Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)

Transkript

1 Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Telefon: Internet: Bundesamt für Sicherheit in der Informationstechnik 2011

3 Inhaltsverzeichnis Inhaltsverzeichnis Vorwort DasBSIimDienstderÖffentlichkeit Einleitung Motivation Zielsetzung Adressatenkreis Anwendungsweise ThematischeAbgrenzungderBSI-Sicherheitsempfehlungen 10 2 CloudComputingGrundlagen WasistCloudComputing? WasunterscheideteinePublicCloudvoneinerPrivateCloud? WelcheverschiedenenServicemodellewerden imcloudcomputingangeboten? WasunterscheidetCloudComputingvon klassischemit-outsourcing? Strategische PlanungderCloudComputing ServicesdurchdenNutzer 3 SicherheitsmanagementbeimAnbieter 21 4 Sicherheitsarchitektur Rechenzentrumssicherheit Server-Sicherheit Netzsicherheit Anwendungs-undPlattformsicherheit Datensicherheit VerschlüsselungundSchlüsselmanagement

4 Inhaltsverzeichnis 5 ID-undRechtemanagement 38 6 KontrollmöglichkeitenfürNutzer 41 7 MonitoringundSecurityIncidentManagement 42 8 Notfallmanagement 45 9 PortabilitätundInteroperabilität Sicherheitsprüfungund-nachweis AnforderungenandasPersonal Vertragsgestaltung Transparenz ServiceLevelAgreement(SLA) DatenschutzundCompliance Datenschutz Compliance Ausblick Glossar 16 Referenzen Dankesworte 75 2

5 Vorwort Vorwort Minimierte Risiken beim Cloud Computing CloudComputinghatdasPotential,dieBereitstellungundNutzungvonInformationstechnologienachhaltigzuverändern.DamitIT-DienstleistungenausderCloudjedochzuverlässiggenutzt werden können, ist die Informationssicherheit einer der Schlüsselfaktoren. Um im Hinblick auf Sicherheit beim Cloud Computing eine tragfähige Basis zu schaffen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im September2010einenpraxisnahenAustauschangeregt.SowohlAnbieterentsprechenderLösungenalsauchderenAnwender sowiesicherheitsexpertenwarenaufgerufen,dasvombsiveröffentlichteeckpunktepapiermitmindestanforderungenandieinformationssicherheitbeim CloudComputingzudiskutieren. Nicht nur die klassischen Angriffsszenarien sind für Cloud-Systeme relevant.hinzukommenspeziellecharakteristikawieetwadietatsache,dasssich mehrere Nutzer eine gemeinsame IT-Infrastruktur teilen. Zudem stellt die dynamische Verteilung der IT-Leistung über mehrere Standorte hinweg eine besondereherausforderungdar. Die zahlreichen Rückmeldungen der Branche auf diese BSI-Initiative haben gezeigt, dass sich der Ansatz einer gemeinsamen, praxisorientierten DiskussionvonAnbieternundAnwendernbewährthat:DasEckpunktepapier wurdevondenmarktteilnehmernweitgehendpositivaufgenommen.dasbelegen die zahlreichen Anfragen genauso wie die vielen konstruktiven Kommentare.DieErgebnissedieserDiskussionsindnunindemvorliegendenBand dokumentiert. 3

6 Vorwort ZieldesBSIistes,gemeinsammitdenBeteiligtensinnvolleundangemessene Sicherheitsanforderungen an das Cloud Computing zu entwickeln, die einenschutzvoninformationen,anwendungenundsystemengewährleisten. DiesemZielsindwireingutesStücknähergekommen.DieimFolgendenbeschriebenenMindestanforderungensindskalierbarinRichtungVerfügbarkeit und Vertraulichkeit. Sie bieten eine methodische Grundlage, um einerseits weitereaspekteintegrierenzukönnenundumsiekontinuierlichansichveränderndegegebenheitenanzupassen.andererseitsbildensieeinegutebasis in den Diskussionen auf internationaler Ebene. Internationale Standards bildendiezertifizierungsgrundlagefürdieaspekteinteroperabilitätundinformationssicherheit.erstaufdieserbasiswirdsichfüranwenderdiemöglichkeit eröffnen,sichvondenunterschiedlichencloud-angeboteneinumfassendes, verlässliches Bild zu machen. Als nächsten Schritt planen wir, Cloud ComputingindieIT-Grundschutz-VorgehensweisedesBSIeinzuarbeiten. Denn nur, wenn die entsprechenden Dienstleistungen auf hohem Sicherheitsniveaubereitgestelltwerden,lassensichdiePotentialevonCloud-Lösungen wiehoheflexibilitätundeffizienz,aberauchsinkendekostenbeider BereitstellungundNutzungvonInformationstechnologie wirklichnutzen. IchwünscheIhneneineaufschlussreicheLektüre. MichaelHange PräsidentdesBundesamtesfürSicherheitinderInformationstechnik 4

7 Das BSI im Dienst der Öffentlichkeit DasBSI imdienstderöffentlichkeit Das Bundesamt für Sicherheit in der Informationstechnik wurde am 1. Januar 1991 mit Sitz in Bonn gegründet und gehört zum Geschäftsbereich desbundesministeriumsdesinnern. Mit seinen derzeit rund 500 Mitarbeiterinnen und Mitarbeitern und 62 Mio. Euro Haushaltsvolumen ist das BSI eine unabhängige und neutrale StellefüralleFragenzurIT-SicherheitinderInformationsgesellschaft. Als zentraler IT-Sicherheitsdienstleister des Bundes ist das BSI operativ für denbund,kooperativmitderwirtschaftundinformativfürdenbürgertätig. DurchdieGrundlagenarbeitimBereichderIT-SicherheitübernimmtdasBSI alsnationaleit-sicherheitsbehördeverantwortungfürunseregesellschaftund istdadurcheinetragendesäulederinnerensicherheitindeutschland. 5

8 Das BSI im Dienst der Öffentlichkeit Ziel des BSI ist der sichere Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft. IT-Sicherheit soll als wichtiges Thema wahrgenommen und eigenverantwortlich umgesetzt werden. Sicherheits- aspektesollenschonbeiderentwicklungvonit-systemenund-anwendungen berücksichtigtwerden. DasBSIwendetsichmitseinemAngebotandieAnwenderundHersteller von Informationstechnik. Zielgruppe sind die öffentlichen Verwaltungen in Bund,LändernundKommunensowiePrivatanwenderundUnternehmen. DasEckpunktepapierzumCloudComputinggibteinenkompaktenÜberblick über die wichtigsten organisatorischen, personellen, infrastrukturellen und technischen Informationssicherheitsmaßnahmen für Cloud Computing Anbieter. 6

9 Einleitung 1 Einleitung 1.1 Motivation DasThemaCloudComputingistderzeiteinesderammeistendiskutierten ThemeninderInformationstechnik(IT).HinterdemBegriffCloudComputing stehen aber weniger neue Technologien, sondern deren Kombination und konsequenteweiterentwicklungermöglichenneueit-servicesundneuegeschäftsmodelle. Wie bei vielen neuen Techniken und Dienstleistungen werden auch beim CloudComputingdieAspekteInformationssicherheitundDatenschutzintensiv diskutiertunddurchauskritischerbeleuchtetalsbeischonlängervorhandenen Angeboten. Viele Umfragen und Studien zeigen, dass potentielle Kunden BedenkenbezüglichInformationssicherheitundDatenschutzbeimCloudComputinghaben,dieeinemverstärktenEinsatzentgegenstehen.BeidenNutzernvon Cloud-AngebotenmussnochdasnotwendigeVertrauenaufgebautwerden. DasBSIhatdaherEmpfehlungenfürsicheresCloudComputingerstellt,die sichzunächstancloudserviceprovider(csp)richten.cspshabendiemöglichkeitenunddiepflicht,informationssicherheitineinemangemessenenumfang umzusetzen.dasvorliegendeeckpunktepapierkannvoncspsalsrichtschnur fürdieumsetzungvonsicherheitsmaßnahmengenutztwerden.andererseits könnencloud-nutzer,diesichmitdenvorliegendenempfehlungenbeschäfti- gen,diecspsnachderenumsetzungfragen.derersteschrittfüreinencloud- Kundensollteesjedochimmersein,sichüberdieSchutzbedürftigkeitdereigenenDatenundAnwendungenklarzuwerden.DavonhängtimWesentlichen ab,obundunterwelchenrahmenbedingungengeschäftsrelevantedatenund AnwendungenindieCloudverlagertwerdenkönnen. Das Eckpunktepapier stellt einen Überblick über die wesentlichen Felder voncloudcomputingdar,indenensicherheitumgesetztwerdensollte.nicht 7

10 Einleitung für alle Cloud Services sind alle aufgeführten Punkte gleich relevant. Da sich beispielsweisediegefährdungslagefürprivateundpubliccloudsinmanchen Bereichen unterscheidet, müssen zum Teil auch andere Sicherheitsmaßnahmenumgesetztwerden. DasvorliegendeDokumentbetrachtetnichtnurCloud-spezifischeAspekte,sondernrichtetdenBlickauchaufgrundlegendeAnforderungenderInformationssicherheit,dadiesedieBasisbilden,aufderalleCloud-Diensteaufsetzen sollten. Die Empfehlungen wurden weitgehend abstrakt gehalten, ohne detaillierte Anweisungen für deren Umsetzung zu geben. Dies würde zum einen den Umfang des Dokuments sprengen und zum anderen lässt dies die VielfältigkeitderCloud-Angebotenichtzu.DieBewertungderSicherheiteines bestimmtenangebotsmussdaherimmerauchindividuellerfolgen. 1.2 Zielsetzung Obwohl weltweit IT-Dienstleistungen aus der Wolke immer stärker in Anspruch genommen werden, zeigen fast alle Umfragen und Studien, dass esaucheinevielzahlvonbedenkengibt,dieanwendervordernutzungvon Cloud Computing Diensten zurückschrecken lassen. Als eines der größten Hindernisse wird immer wieder mangelndes Vertrauen in die Sicherheit der bereitgestelltenservicesgenannt.alszentralestelledesbundesfürdieinformationssicherheitistesdembsiwichtig,dieaufbauphasevoncloudservices aktivmitzugestalten. PrimäresZieldesvorliegendenEckpunktepapiersistes,eineGrundlagefür diediskussionzwischencspsundcloud-kundenzubieten.alsweitergehendeszielsolldiesespapierdiegrundlagebilden,umdaraufaufbauendkonkreteempfehlungenfürunternehmenundbehördenzurabsicherungvoncloud Serviceszuerarbeiten.DasEckpunktepapieristeinersterSchrittinRichtungzur SchaffungvonStandards,aufderenBasisdieSicherheitvonCloudComputing Plattformenüberprüftwerdenkann.DieimvorliegendenPapierformulierten Anforderungen werden auch künftig weiter diskutiert und, wo erforderlich, 8

11 Einleitung überarbeitet und auch weitergehende Details ausgearbeitet werden. Ziel ist esabernicht,dieeckpunkteweiterzukonkretisieren.diesesollendiejetzige Tiefe beibehalten, weitergehende Ausarbeitungen und Detaillierungen zum Themenbereich Cloud Computing werden allerdings im IT-Grundschutz einfließen, beispielsweise in Form von IT-Grundschutz-Bausteinen oder Kurzstudien. Geplant ist die Entwicklung von IT-Grundschutz-Bausteinen sowohl für diesicherenutzungalsauchfürdiesicherebereitstellungvoncloud-diensten. AußerdemmussderBSI-Standard100-2zurIntegrationvonCloud-Aspektenin die IT-Grundschutz-Vorgehensweise angepasst werden, insbesondere im BereichderModellierungkomplexer,virtualisierterInformationsverbünde. 1.3 Adressatenkreis DasEckpunktepapierwendetsichanIT-affinePersonen,diemitderBereitstellungbzw.NutzungvonCloudServicesbefasstsind.DieThemenderInformationssicherheit werden angerissen und setzen ein Grundverständnis von Informationssicherheitauftechnischer,infrastruktureller,personellerundorganisatorischerEbenevoraus. Die Empfehlungen wenden sich dabei in erster Linie an CSPs, die diese DienstefürUnternehmenundBehördenzurVerfügungstellen,sowieanprofessionelle Anwender. Sie richten sich nicht unmittelbar an Privatanwender, die einzelne Cloud Services nutzen, können aber von diesen als Anregung in Sicherheitsfragenmitgenutztwerden. 1.4 Anwendungsweise Die im Folgenden aufgeführten Punkte zeigen auf einem abstrakten Niveau auf, welche Sicherheitsmaßnahmen von einem CSP umzusetzen sind. EinestrukturierteVorgehensweiseundeineffektivesManagementderInformationssicherheit sind unabdingbare Voraussetzungen, um ein angemessenessicherheitsniveauineinemunternehmenodereinerbehördeerfolgreich zu erzielen und aufrechtzuerhalten. Wie ein funktionierendes Managementsystem für Informationssicherheit aufgebaut werden kann und was dies um- 9

12 Einleitung fassen sollte, ist in einschlägigen Normen wie ISO oder dem BSI-Standard100-2zurIT-Grundschutz-Vorgehensweise beschrieben.zumschutzvon CloudComputingDienstenmüssenaußerdemdiefürCloudComputingspezifischenGefährdungenanalysiertundpassende Sicherheitsmaßnahmenda- gegenidentifiziertundumgesetztwerden. JederCSPmussdaherineinerRisikoanalyseermitteln,welcheGefährdungen für die von ihm betriebenen Dienste aktuell und relevant sind, welche AuswirkungendiesehabenkönnenundwiedieerkanntenRisikenbehandelt werdensollen,beispielsweisedurchspezifischesicherheitsmaßnahmen.inabgespeckterformmüssenauchcloud-nutzerdierisikenbewerten,diefürsie durcheineverlagerungvondatenoderanwendungenindiecloudentstehen CloudComputingzuadressieren. BeiderRisikobetrachtungstehteinCSPvorderHerausforderung,dasserden Wertbzw.denSchutzbedarfderKundendatenmeistimVorfeldnichtkennt.Ein können. Die in diesem Eckpunktepapier vorgelegten SicherheitsempfehlungenbildeneinRahmenwerk,umdieausSichtdesBSIkritischenBereichebeim Auswegwäre,füralleKundenundihreDateneinhohesodersehrhohesSchutz- niveauanzubieten.diesistabererfahrungsgemäßfürdatenmiteinemnorma- lenschutzbedarfzuteuer.cspssolltendasthemainformationssicherheitfrüh- zeitiggegenüberihrenkundenansprechen.informationssicherheitgehörtmit zudenwesentlichenentscheidungsgründenvonkunden,wennesumdieauswahlvoncloudserviceanbieternundkonkretercloud-dienstleistungengeht. DahersolltenCSPsihrenKundendarlegen,wiegutsieinpunctoInformationssicherheitaufgestelltsind.Dazugehört,dasssiedenKundenaufzeigen,welche Sicherheitsmaßnahmen bei ihren Angeboten zum Standardumfang gehören undwelcheoptionalerhältlichsind,abersiesolltendiekundenauchdaraufhinweisen,welchesicherheitsmaßnahmendieseselberergreifenmüssen. 1.5 Thematische Abgrenzung der BSI-Sicherheitsempfehlungen IndiesemDokumentliegtderSchwerpunktaufSicherheitsbetrachtungen dercloud-basiertenverarbeitungvoninformationen,dieeinennormalenbis 10

13 Einleitung hohenschutzbedarfhaben,wiez.b.firmenvertraulicheinformationen,schützenswertepersonenbezogenedaten.diefestlegungdesschutzbedarfsvoninformationen,anwendungenundit-systemenorientiertsichandenschutzbedarfskategoriennachit-grundschutz(siehebsi-standard100-2[1]).derschutz voninformationen,diealsstaatlicheverschlusssacheeingestuftwurden,wird indiesemdokumentnichtexplizitbetrachtet. Bei der Erstellung der Eckpunkte standen Vertraulichkeit und Verfügbarkeit als die zu schützenden Grundwerte der Informationssicherheit im Vordergrund.DieSicherheitsempfehlungensinddahernachVertraulichkeitund Verfügbarkeit unterteilt, während eine dezidierte Betrachtung nach dem GrundwertIntegritätnichtvorgenommenwurde. DieaufgeführtenSicherheitsempfehlungensinddreiKategorienzugeordnet: DieKategorie B(=Basisanforderung)umfasstdieBasisanforderungen,die anjedencloudserviceanbietergestelltwerden. DieKategorie C+ (=Vertraulichkeithoch,Confidentiality) umfasstzusätzli- cheanforderungen,wenndatenmiteinemhohenschutzbedarfbezüglich Vertraulichkeitverarbeitetwerdensollen. Die Kategorie A+ (=Verfügbarkeit hoch, Availability) umfasst zusätzliche Anforderungen,wennDienstleistungenmiteinemhohenSchutzbedarfbezüglichVerfügbarkeitsbedarfinAnspruchgenommenwerdensollen. IndenTabellenzurÜbersichtüberdieSicherheitsempfehlungenindeneinzelnenBereichenwirdaußerdemnochmitPfeilenaufgezeigt,wiedasBSIdasGefährdungspotentialindiesemBereichfürPrivatebzw.PublicCloudseinschätzt. EinPfeilnachrechts()symbolisierteindurchschnittlichesGefährdungspotential,einPfeilnachoben()bedeuteterhöhtesGefährdungspotential. AllegenanntenAnforderungengeltenfürIaaS,PaaSundSaaS,soweitnicht andersvermerkt. 11

14 Einleitung Aufgrund der dynamischen Entwicklungen im Bereich Cloud Computing wird es auch weiterhin erforderlich sein, die nachfolgend dargestellten Sicherheitsempfehlungen regelmäßig zu überprüfen und anzupassen sowie unter Umständen auch zusätzliche Anforderungen hinzuzunehmen. Aktualisierte Versionen dieses Eckpunktepapiers werden auf dem BSI-Webserver 12

15 Cloud Computing Grundlagen 2 CloudComputingGrundlagen 2.1 Was ist Cloud Computing? BisherkonntesichfürdenBegriffCloudComputingkeineDefinitionalsallgemeingültigdurchsetzen.InPublikationenoderVorträgenwerdenhäufigDefinitionenverwendet,diesichzwarmeistähneln,aberdiedochimmerwieder variieren.einedefinition,dieinfachkreisenmeistherangezogenwird,istdie DefinitionderUS-amerikanischenStandardisierungsstelleNIST(NationalInstituteofStandardsandTechnology)[2],dieauchvonderENISAgenutztwird[3]: CloudComputingisteinModell,daseserlaubtbeiBedarf,jederzeitundüberallbequemübereinNetzaufeinengeteiltenPoolvonkonfigurierbarenRechnerressourcen(z.B.Netze,Server,Speichersysteme,AnwendungenundDienste)zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-InteraktionzurVerfügunggestelltwerdenkönnen. Folgende fünf Eigenschaften charakterisieren gemäß der NIST-Definition einencloudservice: BroadNetworkAccess: DieServicessindmitStandard-Mechanismenüber dasnetzverfügbarundnichtaneinenbestimmtenclientgebunden. On-demand SelfService:DieProvisionierungderRessourcen(z.B.Rechenleistung,Storage)läuftautomatischohneInteraktionmitdemServiceProviderab. Resource Pooling: Die Ressourcen des Anbieters liegen in einem Pool vor, ausdemsichvieleanwenderbedienenkönnen(multi-tenantmodell).dabei wissen die Anwender nicht, wo die Ressourcen sich befinden, sie könnenabervertraglichdenspeicherort,alsoz.b.region,landoderrechenzentrum,festlegen. RapidElasticity:DieServiceskönnenschnellundelastischzurVerfügung gestelltwerden,inmanchenfällenauchautomatisch.ausanwendersicht scheinendieressourcendaherunendlichzusein. 13

16 Cloud Computing Grundlagen Measured Services: Die Ressourcennutzung kann gemessen und überwacht werden und entsprechend bemessen auch den Cloud-Anwendern zurverfügunggestelltwerden. Service orientierte Architektur (SOA) ist eine der Grundvoraussetzungen In einer Cloud-Umgebung teilen sich viele Anwender gemeinsame Ressourcen,diedeshalbmandantenfähigseinmuss. Es werden nur die Ressourcen bezahlt, die auch tatsächlich in Anspruch genommen wurden (Pay per Use Model), wobei es auch Flatrate-Modelle gebenkann. DieseDefinitiongibtdieVisionvonCloudComputingwieder,wobeidavonabgesehenwerdensollte,dieeinzelnenPunktezudogmatischzusehen.Sowirdz.B. eineubiquitäreverfügbarkeitbeiprivatecloudseventuellgarnichtangestrebt. NachderCloudSecurityAlliance(CSA)hatCloudComputingnebenderoben erwähntenelastizitätunddemselfservicenochfolgendeeigenschaften[4]: fürcloudcomputing.diecloud-dienstewerdeninderregelübereinsogenanntesrest-apiangeboten. Begriffsdefinition UmfürallekünftigenArbeitenrundumCloudComputingeineeinheitlicheGrundlagezuhaben,hatdasBSIfolgendeDefinitionfürdenBegriff Cloud Computing festgelegt: CloudComputingbezeichnetdasdynamischandenBedarfangepassteAnbieten,NutzenundAbrechnenvonIT-DienstleistungenübereinNetz.Angebotund NutzungdieserDienstleistungenerfolgendabeiausschließlichüberdefinierte technischeschnittstellenundprotokolle.diespannbreitederimrahmenvon CloudComputingangebotenenDienstleistungenumfasstdaskompletteSpektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.b.rechenleistung,speicherplatz),plattformenundsoftware. 14

17 Cloud Computing Grundlagen In diesem Dokument wird der Begriff Cloud Computing entsprechend benutzt, wobei die von NIST und CSA aufgestellten Charakteristika stets im Hinterkopf zu halten sind. So ist eine einfache Webanwendung in der Regel kein Cloud Computing, obwohl dies von den Marketingabteilungen der Herstelleroftsobezeichnetwird. 2.2 Was unterscheidet eine Public Cloud von einer Private Cloud? NISTunterscheidetvierBereitstellungsmodelle(DeploymentModels): IneinerPrivate CloudwirddieCloud-InfrastrukturnurfüreineInstitution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiertundgeführtwerdenundkanndabeiimrechenzentrumdereigenen InstitutionodereinerfremdenInstitutionstehen. VoneinerPublic Cloudwirdgesprochen,wenndieServicesvonderAllge- meinheitodereinergroßengruppe,wiebeispielsweiseeinerganzenindus- triebranche,genutztwerdenkönnenunddieservicesvoneinemanbieter zurverfügunggestelltwerden. In einer Community Cloud wird die Infrastruktur von mehreren Institutionengeteilt,dieähnlicheInteressenhaben.EinesolcheCloudkannvon einerdieserinstitutionenodereinemdrittenbetriebenwerden. Werden mehrere Cloud Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloudgenannt. Die oben genannten Definitionen decken aber nicht alle Varianten von CloudAngebotenab,waszuweiterenDefinitionenwie VirtualPrivateCloud, etc. führt. Während bei einer Private Cloud, bei der im Prinzip Anbieter und Nutzeridentischsind,derNutzerdiekompletteKontrolleüberdiegenutzten Serviceshat,überträgtderNutzerbeieinerPublicClouddieKontrolleanden CloudComputingAnbieter. 15

18 Cloud Computing Grundlagen ImWeiterenwirdindiesemDokumentnurzwischenPrivateCloudundPublicCloudunterschieden,diegemäßderobigenDefinitiondieganzeSpannbreite der Cloud-Bereitstellungsmodellen darstellen. Bei allen Modellen, die zwischen diesen beiden Extremen liegen, muss hinterfragt werden, ob die Gefährdungen z. B. durch gemeinsam genutzte Infrastrukturen eher denen einerprivatecloudodereinerpubliccloudähneln. 2.3 Welche verschiedenen Servicemodelle werden im Cloud Computing angeboten? GrundsätzlichkönnendreiverschiedeneKategorienvonServicemodellen unterschiedenwerden: 1. Infrastructure as a Service (IaaS) Bei IaaS werden IT-Ressourcen wie z. B. Rechenleistung, Datenspeicher odernetzealsdienstangeboten.eincloud-kundekauftdiesevirtualisierten und in hohem Maß standardisierten Services und baut darauf eigene daraufeinbetriebssystemmitanwendungenseinerwahllaufenlassen. 2. Platform as a Service (PaaS) EinPaaS-ProviderstellteinekompletteInfrastrukturbereitundbietetdem ServiceszuminternenoderexternenGebrauchauf.SokanneinCloud-Kundez.B.Rechenleistung,ArbeitsspeicherundDatenspeicheranmietenund KundenaufderPlattformstandardisierteSchnittstellenan,dievonDiensten des Kunden genutzt werden. So kann die Plattform z. B. Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe, etc. als Service zur Verfügung stellen. Der Kunde hat keinen Zugriff auf die darunterliegendenschichten(betriebssystem,hardware),erkannaberaufder PlattformeigeneAnwendungenlaufenlassen,fürderenEntwicklungder CSPinderRegeleigeneWerkzeugeanbietet. 3. Software as a Service (SaaS) Sämtliche AngebotevonAnwendungen,diedenKriteriendesCloudCom- puting entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum 16

19 Cloud Computing Grundlagen sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungengenannt. DerBegriff asaservice wirdnochfüreinevielzahlweitererangebotebenutzt,wiez.b.fürsecurityasaservice,bpasaservice(businessprocess),storageasaservice,sodasshäufigauchvon XaaS geredetwird,also irgendwas alsdienstleistung.dabeilassensichdiemeistendieserangebotezumindest grobeinerderobigenkategorienzuordnen. DieServicemodelleunterscheidensichauchimEinflussdesKundenaufdie SicherheitderangebotenenDienste.BeiIaaShatderKundedievolleKontrolle überdasit-systemvombetriebssystemaufwärts,daallesinnerhalbseinesverantwortungsbereichsbetriebenwird,beipaashaternurnochkontrolleüber seine Anwendungen, die auf der Plattform laufen, und bei SaaS übergibt er praktischdieganzekontrolleandencsp. 2.4 Was unterscheidet Cloud Computing vom klassischen IT-Outsourcing? Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. DiesisteinetablierterBestandteilheutigerOrganisationsstrategien.DasklassischeIT-Outsourcingistmeistsogestaltet,dassdiekomplettegemieteteInfrastrukturexklusivvoneinemKundengenutztwird(SingleTenantArchitektur), auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. ZudemwerdenOutsourcing-VerträgemeistensüberlängereLaufzeitenabgeschlossen. DieNutzungvonCloudServicesgleichtinvielemdemklassischenOutsourcing,abereskommennocheinigeUnterschiedehinzu,diezuberücksichtigen sind: 17

20 Cloud Computing Grundlagen Aus wirtschaftlichen Gründen teilen sich in einer Cloud mehrere Nutzer einegemeinsameinfrastruktur. Die Steuerung der in Anspruch genommenen Cloud-Dienste erfolgt in Cloud Services sind dynamisch und dadurch innerhalb viel kürzerer Zeiträume nach oben und unten skalierbar. So können Cloud-basierte AngeboterascherandentatsächlichenBedarfdesKundenangepasstwerden. der Regel mittels einer Webschnittstelle durch den Cloud-Nutzer selbst. SokannderNutzerautomatisiertdiegenutztenDiensteaufseineBedürfnissezuschneiden. DurchdiebeimCloudComputinggenutztenTechnikenistesmöglich,die IT-Leistung dynamisch über mehrere Standorte zu verteilen, die geographischweitverstreutseinkönnen(inlandebensowieausland). Der KundekanndiegenutztenDiensteundseineRessourceneinfachüber Web-OberflächenoderpassendeSchnittstellenadministrieren,wobeiwenigInteraktionmitdemProvidererforderlichist. 2.5 Strategische Planung der Cloud Computing Services durch den Nutzer Bevor geschäftskritische Informationen oder Anwendungen in die Cloud ausgelagert werden, muss vorher eine Cloud-Strategie festgelegt werden, in derdiewesentlichenrahmenbedingungengeklärtwerden.dazumussimmer eine individuelle Sicherheitsanalyse für die auszulagernden Informationen oderanwendungendurchgeführtwerden.indercloud-strategieistunteranderemfestzuhalten,wiedieit-strukturaussieht(z.b.beiiaas),wiebestehende IT-Systeme oder Geschäftsprozesse abgegrenzt und getrennt werden können, wieallebetrieblichenundrechtlichenrahmenbedingungenaussehenundwie derschutzbedarfderauszulagerndeninformationenoderanwendungenist. Typischerweise haben CSPs zwar ihre Angebote auf bestimmte Arten von Informationen oder Anwendungen zugeschnitten. Dabei stehen sie aber vor der Herausforderung, dass sie den spezifischen Schutzbedarf der Kundendaten nicht kennen. Sie könnten für alle Kundendaten ein hohes oder sehr 18

21 Cloud Computing Grundlagen hohesschutzniveauanbieten,aberdasdürftefürdatenmiteinemnormalen Schutzbedarfzuteuersein. UmjedemCloud-KundeneinenServiceanbietenzukönnen,derKunden aus verschiedenen Bereichen sowohl funktional als auch finanziell über- zeugt,solltencspsfrühzeitiginformationssicherheitgegenüberdencloud- Kunden thematisieren. CSPs sollten ihren Kunden darlegen, welche Sicherheitsmaßnahmen bei ihren Angeboten zum Standardumfang gehören, welchezusätzlichzugekauftwerdenkönnenundfürwelchesicherheitsmaß- nahmendiekundenselbstverantwortlichsind.dieshilftauch,missverständ- nissen vorzubeugen. So werden hohe Schäden, die von Zwischenfällen wie Datenverlusten verursacht werden, oft dem CSP angelastet, obwohl es der Cloud-Kundewar,dernichtfürausreichendeSicherheitseinerDatengesorgt hatte, weil er ein zu niedriges Schutzniveau gewählt hat bzw. ein zu hohes Risikoeingegangenist. DeshalbistesauchfürdenCSPessentiell,dassderCloud-KundedenSchutzbedarfderausgelagertenInformationenoderAnwendungenkenntbzw.sich im Klaren über das gebotene Schutzniveau ist. So kann der CSP dem Kunden auch mögliche Sicherheitsvorteile deutlich machen, die sich durch die NutzungvonCloud-Dienstenergebenkönnen. Strukturanalyse von IT-Systemen (z. B. bei IaaS) und Anwendungen, um eineabgrenzungzuermöglichenundalleschnittstellenzuidentifizieren SchonimRahmenderstrategischenEntscheidung,obundinwelcherForm eincloudserviceeingesetztwird,müssendaherdiesicherheitsrelevantenrahmenbedingungenvomnutzervorherherausgearbeitetwerden.diesgiltebenso fürpublicwiefürprivateclouds,unddortgenausojeweilsfüriaas,paasundsaas. Hierzugehörenu.a.folgendeSchritte: DurchführungeinerSchutzbedarfsfeststellungfürInformationen,AnwendungenundIT-Systeme 19

22 Cloud Computing Grundlagen Eingliederung der Informationen, Anwendungen, Systeme und Cloud ServicesinSchutzbedarfskategorien KlärungderbetrieblichenundrechtlichenRahmenbedingungen FestlegungderspezifischenSicherheitsanforderungenanCSPs So kann der Cloud-Kunde entscheiden, welches Sicherheitsniveau er bei Cloud-Dienstenbenötigtundeinfordernmuss. 20

23 Sicherheitsmanagement beim Anbieter 3 Sicherheitsmanagement beim Anbieter Abbildung 1 zeigt eine Referenzarchitektur, die grob die Komponenten darstellt, die vielen Cloud Computing Plattformen gemeinsam sind. Diese Referenzarchitektur dient als Diskussionsgrundlage für die nachfolgenden Eckpunkte. Die vorgestellte Referenzarchitektur berücksichtigt die AnregungenähnlicherReferenzarchitekturen,wiesiez.B.vonNIST[5],IBM[6]undder CloudComputingUseCasesGroup[7]verwendetwerden. Cloud Service Provider Management Servicekonsument Datenschutz Informationssicherheit SaaS PaaS laas Abstraktionsschicht Hardware Infrastruktur Reporting SLAs Abrechnung Monitoring Provisionierung Abbildung1:ReferenzarchitekturfürCloudComputingPlattformen Eine genaue Betrachtung der zugrunde gelegten Referenzarchitektur zeigt, dass ein Provider zur Erbringung von Cloud Services eine Vielzahl von Aufgabenerledigenmuss.ZudentypischenAufgabeneinesPublicCSPzählen u.a.: 21

24 Sicherheitsmanagement beim Anbieter diebereitstellungeinesservice-katalogszurbeschreibungderangebotenen Dienste, dieprovisionierungbzw.de-provisionierungvonressourcenwiez.b.virtu- ellenmaschinen,loadbalancern,virtuellendatenspeichern,ip-undmac- Adressenund die für den Kunden nachvollziehbare Abrechnung der in Anspruch genommenen Services. Eine andere wichtige Aufgabe ist die Überwachung der bereitgestellten Dienste, um die garantierte Dienstgüte einhalten zu können. Diese Überwachungläuftpermanent.EtwaigeStörungenoderAusfällevonRessourcenz.B. Virtualisierungsserver,virtuelleMaschine,Load-Balancer,etc.müssenzeitnah erkanntwerden,sodassentsprechendegegenmaßnahmenschnellstmöglich eingeleitet werden können. Weitere Aufgaben neben dem Sicherheitsmanagement,dieüblicherweisezumRepertoireeinesCSPgehören,sind: Patch-undÄnderungsmanagement Konfigurationsmanagement Netzmanagement SystemManagement ApplicationManagement Reporting DieKomplexitätundVielzahlderobenbeschriebenenAufgabenerfordert einestrukturierteherangehensweise.insofernsolltejedercspstandardisierte VorgehensmodellewieITILoderCOBITeinsetzen,diealsOrientierungbeider UmsetzungvonIT-Prozessendienenkönnen. 22

25 Sicherheitsmanagement beim Anbieter VertrauenindenCSPundseineAngebotewirdderzeitalswesentlicheMotivationgenannt,wennnachdenGründengefragtwird,warumsichAnwender für oder gegen Cloud-Angebote entscheiden. Vertrauen basiert auf der Einschätzung, ob ein Anbieter alle Risiken ausreichend, angemessen und nachhaltigabgedeckthat,sowohldiejenigenausdembereichderinformationssicherheitalsauchausbereichenwiedatenschutz,technikundrecht. FüreinzuverlässigesundsicheresCloudComputingistalsGrundlageein effizientes Management der Informationssicherheit (Information Security ManagementSystem,ISMS)aufSeitendesCSPunerlässlich.DasBSIempfiehlt, sichfüraufbauundbetriebeinesismsaniso27001/2oderbevorzugtambsi- Standard100-2zurIT-Grundschutz-Vorgehensweise(derISO27001/2abdeckt) zuorientieren. WesentlicheBestandteileeinesISMSsindeinefunktionierendeSicherheitsorganisationundeinInformationssicherheitskonzeptalsWerkzeugedesManagements zur Umsetzung der Sicherheitsstrategie. Ein CSP sollte die Sicherheitsorganisation nutzen, um hierüber geeignete Ansprechpartner für seine Kundenzubenennen,dieSicherheitsfragenderKundenbeantwortenkönnen. Informationssicherheit ist ein Prozess und sollte daher im Sinne eines PDCA- Zyklus(Plan-Do-Check-Act)fortlaufendweiterentwickeltwerden. Damit CSPs nachweisen können, dass sie auch bei hohem Schutzbedarf bezüglichvertraulichkeitundverfügbarkeitausreichendsicherheitgewährleisten,isteinezertifizierungdesinformationssicherheitsmanagementssinnvoll. Vorzugsweise sollten CSPs nach ISO auf Basis von IT-Grundschutz, ISO27001odereinemanderenetabliertenStandardzertifiziertsein. 23