Cloud : sicher. Dr. Clemens Doubrava, BSI. it-sa Nürnberg

Transkript

1 Cloud : sicher Dr. Clemens Doubrava, BSI it-sa Nürnberg

2 Strategische Aspekte des Cloud Computing 11,4 cm x 20,4 cm Dr. Clemens Doubrava Referent Seite 2

3 Cloud-Strategie des BSI Dr. Clemens Doubrava Referent Seite 3

4 BITKOM/KPMG Cloud-Monitor 2015 Umfrage unter >400 Unternehmen zu verschiedenen Themen zu Cloud Computing Ergebnisse (u.a.) Erstmals mehr Cloud-Interessenten als Cloud- Skeptiker Cloud-Nutzung nimmt kontinuierlich zu, Schwerpunkt bei Private Cloud, Public Cloud bleibt Nischenmarkt Positive Erfahrungen: Private 78%, Public 73% Groupware und CRM sind Treiber der Public Cloud Vier von zehn Unternehmen nutzen Private Clouds Quelle: BITKOM/KPMG Cloud-Monitor 2015 Dr. Clemens Doubrava Referent Seite 4

5 Cloud Computing Evolution in der Technik - Revolution im Business * Cloud Computing technisch nichts ganz Neues (Virtualisierung, Grid Computing, ASP), aber im Zusammenspiel und der Nutzung liegt Potenzial Lösungen zur Informationssicherheit sind deshalb nicht zu entsorgen, sondern anzupassen weiter zu entwickeln neue Möglichkeiten zu nutzen Für Anwender: Lokale Software wird durch gemietete Services ersetzt Office, Desktops, CRM, Server Kürzere Innovationszyklen Dienste können nicht nur lokal, sondern von unterschiedlichen Geräte an verschiedenen Orten mit Look & Feel genutzt werden Veränderung der Arbeitsabläufe und Prozesse Outsourcing wird einfacher Für Anbieter: Komplett neues Geschäftsmodell * Titel eines BITKOM-Leitfadens, 2009 Dr. Clemens Doubrava Referent Seite 5

6 BSI und Cloud Für Cloud-Anbieter Eckpunktepapier Cloud Computing IT-Grundschutz-Bausteine Sicherheitsprofil SaaS Diverse Veröffentlichungen owncloud, vblock, SLAs, Für Cloud-Nutzer IT-Grundschutz-Baustein Cloud-Nutzung Sichere Nutzung von Cloud-Diensten Dr. Clemens Doubrava Referent Seite 6

7 Risiken der Cloud-Nutzung (vorwiegend Public Cloud) Verlust der Kontrolle über die Daten und Anwendungen Datenverlust bzw. Informationsabfluss Identitätsdiebstahl bzw. Missbrauch von Accounts Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen) Viele, unbekannte Nutzer teilen sich eine gemeinsame Infrastruktur. Risiko für die Informationssicherheit steigt. Ausfall der Internetverbindung macht den Zugriff unmöglich Zunahme von Denial-of-Service Angriffen auf Cloud-Anbieter Sehr hohe Komplexität kann zu erheblichen Sicherheitsproblemen führen (Dienstausfall, Datenverlust, etc.) Dr. Clemens Doubrava Referent Seite 7

8 Organisatorischen Risiken bei Cloud-Nutzung Keine Strategie nicht klar was mit Cloud Computing erreicht werden soll Mangelhafte Planung Cloud Projekt scheitert, da kritische Schritte nicht erkannt wurden Ungenaue Definition vom Cloud Service Gap Illusorische Annahmen geschönte Kosten-Nutzen-Analysen führen zu finanziellen Einbußen Kurzfristiges Denken (nicht nur finanziell) Weg aus der Cloud oder in eine andere nicht berücksichtigt. Unterschätzen der Abhängigkeiten Wird die Flexibilität starr? Geringe eigene Eingriffsmöglichkeiten Notfall? Welcher Notfall? Die Cloud ist doch immer da! Dr. Clemens Doubrava Referent Seite 8

9 Sichere Nutzung von Cloud-Diensten Für jedes Bereitstellungsmodell (Private Public) Für jedes Servcie-Modell (XaaS) Von der Strategie bis zur Beendigung der Nutzung eines Cloud-Dienstes Für normalen Schutzbedarf mit Empfehlungen für höheren Schutzbedarf Aufbauen auf den Erfahrungen des IT-Grundschutz Zusammenfassung des IT-Grundschutz-Bausteins B 1.17 Cloud-Nutzung Dr. Clemens Doubrava Referent Seite 9

10 Überblick Dr. Clemens Doubrava Referent Seite 10

11 Erstellen einer Cloud-Nutzungs-Strategie Einsatz von Cloud Computing hat strategische Komponente Einbindung in die Unternehmensstrategie/IT-Strategie Grobe Definition des Dienstes und des Bereitstellungsmodells Machbarkeitsstudie rechtliche Rahmenbedingungen (z. B. Datenschutz, Aufsichtsbehörden) organisatorische Rahmenbedingungen (z. B. Reife der Institution) technische Anforderungen (z. B. Netzanbindung) Grobe Kosten-Nutzen-Abschätzung Auswahl der Services und des Bereitstellungsmodells Berücksichtigung von Sicherheitsaspekten von Anfang an Erstellen einer Sicherheitsanalyse (Risiken ermitteln) Dr. Clemens Doubrava Referent Seite 11

12 Sicherheitsrichtlinie für die Cloud-Nutzung Möglichst alle Sicherheitsanforderungen betrachten Schnittstellen und organisatorische Rahmenbedingungen Sicherheitsanforderungen an Technik Datenschutz- und Compliance-Aspekten Informationsklassifizierung für alle ausgelagerten Daten Sicherheitsanforderungen an den Cloud-Diensteanbieter Verfügbarkeit des Dienstes Standort der Leistungserbringung organisatorische Regelungen und Prozesse (z. B. ITIL) Vorgaben zu Datenablage,-verarbeitung und -löschung Zertifizierungen (vzw. IT-Grundschutz) Sicherheitsanforderungen an eigene Institution Sicherheitskonzept Dr. Clemens Doubrava Referent Seite 12

13 Service-Definition für Cloud-Dienste durch den Anwender Erarbeitung der Service-Definition Schnittstellen und Verantwortlichkeiten Vermeidung von Gaps Auswahl sicherer Authentisierungsmethoden v. a. für Admins aber auch für Nutzer Definition von OLA und SLA Konkrete Anforderungen extern und intern Dr. Clemens Doubrava Referent Seite 13

14 Planung Migration und Einbindung eines Cloud Service Planung der sicheren Migration zu einem Cloud Service Migrationskonzept (Teil des IT-Sicherheitskonzepts) keine "echte" Transition organisatorische Regelungen Rollen und Verantwortlichkeiten, Aufgabenverteilung Planung der Test- und Übergabeverfahren Berücksichtigung der eigenen IT und der Administratoren Planung der sicheren Einbindung und Anpassung Schnittstellensysteme v. a. Loadbalancer, Proxys, Router, Sicherheitsgateways Netzanbindung Administrationsmodells Datenmanagementmodells Dr. Clemens Doubrava Referent Seite 14

15 Sicherheitskonzept für die Cloud-Nutzung Mehrere Parteien müssen Sicherheitskonzept erstellen Anwender Anbieter - ggf. (mehrere) Netzprovider Audit-Recht des Anwenders - selbst oder durch Dritten Dokumentation der notwendigen Sicherheitsmaßnahmen Cloud-Spezifika beachten Vertragsbeendigung (vorzeitig oder erzwungen) Portabilität bzw. Interoperabilität (Vendor-Lock-in) ggf. proprietäre Datenformate Trennung von Mandanten in der Cloud Speicherort der Daten Unbefugter Zugriff durch Personal des Cloud-Anbieters Dr. Clemens Doubrava Referent Seite 15

16 Sorgfältige Auswahl eines Cloud-Diensteanbieters Leistungskatalog/Lastenheft (ggf. Zertifizierung gefordert) Weitere Kriterien: Reputation, Rankings oder Bewertungsmatrizen Ist Cloud Kerngeschäft des Anbieters? Zugriffe durch den Diensteanbieter oder Dritte Standort (geltendes Recht), Subunternehmen Kosten-Nutzen-Analyse Umfassende Prüfung der vertraglichen Grundlagen Genaue Servicebeschreibungen (z. B. Def. d. Verfügbarkeit) Vorsicht bei nicht aussagekräftige Beschreibungen in Standard-SLAs Dr. Clemens Doubrava Referent Seite 16

17 Vertragsgestaltung mit dem Cloud-Diensteanbieter Ort der Leistungserbringung Subunternehmer Infrastruktur des Cloud-Diensteanbieters und Personal Kommunikationswege und Ansprechpartner Regelungen zu Prozessen, Arbeitsabläufen und Zuständigkeiten Beendigung und Datenlöschung Notfallvorsorge Regelungen zu rechtlichen Rahmenbedingungen Änderungsmanagement Kontrollen Dr. Clemens Doubrava Referent Seite 17

18 Migration und Betrieb eines Cloud Service Migration ordnungsgemäße Durchführung der Datensicherung Testbetrieb -> Pilotphase -> Produktionsbetrieb Betrieb Regelm. Aktualisierung von Dokumenten und Richtlinien regelmäßige Kontrollen u. a. - ordnungsgemäßen Administration - Service-Erbringung (gem. SLA) - Service-Reviews und Sicherheitsnachweise - Datensicherungen und Prozesse - Audits, Sicherheitsprüfungen, Pentests Regelmäßige Abstimmungsrunden Planung und Durchführung von Übungen und Tests Dr. Clemens Doubrava Referent Seite 18

19 Beendigung der Cloud-Nutzungs Analog zu Outsourcing insbes. Eigentumsrechte Software (z. B. bei PaaS) Alle notwendigen Daten müssen an Cloud-Anwender übertragen beziehungsweise übergeben werden. Alle Datenbestände beim Dienstleister müssen sicher gelöscht werden. Es ist empfehlenswert, vertraglich eine Übergangsfrist zu vereinbaren, in der der ehemalige Dienstleister noch für Rückfragen und Hilfestellungen zur Verfügung steht bzw. die Daten noch nicht gelöscht sind Dr. Clemens Doubrava Referent Seite 19

20 Zukunft des Cloud Computing Cloud Computing setzt sich durch Cloud-Nutzung wird zunehmen und vor allem im hybriden Bereich noch wachsen Sicherheit der Cloud-Angebote hat zugenommen und wird weiter steigen Einige Sicherheits-Maßnahmen (z. B. georedundante RZ, IDS/IPS, DDoS-Mitigation) werden bezahlbar und die Kosten dafür kalkulierbar Und die Anwender? Migration zu Cloud Computing nicht unterschätzen (kein One-Klick-Job) Die ganze Organisation auf dem Weg in die Cloud mitnehmen Genau analysieren, was man braucht und nicht einfach nehmen, was der Markt hergibt No Cloud Hauptgefahr: Denn sie wissen nicht, was sie tun Dr. Clemens Doubrava Referent Seite 20

21 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Dr. Clemens Doubrava Referent Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat B 25 Godesberger Allee Bonn Dr. Clemens Doubrava Referent Seite 21