtrechte Dritter 8

9 und über Prüfpflichten zu gespeicherten Daten durch den CSP an allen potenziellen Standorten Dienstgütevereinbarung (DGV)/Service Level Agreement (SLA) Definierte, klar konturierte Sicherheitsleistungen in DGV/SLA Gesetzliche und vertragliche Regelungen und Richtlinien (Datenschutz und Compliance) Gewährleistung des Datenschutzes nach deutschem Recht Datenschutzrichtlinien und gesetze, denen der Kunde unterliegt, müssen vom CSP eingehalten werden Bei Auftragsdatenverarbeitung: Schriftliche Vereinbarung zwischen Kunde und CSP gemäß Bundesdatenschutzgesetz (BDSG) Bei Auftragsdatenverarbeitung: Kontrollrecht des Kunden zur datenschutzkonformen Verarbeitung der personenbezogenen Daten durch eigene Vor-Ort-Kontrolle oder einen unabhängigen Sachverständigen Bei Auftragsdatenverarbeitung: Kontrollrecht der für den Kunden zuständigen Aufsichtsbehörde Bei Auftragsdatenverarbeitung: Weisungsrechte des Kunden gegenüber dem CSP Keine Einbindung von Subunternehmen, die eine Verarbeitung der personenbezogenen Daten unter den oben genannten Voraussetzungen nicht gewährleisten können Für den Kunden relevante gesetzliche Bestimmungen müssen durch den CSP eingehalten werden, z.b. Telekommunikationsgesetz (TKG) 9

10 Fazit Wolkig mit Zukunft Die Verheißungen von Cloud Computing, hohe Kosteneffizienz und Flexibilität, lassen sich nur dann mit vertretbarem Risiko nutzen, wenn die eingangs erwähnten Schlüsselfaktoren ausreichend Berücksichtigung finden. Insbesondere die (Standard-)Sicherheitsanforderungen an den Cloud Service Provider wie sie dieser Leitfaden im Überblick darstellt unterstützen potenzielle Kunden dabei, die Kontrolle über ihre Daten zu behalten und nicht Gefahr zu laufen, gegen gesetzliche Bestimmungen zu verstoßen. Es ist davon auszugehen, dass sich Cloud Computing aufgrund seines wirtschaftlichen Potenzials am Markt durchsetzt. Herausforderungen bestehen aktuell unter anderem noch bei der Standardisierung von Schnittstellen, Verfahren und Daten-Formaten zur Sicherstellung von Portabilität und Interoperabilität. Darüber hinaus können sich aus unterschiedlichen nationalen Datenschutzgesetzen Probleme ergeben. International tätige Unternehmen werden hier noch mit teils widersprüchlichen Anforderungen konfrontiert und handeln im Zweifelsfall womöglich nicht im Kundeninteresse. Wer als deutscher Kunde einen CSP mit Sitz in Deutschland wählt, der die Daten in einem Rechenzentrum innerhalb Deutschlands verarbeitet und speichert, der handelt diesbezüglich in einem rechtssicheren Rahmen. Für vertiefende Informationen zum behandelten Thema empfiehlt sich das vom Bundesamt für Sicherheit in der Informationstechnik herausgegebene Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter. Konkrete datenschutzrechliche Betrachtungen, insbesondere zum grenzüberschreitenden Datenverkehr, finden sich in der Orientierungshilfe Cloud Computing, herausgegeben von der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder. 10

11 Quellen: - Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2011 (Mai 2011, S ) - Bundesamt für Sicherheit in der Informationstechnik, Sicherheitsempfehlungen für Cloud Computing Anbieter (Mai 2011) - Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Standard 100-1, ISMS-Definition und Prozessbeschreibung (2008, S ) - Bundesamt für Sicherheit in der Informationstechnik, Mindestanforderungen zur Informationssicherheit bei ecommerce-anbietern (Mai 2011) - Helmut Kaufmann, Cloud Computing ein Überblick (Hakin9, Heft 06/2010, S ) - What s Inside the Cloud? An Architectural Map of the Cloud Landscape, Figure 1: Cloud stack (Februar 2009, S. 3) - Jörg Heidrich, Schutzbefohlen (c t, Heft 10/2011, S ) - <kes> Special Sicheres Cloud Computing, Nicht weniger als..., (März 2011, S ) - Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Cloud Computing aus datenschutzrechtlicher Sicht (Vortragsfolie vom ) - Wissenschaftliche Dienste des Deutschen Bundestages, Der Aktuelle Begriff vom , Cloud Computing - Wikipedia, Cloud Computing (am abgerufen) - Heise Security, US-Behörden dürfen auf europäische Cloud-Daten zugreifen (abgerufen am ) - Ergebnisse der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe Cloud Computing (September 2011) - Marc Ruef, Sicherheit von Cloud Computing (Hakin9, Heft 11/2011, S ) 11