Sicheres Outsourcing in die Cloud: fünf wichtige Fragen

Transkript

1 WHITE PAPER Sicheres Outsourcing Juli 2012 Sicheres Outsourcing in die Cloud: fünf wichtige Fragen Russell Miller Tyson Whitten CA Technologies, Security Management agility made possible

2 Inhaltsverzeichnis Abschnitt 1: Ausgangssituation 3 Vergessen Sie nicht die Sicherheit, wenn Sie in die Cloud gehen ABSCHNITT 2: Chancen 3 Das Privileged Identity Management und der Schutz von Informationen können das Outsourcing sicherer machen! ABSCHNITT 3: Schlussbemerkungen 11 ABSCHNITT 4: Literaturhinweise 11 ABSCHNITT 5: Informationen über die Autoren 12

3 Abschnitt 1: Ausgangssituation Vergessen Sie nicht die Sicherheit, wenn Sie in die Cloud gehen Unternehmen unterschiedlichster Größen und Branchen verlassen sich immer häufiger auf Cloud Services, und das nicht nur bei unternehmenskritischen Funktionen, sondern auch bei der Speicherung und Verarbeitung ihrer wichtigsten und vertraulichsten Daten. Gartner sagt dazu: Bis Ende 2016 werden mehr als die Hälfte der Global 1000-Unternehmen die sensiblen Daten ihrer Kunden in einer öffentlichen Cloud gespeichert haben. 1 Andere scheuen den Gang in die Cloud, weil sie Sicherheitsbedenken haben. Beide Unternehmenstypen haben erkannt, dass die Cloud-Sicherheit immer noch in den Kinderschuhen steckt und dass es an festgelegten Standards und sogar an informellen Normen mangelt. Die interne Verwaltung und Überwachung der Berechtigungen und Daten von Benutzern ist für viele Unternehmen zu einer wichtigen Anforderung geworden. Dies verringert das Risiko von Sicherheitsverletzungen durch Insider, unterstützt die Verantwortlichkeit der Administratoren, vereinfacht die Einhaltung von Vorschriften und kann sogar die Einführung neuer Technologien fördern. Und dennoch: Die Unternehmen, die ihre Benutzer und Daten auf interner Ebene akribisch genau kontrollieren, gliedern ihre IT-Services immer häufiger in das aus, was man eine Blackbox nennen könnte, bei der sie die direkte Kontrolle über ihre Daten an den Hosting-Anbieter von Cloud Services abgeben. Obgleich die Sicherheit durch Richtlinien und Prozeduren geregelt wird, bleiben die Aktivitäten der einzelnen Administratoren meist im Verborgenen. Hierbei wird davon ausgegangen, dass die Vergabe einzelner Berechtigungen und die Aktivitäten von Administratoren weniger risikobehaftet sind, wenn sie von einer externen Organisation ausgeführt werden. Das ist aber leider nicht der Fall. Grundsätzlich sind Daten im internen Netzwerk eines Unternehmens genauso gut oder schlecht vor nicht autorisierten Zugriffen geschützt wie im Rechenzentrum eines Hosting-Anbieters. Wenn sich Unternehmen für das Outsourcing entscheiden, steht ihnen ein großes Maß an Flexibilität zur Verfügung. Sie können sich für eine selbstverwaltete private Cloud-Umgebung entscheiden, bei der sie einen bedeutenden Anteil der Kontrolle behalten oder sie können einen externen Partner mit dem Hosting ihrer Cloud-Infrastruktur, Plattform oder Services beauftragen. Jede Art von Cloud und Service hat bestimmte eigene Sicherheitsanforderungen, aber bei allen Cloud-Arten kann die Identitäts- und Datensicherheit dazu beitragen, die Transparenz zu erhöhen und Risiken zu verringern. Abschnitt 2: Chancen Das Privileged Identity Management und der Schutz von Informationen können das Outsourcing sicherer machen! Der Schlüssel zum Verständnis der Herausforderungen an die Sicherheit in einer Cloud-Umgebung liegt in der Einsicht, dass sich die Grundlagen für den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen nicht verändert haben. Bei der Nutzung einer Cloud-Umgebung müssen Unternehmen die Risiken für ihre Systeme und Daten einschätzen können. Dazu sollten sie sowohl intern Best Practices für Identity and Access Management (IAM) nutzen als auch extern, indem sie ihren Hosting-Anbieter auffordern, das Gleiche zu tun. 3

4 Der Wechsel in eine gehostete Cloud-Umgebung bedeutet zwar, dass man einen Teil der Kontrolle abgibt, aber es bedeutet nicht, dass dies auf Kosten der Sicherheit geschieht. Heute erlauben es die Tools im Identity and Access Management den Unternehmen, den Grad an Sicherheit und Transparenz bei ihren Hosting-Anbietern selbst zu bestimmen. Der Grad an Transparenz im IAM hängt von der Art der geforderten Cloud Services ab: Private Cloud (intern und extern) Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS) Software-as-a-Service (SaaS) Jede Art von Cloud Service stellt eigene Herausforderungen an die Sicherheit, und die Art und Weise, wie Unternehmen damit umgehen, sollte sich nach der Art des Cloud Service und den Sicherheitsanforderungen des Unternehmens richten. Eine private Cloud-Umgebung definiert sich nicht durch den Standort, an dem sie gehostet wird, sondern dadurch, dass es keine gemeinsam genutzten Ressourcen, also keine Funktionalität für Mandantenfähigkeit, gibt. Dies kann innerhalb des Unternehmens durch die unternehmenseigene Hardware oder die Nutzung von Systemen und Geräten eines Hosting-Anbieters erreicht werden. Dennoch ist das Risiko beim externen Hosting viel höher, weil dabei die Trennung der Infrastruktur verifiziert werden muss. Für alle Arten von Clouds gilt, zusätzlich zum standardmäßigen Einsatz von Best Practices für Absicherung, Netzwerkarchitektur, Richtlinien und Verfahren, dass Identity and Access Management- Tools eine entscheidende Rolle bei der Vergabe von Zugriffsberechtigungen für Systeme und Daten spielen. Das umfasst auch das Verständnis von Benutzeridentitäten und -zugriffen, System- und Datensicherheit sowie das Protokollieren und Reporting von Benutzeraktivitäten. Die fünf wichtigsten Fragen, die sie Ihrem Outsourcer stellen sollten Fragen Folgefragen 1. Wo befinden sich meine Daten? Wo befinden sich meine vertraulichen Daten? Kann ich festlegen, wo sie nicht gespeichert werden dürfen? Wird mir Transparenz in Echtzeit geboten? 2. Wer hat Zugriff auf meine Server und Daten? 3. Wie werden meine Systeme und Daten abgesichert? Welche Rollen sind ihnen zugewiesen? Sind sie allein für mein Konto verantwortlich? Wie wird der Zugriff auf meine Daten gewährt bzw. verweigert? Wie werden Hypervisor-Administratorrechte verwaltet? Wie werden meine Daten kontrolliert? Wie können Sie belegen, dass Ihre Kontrollmechanismen die für mich relevanten Vorschriften einhalten? 4

5 4. Welche Aktivitätsdaten werden erfasst und protokolliert? 5. Wie stellen Sie die Einhaltung von Vorschriften sicher? Welcher Grad an Granularität wird erfasst? Wie werden Verantwortlichkeiten für gemeinsam genutzte Konten festgelegt (z. B. root )? Wie werden temporäre Administratoren verwaltet? Welcher Prozess gewährleistet den Notfallzugriff auf mein Konto? Welche Berichtsfunktionen werden angeboten? Werden die Berichte für Auditoren einfach und automatisiert erstellt? Wo befinden sich meine Daten? Die Abgabe der Kontrolle über sensible Datenbestände eines Unternehmens durch Outsourcing zu einem Hosting-Anbieter stellt ein bedeutendes Hindernis für den Übergang zu Cloud-basierten Services dar. Laut Gartner ist die Sicherheit sensibler Daten in einer Cloud das Hauptproblem bei der Einführung der Cloud. 2 Unternehmen brauchen beim Outsourcing die Gewissheit, dass das Risiko von Datenkompromittierungen oder Verstößen gegen Vorschriften keinesfalls steigt oder besser noch, dass es sich verringert. Es gibt mehrere Schritte, die Unternehmen beachten sollten, wenn sie ihre Daten extern verarbeiten und fortlaufend verwalten lassen möchten. 1. Kenntnis über den Bestand: Der erste Schritt besteht darin, sich einen Überblick über den eigenen Datenbestand zu verschaffen, und dann zu entscheiden, was ausgegliedert werden soll. Wenn Geschäftsanwendungen zu einem Anbieter von Managed Hosting Services ausgegliedert werden sollen, muss ein Unternehmen wissen, welche Daten im Zusammenhang mit diesen Anwendungen übertragen und gespeichert werden. Dazu gehört auch die Kenntnis über den Grad der Vertraulichkeit dieser Informationen in Bezug auf unternehmensinterne und behördliche Richtlinien. Automatisierte Klassifizierungstechnologien sind ein guter Ansatzpunkt für die Bestandsermittlung vertraulicher Informationen. Es ist wichtig, zu wissen, ob personenbezogene Daten, Daten zu geistigem Eigentum oder Kreditkartendaten zu Drittanbietern übertragen werden. 2. Festlegen, welche Daten übertragen werden dürfen: Im nächsten Schritt wird bestimmt, was ausgegliedert werden darf. Unternehmen sollten eine risikobasierte Entscheidung darüber treffen, bei welchen Daten es akzeptabel ist, sie von einem Drittanbieter verwalten zu lassen. Trotz aller Kontrollen kann es Informationen geben, die zu vertraulich sind, um sie auszugliedern. Diese wichtige Entscheidung sollte getroffen werden, bevor Informationen für das Outsourcing übertragen werden. 3. Erforderliche Transparenz: Sobald Sie entschieden haben, was ausgegliedert werden darf, müssen Sie bestimmen, wie Sie sicherstellen können, dass Ihre Daten an einer bestimmten Stelle gespeichert werden. Die behördlichen Anforderungen an die Speicherung und Sicherung bestimmter Datenelemente variieren auf globaler und regionaler Ebene. Wenn Gesetze von Ihnen verlangen, dass Sie bestimmte Daten nur in einer bestimmten Region speichern dürfen, dann müssen Sie sicherstellen, dass dies auch über die gesamte Vertragslaufzeit geschieht. Jedoch genügt es nicht länger als umfassende Absicherung, nur in den zuvor ausgehandelten Vertragspunkten festzulegen, dass bestimmte Daten in bestimmten Regionen gespeichert werden. Unternehmen verlangen, zu jeder Zeit Informationen darüber erhalten zu können, wo sich ihre ausgegliederten sensiblen Daten befinden. Und Anbieter reagieren auf diese Forderung durch Bereitstellung einer Echtzeit-Transparenz über Speicherorte von Daten, weil sie darin ein entscheidendes 5

6 Differenzierungsmerkmal ihrer Services sehen. Durch die Kenntnis über den Speicherort Ihrer ausgelagerten Daten können Sie auch weiterhin informierte risikobasierte Entscheidungen über Daten treffen. Und auch wenn diese außerhalb Ihrer Kontrolle liegen, können Sie die Einhaltung der gesetzlichen Vorschriften bei Ihren jährlichen Audits einfach belegen. Wer hat Zugriff auf meine Server und Daten? Nachdem nun verdeutlicht wurde, wie Anbieter die Transparenz über den Speicherort von Daten bereitstellen, muss im nächsten Schritt festgelegt werden, wie Anbieter den Zugriff auf die Systeme verwalten, in denen Ihre sensiblen Informationen gespeichert werden. Dazu ist das Verständnis über das Sicherheitsmodell und die Verfahrensweise mit Identitäten beim Hosting-Anbieter von entscheidender Bedeutung. Ein Hosting-Anbieter sollte Ihnen die Implementierung der grundlegenden Sicherheitsgrundsätze seines Identitätsmanagements demonstrieren können: Minimale Berechtigungen: Alle Identitäten, und insbesondere Administratoren, sollten nur die Berechtigungen erhalten, die sie für die Erfüllung ihrer Aufgabe unbedingt benötigen. Aufgabentrennung: Das Konzept der Aufgabentrennung erfordert es, dass zur Erfüllung einer Aufgabe mehr als eine Person notwendig ist (z. B. kann eine Person eine Transaktion nicht initiieren UND genehmigen). Ein Hosting-Anbieter sollte in der Lage sein, Ihnen die administrativen Rollen und ihre Verwaltung beschreiben zu können. Zum Beispiel sollte das Sicherheitsmanagement von wichtigen Systemen und Anwendungen (wie etwa Datenbanken) vom Systemmanagement getrennt sein. So sollte ein einzelner Administrator nicht für tägliche Betriebsabläufe und gleichzeitig für die Sicherheit eines Systems oder einer Anwendung verantwortlich sein. Administratoren eines Hosting-Anbieters, die im erheblichen Umfang Zugriff auf die vertraulichsten Daten eines Unternehmens haben, sollten nur für diesen Kunden eingesetzt werden und keinen Zugriff auf Daten von Mitbewerbern erhalten. Zudem sollten Unternehmen Informationen über diejenigen Personen bei Ihrem Hosting-Anbieter einholen, die Zugang zu Ihren Systemen und Daten erhalten sollen. Zusätzlich zu Hintergrundprüfungen, kann das Land, von dem aus ein Mitarbeiter arbeitet, eine entscheidende Rolle bei den Gesetzen spielen, die möglicherweise beschränken, wie ein Unternehmen seine Aktivitäten überwachen darf. Wie werden meine Systeme und Daten abgesichert? Hosting-Anbieter sollten ihre Prozesse bei der Vergabe von Zugriffsberechtigungen dokumentieren, einschließlich der Vorgänge, bei denen Mitarbeiter in das Unternehmen kommen, das Unternehmen verlassen oder ihre Positionen wechseln. Diese Prozesse machen es auch erforderlich, dass Zugriffsrechte sofort widerrufen werden können, wenn sie nicht länger benötigt werden. Dazu sollte in regelmäßigen Audits überprüft werden, ob alle Berechtigungen den jeweils aktuellen Positionen und Anforderungen entsprechen. Sobald die Prozesse für die Zugriffssicherheit festgelegt wurden, kommt es darauf an, wie die Systeme, die Ihre vertraulichsten Informationen beinhalten, abgesichert und die Daten selbst kontrolliert werden. Der eigentliche Nutzen von Cloud-Umgebungen liegt in der Virtualisierung. Sie ermöglicht es, dass mobii erstellte Workloads in dynamischen Umgebungen verarbeitet werden können. Daher ist die Virtualisierungssicherheit für eine sichere Cloud-Umgebung von entscheidender Bedeutung. Zudem müssen Unternehmen auch ein Privileged Identity Management auf Hypervisor-Ebene implementieren. Dennoch bildet die Zugriffskontrolle auf Container nur die Hälfte der Antwort. Provider müssen einen datenzentrierten Sicherheitsansatz verfolgen, um Daten unabhängig von der Art der Zugriffskontrolle auf Anwendungen und Systeme schützen zu können. Und sobald der Zugriff auf Daten gewährt wurde, muss auch ihre Nutzung kontrolliert werden. 6

7 Sicherheit in virtuellen Umgebungen Tools für die Zugriffskontrolle können so konfiguriert werden, dass sie den Zugriff auf einzelne virtuelle Maschinen nur in Abhängigkeit zu den Berechtigungen jeder Hypervisor-Administratoridentität gewähren. Dadurch kann sichergestellt werden, dass selbst in einer gemeinsam genutzten Umgebung nur berechtigte Administratoren Zugriff auf die virtuellen Maschinen eines Unternehmens erhalten. Die automatisierten Sicherheitskontrollen auf Hypervisor-Ebene sind notwendig, um einzelne virtuelle Maschinen zu sichern. Durch die flexible und dynamische Natur einer virtuellen Umgebung können Maschinen nahezu mühelos verschoben, entfernt, kopiert oder wichtigen Einstellungsmodifikationen unterzogen werden. Die Sicherheitskontrollen auf Hypervisor-Ebene verhindern hierbei, dass einzelne virtuelle Maschinen entgegen den für sie erforderlichen Sicherheitsbestimmungen verwaltet werden. Zum Beispiel sollten virtuelle Maschinen, die PCI-Daten beinhalten, so markiert werden, dass Administratoren sie nicht in eine vorschriftswidrige Netzwerkumgebung verschieben können. Um kritische Sicherheitseinstellungen für virtuelle Maschinen ändern zu können, sollten Markierungen oder Markierungsregeln modifiziert werden. Dieser zusätzliche Schritt verringert das Risiko administrativer Fehler bei der Verwaltung virtueller Maschinen. Sicherheit in mandantenfähigen Umgebungen Öffentliche Cloud Services stellen eigene Herausforderungen an die Sicherheit, und der von Unternehmen verfolgte Sicherheitsansatz sollte sich sowohl nach der Art des Cloud Service als auch den eigenen Sicherheitsanforderungen richten. In jedem Fall sollte ein Unternehmen seine Daten vor Dritten schützen, die dieselben Services mit ihnen gemeinsam nutzen: Abbildung A. Visuelle Darstellung einer mandantenfähigen Umgebung. 7

8 In einer mandantenfähigen Cloud-Umgebung richten sich die Sicherheitsanforderungen nach der Art der Cloud: Art der Cloud Beschreibung Sicherheitsebene Infrastructure-as-a- Service (IaaS) Platform-as-a-Service (PaaS) Software-as-a-Service (SaaS) Infrastrukturressourcen werden gemeinsam genutzt, einschließlich physischer Server, Netzwerkgeräte und Datenbanken (z. B. Amazon EC2, RackSpace Cloud) Services auf Plattformebene werden gemeinsam genutzt (z. B. Google App Engine, Microsoft Windows AzureTM, Force.com) Gemeinsam genutzte Anwendungsdienste (z. B. Salesforce.com) Generell wird jedem Mandanten auf einer virtuellen Maschine eine separate Ebene zugewiesen. Dabei kann ein Hosting-Anbieter einen einzelnen Hypervisor für die Verwaltung der virtuellen Maschinen verwenden, die mehreren, unterschiedlichen Unternehmen angehören. Damit die Sicherheit der virtuellen Maschinen gewährleistet werden kann, muss ein Unternehmen ein Identity and Access Management auf Hypervisor- Ebene implementieren. In einer privaten Cloud können IAM-Tools so konfiguriert werden, dass der Zugriff auf virtuelle Maschinen nur auf Basis von Sicherheitseinstellungen erfolgen kann, die jeder Hypervisor-Identität zugeordnet werden. So erhalten selbst in gemeinsam genutzten Umgebungen nur berechtigte Administratoren Zugriff auf die virtuellen Maschinen eines Unternehmens. Jeder Mandant nutzt gemeinsame Ressourcen auf Softwareplattformebene. Zusätzlich zur Virtualisierungssicherheit sollten Unternehmen sicherstellen, dass ihr Hosting-Anbieter Best Practices beim Privileged Identity Management für die Benutzer anwendet, die die Plattformsoftware verwalten. Da die Transparenz in SaaS-Umgebungen häufig sehr begrenzt ist, sollte sich ein Unternehmen vor dem Outsourcing die Anwendungsdienstebenen eines SaaS- Anbieters genau ansehen, damit deutlich wird, auf welche Weise IAM-Tools auf den einzelnen Ebenen der Infrastruktur, bezogen auf physische Hardware, virtuelle Maschinen, Plattformen und Code-Sicherheit, arbeiten. Heute verfügen Hosting-Anbieter über die Fähigkeit, ihren Kunden für alle Arten von Clouds Daten über Benutzeraktivitäten zum Download für ihre unternehmensinternen Sicherheitstools bereitzustellen. Dies hilft Unternehmen dabei, zu erkennen, wer auf ihre Daten zugreift und Protokolle der Benutzeraktivitäten für die Erfüllung von Auditanforderungen zu erstellen. Datensicherheit Die Kontrolle von Identitäten und der Zugriffe auf vertrauliche Informationen ist zwar wichtig, aber keinesfalls ausreichend. Die Vertraulichkeit von Daten liegt in ihrem Inhalt, unabhängig von ihrem Speicherort. Obgleich die Datenkontrolle auf Container-Ebene eine gewisse Sicherheit bietet, ist sie unzureichend, wenn diese Daten die Grenzen des Unternehmens oder des Rechenzentrums verlassen. Sie sollten von einem Anbieter verlangen, einen datenzentrierten Sicherheitsansatz bereitzustellen, damit die sensiblen Assets Ihres Unternehmens, die ausgegliedert werden sollen, auch effektiv geschützt werden können. Dadurch werden Risiken beim Outsourcing verringert, die Beweglichkeit Ihrer Daten sichergestellt und die Kontrolle durch Ihr Unternehmen aufrechterhalten. Die Komponenten einer umfassenden datenzentrierten Sicherheitslösung beinhalten Klassifizierung, Vorbeugung von Datenverlusten, Verschlüsselung und Information Rights Management (IRM). 8

9 Hierzu gehört auch das Verständnis darüber, wie eine datenzentrierte Sicherheitslösung auf Daten während der Aufbewahrung, des Zugriffs, der Verwendung und der Übertragung angewendet wird. Im Folgenden einige Beispiele dazu: Bei Aufbewahrung: Sobald Daten innerhalb des Netzwerks oder der Repositories des Anbieters übertragen und gespeichert wurden, sollten sie, sofern möglich, verschlüsselt werden. Einige Informationen, wie etwa personenbezogene Daten, erfordern eine Verschlüsselung, andere Daten sollten je nach geschäftlichem Vertraulichkeitsgrad verschlüsselt werden. Bei Zugriff: Wenn Administratoren oder Mitarbeiter versuchen, auf vertrauliche Informationen zuzugreifen, muss der Vertraulichkeitsgrad der Daten berücksichtigt werden. Die Kenntnis über den Vertraulichkeitsgrad von Daten vor der Vergabe von Zugriffsberechtigungen erlaubt feiner abgestufte Zugriffskontrollentscheidungen. Zusätzlich dazu schützen verschlüsselte Informationen das Unternehmen vor unberechtigten Zugriffen, die durch eine ineffektive Kontrolle durch Container- Richtlinien auftreten können. Bei Verwendung: Sobald ein Benutzer Zugriff auf Daten erhält, sollte eine Kontrolle am Endpunkt stattfinden. Administratoren, die Zugriff auf vertrauliche Kundeninformation haben, sollte es ohne Berechtigung nicht erlaubt sein, diese auf ein bewegliches Laufwerk zu kopieren oder sie auszudrucken. Bei Übertragung: Auch die Informationsverarbeitung über ein Netzwerk sollte kontrolliert werden. Rollen, die Zugriff auf Daten haben, sollten auf Basis der Vertraulichkeit dieser Rollen und Daten selektiv kontrolliert werden. Die Möglichkeit, bei über das Netzwerk gesendeten Informationen Warnungen auszugeben sowie Blockierungen oder Verschlüsselungen anzuordnen, unterstützt dabei die Effektivität der Kontrollmechanismen. Welche Aktivitätsdaten werden erfasst und protokolliert? Wie so häufig bei Sicherheitsfragen, gilt es auch hier, vorsichtig abzuwägen, bis zu welchem Grad Sie Informationen über Aktivitäten von Ihrem Hosting-Anbieter einfordern. Granularität: Transparenz im Vergleich zu den Kosten Die Identitäten können bei einem Hosting-Anbieter zwar nach den gleichen Standards verwaltet und nachverfolgt werden wie bei internen Mitarbeitern in einer privaten Cloud-Umgebung, jedoch entstehen auf jeder Granularitätsebene sowohl Vorteile als auch Kosten: Granularitätsebene Beschreibung Transparenz Administrative Gruppen (z. B. Administratorgruppe für Linux ) Individuelle Rollen (z. B. Linux-Admin Nr. 1 ) Individuelle Identitäten (z. B. Third_Party_ID15624 oder Third_Party_ JohnSmith ) Alle Berechtigungen und Prüfprotokolle können von ausgliedernden Unternehmen auf Gruppenebene überwacht werden. Der Hosting-Anbieter kann aus diesen Gruppen, ohne das Wissen der Abteilungen seiner Kunden, Personen hinzufügen oder entfernen. Der mit dieser Identität verbundene Benutzer kann verändert werden, wenn der Outsourcer seine Ressourcen verlagert. Der Hosting-Anbieter muss zu jeder Zeit überwachen, welcher Mitarbeiter welche Rolle erfüllt. Jedem einzelnen Benutzer ist eine einzelne Identität zugeordnet. Der Hosting-Anbieter übermittelt dem ausgliedernden Unternehmen Berichte über Berechtigungen und Aktivitäten. Geringste Granularität Höhere Granularität Höchste Granularität 9

10 Der Grad an Transparenz sollte sowohl den Anforderungen des Anbieters von Cloud Services als auch denen des Verbrauchers entsprechen. Je mehr Informationen Sie von einem Anbieter von Cloud Services erhalten, desto höher sind die Transparenz und Prüffähigkeit, aber gleichzeitig auch Aufwand und Kosten. Wenn Unternehmen Transparenz auf Gruppenebene akzeptieren, sollten sie sicherstellen, dass ihr Hosting-Anbieter einzelne Benutzer intern protokolliert, damit bei Sicherheitsverstößen Verantwortlichkeiten geklärt werden können. Wie stellen Sie die Einhaltung von Vorschriften sicher? Die letzte Frage, und bezogen auf Geschäft und Branche die vielleicht wichtigste, beschäftigt sich mit der Einhaltung von Vorschriften. Unternehmen verlangen von ihrem Outsourcer Tools und Reporting, durch die sie ihre Ziele bei der Einhaltung von Vorschriften erfüllen können. Zusätzlich zu den verfügbaren Berichten, die eine individuelle Verarbeitung erfordern, sollten wichtige Compliance- Berichte sofort und unter Verwendung von Echtzeitdaten bereitgestellt werden. Ein Cloud Provider muss es Ihnen ermöglichen, die an Sie gestellten gesetzlichen Anforderungen zu erfüllen. Daher muss er Ihnen solche Funktionen anbieten, die denen in Ihren eigenen Compliance- Kontrollen implementierten Funktionen entsprechen. Wenn Sie über ausgereifte und effizient funktionierende Kontrollmechanismen verfügen, ist es für Sie einfacher, diese Anforderungen an Ihren Cloud Provider zu spezifizieren. Wenn dies nicht der Fall ist und Ihre Kontrollen bei Ihren eigenen Audits Probleme verursachen, dann erhält ein Cloud Provider weniger Anhaltspunkte darüber, welche Anforderungen seine Services erfüllen müssen. Auch wenn Aktivitätsdaten protokolliert und Daten effektiv kontrolliert werden, muss ein Reporting in der Form verfügbar sein, wie es zur Erfüllung Ihrer Anforderungen erforderlich ist. Diese Berichte müssen Unternehmensverantwortlichen stark komprimierte Informationen vermitteln können und gleichzeitig detaillierte Informationen für einen technischen Auditor bereitstellen. Individuelle Anforderungen können variieren, aber ein Hosting-Anbieter sollte Ihnen Berichte über folgende Bereiche bereitstellen: Wo wurden Ihre Daten gespeichert? (Land, Stadt, etc.) Wann und durch wen wurde auf Daten zugegriffen? (unterbrechungsfreie Zugriffsprotokollierung einzelner Identitäten, nicht nur gemeinsam genutzter administrativer Konten) Auf welche Daten wurde zugegriffen? (einschließlich der Informationsart: Kreditkarteninformationen, private Gesundheitsinformationen, etc.) Was wurde nach dem Zugriff mit den Daten gemacht? (wurden sie vom System exportiert oder von einer Anwendung verarbeitet?) Immer mehr Hosting-Anbieter stellen Berichte bereit, die direkt auf die spezifischen Anforderungen ihrer Kunden zugeschnitten sind. Dies kann ausgliedernden Unternehmen die Suche nach Daten in Berichten erleichtern, wenn nicht sogar ersparen, und dabei helfen, einen unorganisierten Eindruck bei der Einhaltung von Vorschriften zu vermeiden. Durch die Bereitstellung der auf spezifische Anforderungen zugeschnittenen Berichte, die durch Auditoren überprüft wurden, kann ein Unternehmen den Interpretationsspielraum einzelner Prüfer begrenzen und somit Risiken bei der Einhaltung von Vorschriften verringern. 10

11 Abschnitt 3: Schlussbemerkungen Die Forderung nach Transparenz in gehosteten Cloud-Umgebungen wird zunehmend zu einer Anforderung des Marktes. Unternehmen, die planen, Bereiche in eine Cloud-Umgebung auszugliedern, sollten heute auf einen hohen Grad an Transparenz bei ihren Cloud Services bestehen und sich bei Sicherheitsfragen nicht länger nur auf die Verträge und Zertifikate ihrer Service Provider verlassen. Grundsätzlich gilt: Vertrauen ist gut, Kontrolle ist besser. Wenn die Transparenz der Umgebung eines Hosting-Anbieters begrenzt ist, ist das Verständnis seiner IAM-Infrastruktur nicht notwendig. Bei der Wahl eines Cloud Service Providers sollten Unternehmen nicht länger nur auf seine Zusicherungen bezüglich seiner Sicherheitsvorkehrungen vertrauen, sondern stattdessen darauf bestehen, dass er ihnen seinen Umgang mit Identitäten hinreichend offenlegt, damit auf jeder Ebene seiner Infrastruktur angemessene Aufgabentrennungen und Zugriffsbeschränkungen ermöglicht werden. So können selbst risikoscheue Unternehmen sicherstellen, dass ihr Hosting-Anbieter aktuelle Tools für das Identity and Access Management nutzt und ein ihren Sicherheitsanforderungen entsprechendes Cloud Computing ermöglicht wird. Abschnitt 4: Literaturhinweise 1 Gartner, Inc.: Gartner s Top Predictions for IT Organizations and Users, 2012 and Beyond: Control Slips Away; Darryl C. Plummer et al, 23. November Gartner, Inc.: 2012 Planning Guide: Security and Risk Management; Dan Blum et al; 1. November

12 Abschnitt 5: Informationen über die Autoren Russell Miller arbeitete über fünf Jahre in verschiedenen Positionen, von Ethical Hacking bis Produktmarketing, im Bereich der Netzwerksicherheit. Derzeit ist er für das Marketing von CA ControlMinder und Produkte im Privileged Identity Management und der Virtualisierungssicherheit verantwortlich. Russell Miller hat einen B.A. in Computerwissenschaften vom Middlebury College und einen M.B.A. von der MIT Sloan School of Management. Tyson Whitten ist ein CISSP mit mehr als zehn Jahren Erfahrung im Bereich Informationssicherheit bei der Verwaltung von Anwendungen, Netzwerken und risikobasierten Produkten und Services. In seiner derzeitigen Position trägt er die Produktverantwortung für CA DLP innerhalb der CA Technologies Security Customer Solutions Unit. Vor CA Technologies war Tyson Whitten bei Genuity, Guardent, VeriSign und SecureWorks tätig. Er hat einen BS in Informationssystemen und einen MBA in Produktmanagement und BWL vom Boston College. CA Technologies ist ein Anbieter für IT-Management-Software und -Lösungen mit Erfahrung in allen IT-Umgebungen, von Mainframes und verteilten Systemen bis hin zu virtuellen Systemen und Cloud Computing. CA Technologies verwaltet und schützt IT-Umgebungen und ermöglicht Kunden die Bereitstellung flexiblerer IT-Services. Die innovativen Produkte und Services von CA Technologies bieten den Überblick und die Kontrolle, die IT-Organisationen zur Unterstützung geschäftlicher Flexibilität benötigen. Die meisten Fortune Global 500-Unternehmen nutzen Lösungen von CA Technologies für ihre wachsenden IT-Ökosysteme. Weitere Informationen finden Sie auf der Website von CA Technologies unter ca.com/de, ca.com/at und ca.com/ch/de. Copyright 2012 CA Technologies. Alle Rechte vorbehalten. Microsoft und Microsoft Windows Azure sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Linux ist eine eingetragene Marke von Linus Torvalds in den USA und in anderen Ländern. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier verwiesen wird, sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken. CA übernimmt für die Genauigkeit oder Vollständigkeit der Informationen keine Haftung. Soweit nach anwendbarem Recht erlaubt, stellt CA dieses Dokument im vorliegenden Zustand ohne jegliche Gewährleistung zur Verfügung; dazu gehören insbesondere stillschweigende Gewährleistungen der Markttauglichkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Rechten Dritter. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde. CS2579_0712