IT-Grundschutz-Bausteine Cloud Computing

Größe: px

Ab Seite anzeigen:

Download "IT-Grundschutz-Bausteine Cloud Computing"

Franka Beutel
vor 8 Jahren
Abrufe

1 IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank Hohensyburg in Dortmund am 06. November 2013

Cyber-Sicherheits-Tag für Teilnehmer der Allianz für

2 Was ist neu? Was ist neu am Cloud Computing? Hardware? Betriebssystem? Hypervisor? Datenbanken? Netze? Outsourcing? Anwendungen? ISMS? Das meiste kennen wir schon! 2

3 Referenzarchitektur Cloud Computing 3

4 Gefährdungsanalyse nach STRIDE Spoofing Vortäuschen von Identitäten Tampering with Data Datenmanipulation Repudiation Nichtanerkennung Information disclosure Veröffentlichung von Infos Denial of Service Diensteverhinderung Elevation of Privilege Rechteerweiterungen 4

Nichtanerkennung Information disclosure Veröffentlichung von Infos

5 Top Gefährdungen (CSA) Cloud Security Alliance The Notorious Nine: Cloud Computing Top Threats in Data Breaches 2. Data Loss 3. Account Hijacking 4. Insecure APIs 5. Denial of Service 6. Malicious Insiders 7. Abuse of Cloud Services 8. Insufficient Due Diligence 9. Shared Technology Issues Quelle: 5

Insecure APIs 5. Denial of Service 6. Malicious Insiders 7. Abuse of Cloud Services 8.

6 Die größte Gefahr denn sie wissen nicht, was sie tun 6

7 Bevor man startet Welche Dienstleistungen sollen als Cloud Service bezogen oder bereitgestellt werden? Wie ist der jetzige Status des Geschäftsprozesses? Ist klar, um welche Daten es sich handelt und sind die Compliance-Anforderungen definiert? Kann eine Cloud-Lösung die Compliance-Anforderungen einhalten? Wurde eine detaillierte Risikobetrachtung durchgeführt? (setzt wiederum voraus die Art der Daten und den Geschäftsprozess genau zu kennen) Kann der Kontrollverlust akzeptiert werden 7

Ist klar, um welche Daten es sich handelt und sind die Compliance-Anforderungen definiert?

8 Wie werden Prozesse Cloud-fähig? Standardisieren Nur Prozesse, die standardisiert sind, können Cloud-fähig gemacht werden Die Vorteile von Cloud-Lösungen lassen sich nicht mit individuellen Anforderungen nutzen Virtualisieren Prozesse und Dienste dürfen nicht an physische Hardware gekettet sein. Automatisieren Cloud Services sollen möglichst ohne menschliche Administration zur Verfügung gestellt und genutzt werden 8

von Cloud-Lösungen lassen sich nicht mit individuellen Anforderungen nutzen Virtualisieren Prozesse und

9 Welches Cloud Modell passt? Public Cloud SLA! Private Cloud Eigene IT Eigene IT von Serviceanbieter gehostet Exklusive Nutzung der IT des Serviceanbieters Geteilte Nutzung der IT des Serviceanbieters Hybrid Cloud Hierfür muss schon eine Private Cloud vorhanden sein No Cloud Wenn sonst nichts passt 9

Nutzung der IT des Serviceanbieters Geteilte Nutzung der IT des

10 Sicherheitsempfehlungen des BSI Für Anbieter und Nutzer Im Dialog mit Wirtschaft entstanden Grundlagen Angemessene Sicherheitsempfehlungen Praxisnah mit vertretbarem Aufwand umsetzbar organisatorische + personelle + technische Maßnahmen In 10 Kapiteln sicherheitsrelevante Empfehlungen Ein Kapitel Datenschutz (vom BfDI verfasst) 10

vertretbarem Aufwand umsetzbar organisatorische + personelle + technische

11 Notwendige Sicherheitsmaßnahmen? Eckpunkte! Sicherheitsmanagement beim Cloud-Anbieter Sicherheitsarchitektur ID- und Rechtemanagement Kontrollmöglichkeit für Nutzer Monitoring und Security-Incident Management Notfallmanagement Portabilität und Interoperabilität Sicherheitsprüfung und nachweis Anforderungen an das Personal Vertragsgestaltung Datenschutz und Compliance 11

Kontrollmöglichkeit für Nutzer Monitoring und Security-Incident Management Notfallmanagement

12 Sicherheitsmanagement beim Anbieter 12

13 IT-Grundschutz des BSI Ganzheitlicher Ansatz der Informationssicherheit Normaler Schutzbedarf Typische Komponenten, typische Gefährdungen, Schwachstellen und Risiken Kompatibel mit ISO/IEC Definierte Vorgehensweise (BSI und BSI 100-2) Risikomanagement in den IT-Grundschutz-Katalogen schon abgebildet Mindestsicherheitsniveau Ausführlicher als ISO/IEC

Kompatibel mit ISO/IEC 27001 Definierte Vorgehensweise (BSI 100-1 und BSI 100-2)

14 Bausteine 14

15 Baustein Cloud Management Richtet sich an Cloud Anbieter Behandelt v. a. die Themen des IT-Managements, die durch Cloud Computing neu entstanden sind Orchestrierung der Cloud Services Provisionierung und Deprovisionierung der Ressourcen Automatisierung der Service-Erbringung Kommunikation mit den Cloud Ressourcen Vorabversion als Download verfügbar Übersetzung (englisch) geplant 15

die Themen des IT-Managements, die durch Cloud Computing neu entstanden sind Orchestrierung der

16 Goldene Regeln Cloud-Management ausreichende Dimensionierung bzw. Erweiterbarkeit mandantenfähige Zugriffskontrolle und Isolierung Eigenes Managementnetz und 2-Faktor-Auth. f. Admins Überwachung der Cloud-Ressourcen Absicherung der Schnittstellen zu den Benutzern Ausfallsicherheit (Redundanzen, Überbuchung vermeiden) standardisierte und offengelegte Schnittstellen Löschung der Nutzerdaten Zugriff der Admins des CSP auf Nutzerdaten minimieren 16

Admins Überwachung der Cloud-Ressourcen Absicherung der Schnittstellen zu den Benutzern Ausfallsicherheit

17 Baustein Cloud-Nutzung Richtet sich an Cloud Anwender Cloud Computing ist Outsourcing ähnlich, weist aber viele neue Aspekte auf. Schwerpunkte: Kosten-Nutzen-Analyse aufbauend auf Cloud-Strategie Voraussetzungen um Cloud Computing zu nutzen Service Level Agreements und Schnittstellen zum Anbieter Migration in die Cloud und Culture Change Vorabversion Q4/2103 verfügbar Übersetzung (englisch) geplant 17

Schwerpunkte: Kosten-Nutzen-Analyse aufbauend auf Cloud-Strategie Voraussetzungen um Cloud Computing

18 Goldene Regeln Cloud-Nutzung Strategische Planung der Cloud Nutzung Definition der wesentlichen Sicherheitsanforderungen Auswahl des Cloud Service Providers Vertragsgestaltung Erstellung eines IT-Sicherheitskonzeptes für die Cloud Nutzung Migration Planung und Sicherstellung des laufenden Betriebs Beendigung der Cloud Nutzung bzw. Migration zu einem anderen Provider Notfallvorsorge 18

IT-Sicherheitskonzeptes für die Cloud Nutzung Migration Planung und Sicherstellung des laufenden

19 Baustein Webservices Richtet sich an Cloud Anbieter Clouds sind meist als Service-orientierten Architektur (SOA) aufgebaut Baustein zeigt spezifischen Gefährdungen und empfiehlt Maßnahmen für die sichere Bereitstellung von Web-Services SOAP-basierte (Simple Object Access Protocol) Web-Services REST-basierte (Representational State Transfer) Web-Services Vorabversion Q4/2103 verfügbar Übersetzung (englisch) geplant 19

sichere Bereitstellung von Web-Services SOAP-basierte (Simple Object Access Protocol) Web-Services

20 Goldene Regeln Webservices Dokumentation des Webservice Sichere Entwicklung des Webservice Prüfung, ob bei Migration zu Webservices die bestehenden Sicherheitsanforderungen erfüllt werden können Sichere Authentisierung auch von Webservices untereinander Verhinderung von Injection-Angriffen Saubere Orchestrierung der Webservices Bei Nutzung von Webservices durch Dritte ist Festlegung der Modalitäten notwendig 20

Authentisierung auch von Webservices untereinander Verhinderung von Injection-Angriffen Saubere

21 Baustein Cloud Storage Eigentlich eine überfällige Überarbeitung des Bausteins Speichersysteme und Speichernetze Richtet sich an Cloud Anbieter Widmet sich neuen Speichertechnologien und -konzepten Fibre Channel (FC) Fibre Channel over Ethernet (FCoE) InfiniBand, NFS Object Storage Vorabversion Q4/2103 verfügbar Übersetzung (englisch) geplant 21

22 Cloud was kommt raus The Fog Nebel des Grauens Wolkig mit Aussicht auf Fleischbällchen 22

23 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)

Ähnliche Dokumente

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung