Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Transkript

1 Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland

2 IT Beschaffung Data Center fokussiert </nav> X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN Unterbrechungsfreie Stromversorgung DC-Services Private Cloud Private IT Shared IT Zutrittskontrolle

3 Risiken im Data Center IT Bereitstellung Verkabelung Arealrisiken Stromversorgung

4 Computerkrimminalität Böswillige Insider Sicherheitslücken Cyber-Angriffe Schadprogramme

5 EuroCloud Kompetenz EuroCloud Star Audit EuroCloud Benchmark EuroCloud SLA Kriterien Katalog EuroCloud Richtlinien EuroCloud CLOUD QUALITÄTS INFORMATIONS PYRAMIDE

6 IT Beschaffung aus Kundensicht IaaS national IaaS WW SaaS Collaboration Marktplatz SaaS CRM Datenbrücke SaaS Collaboration White Lable Identität SaaS Kollaboration </nav> PaaS DC #1 Private IT </nav> PaaS IaaS national DC #2 DC #3 IaaS WW DC #4 DC #N Private Cloud SaaS HR

7 Cloud spezifische Risiken Datenspeicherung regional vs. global gesetzliche Bestimmungen Lock in Datenmigration Mangelhafte Interoperability Gemeinsame Umgebung Neue Bedeutung von System/Netzwerk/ Operating System Unterschiedliche Sicherheitsanforderungen und Daten-Separation Hypervisor: CPU, Netzwerk, OS

8 Beispiel Google ISO Welcher Scope? Welche Beteiligten? Datenlokationen? Datenschutz?

9 Zertifizierung muss modular aufgebaut sein SaaS Collaboration Marktplatz SaaS Collaboration White Lable Recht Datenschutz Vertrag Datensicherheit Vertragsgeber zum Kunden Servicebereitstellung Applikation </nav> PaaS Betriebsprozesse Software und Schnittstellen Servicebereitstellung Infrastruktur und Platform DC #1 IaaS national IaaS WW DC #2 DC #3 DC #4 DC #N Rechenzentrum und Infrastruktur Location Services

10 ENISA Empfehlungen Cloud Assurance Zielsetzung - Risikobetrachtung - Vergleichbarkeit zwischen Cloud Anbietern herbeiführen - Prüfbare Zusagen des Cloud Anbieters im Bereich der Sicherheit und Compliance - Reduzierung des individuellen Aufwands beim Cloud Anbieter für die technische Bewertung hinsichtlich der Sicherheit und weiteren Risikobereichen

11 ENISA Cloud Assurance Personelle Sicherheitsanforderung Betriebspersonal Transparenz zur Lieferkette und Verpflichtung der Beteiligten Schutz der Betriebsumgebung gegen Angriffe (intern/extern) Identitäts- und Zugriffsmanagement Asset Management Vermeidung von Lock In Situation und Gewähleistung der Interoperabilität Business Continuity Management Sicherheit des Rechenzentrums Erfüllung der rechtlichen und regulatorischen Anforderungen

12 Wichtig für den Kunden Vertrag Recht Technische und rechtliche Sicherheit und Einhaltung der Rechtsvorschriften Datenschutz über die gesamte Leistungskette Verfügbarkeit und Service Level Vereinbarungen CSP Ausfallsicherheit (inklusive Unterauftragnehmer) Zugriffskontrolle Benutzerfreundlichkeit und Nachhaltigkeit Datenschutz Datensicherheit Rechenzentrum und Infrastruktur Betriebsprozesse Software und Schnittstellen

13 EuroCloud Star Audit ist das erste Cloud Zertifikat mit übergreifender Prüfaussage Vertrag/ Recht Betriebsprozesse Datensicherheit Datenschutz Rechenzentrum und Infrastruktur Software, Interoperabilität ISO ISO 9000 Cobit SAS 70 SSAE 16 ITIL

14 ISO versus Star Audit Was wurde geprüft: ISMS eines Unternehmens Scope der Prüfung nicht erkennbar Kein konkreter Cloud Service Bezug Keine Prüfung der Vertragssituation Kein Rechtsbezug Keine Laufzeit Was wurde geprüft: Cloud Service optivo broadmail Von wem angeboten: Optivo GmbH Für welches Land: Deutschland Welche Kategorie: 4 Sterne SaaS Öffentlicher Bericht: Beteiligte Subunternehmer, Datenstandort, Prüfumfang, Rechtsanforderungen

15 Ziel für die Zukunft ist eine kontinuierliche Überwachung Audit 1 Klassisches Audit Audit 2? Coordinator: Kontinuierliche Überwachung Entwicklung von Verfahren zur (teil-)automatisierten Analyse von cloud-basierten Prozessen auf die Einhaltung datenschutzrechtlicher Vorgaben, Servicevereinbarungen und Geschäftsbedingungen Entwicklung einer Basis zum Monitoring während des Regelbetriebs Identifizierung und Entwicklung von praktisch nutzbaren Metriken, die eine vergleichende Betrachtung verschiedener Angebote im Hinblick auf die Einhaltung datenschutzrechtlicher Anforderungsprofile ermöglichen Untersuchung der rechtlichen Konsequenzen einer Erhebung von Sicherheitsmesswerten und daraus abgeleiteten Empfehlungen Partner: Experts:

16 Weiterführende Informationen EuroCloud: EuroCloud Buch: Star Audit: KMU Know How: https://www.promis.eu/de/eurocloud-star-audit BMWi Studie Standards und Normen: ENISA: ETSI: EU European Cloud Partnership: https://ec.europa.eu/digital-agenda/en/european-cloud-partnership EU DG Connect: CSA STAR: https://cloudsecurityalliance.org/star/

17 Do You Have Any Questions? We would be happy to help.