BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

Transkript

1 BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln /

2 Referenzarchitektur Cloud Computing 2

3 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken Keine zahlenden Kunden für die angebotenen Cloud Service Zahlungsausfälle (gem. SLA oder Kulanz) wegen nicht erreichen von Dienstgütekriterien oder Ausgleichszahlungen an Kunden Verlust von Kunden (auch durch Image-Schaden) Strafzahlungen (Compliance-Verstöße) Rechtliche Rahmenbedingungen Persönliche Haftung des Vorstands Datenschutz, Attraktive Cloud-Angebote Informationssicherheit 3

4 Was gefährdet die Informationssicherheit aus Kundensicht? Verlust der Kontrolle über die Daten und Anwendungen. Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen). Viele, unbekannte Nutzer teilen sich eine gemeinsame Infrastruktur. Risiko einer Verletzung der Grundwerte der Informationssicherheit steigt. Daten bzw. Anwendungen werden über das Internet genutzt, so dass ein Ausfall der Internetverbindung den Zugriff unmöglich macht Zunahme von verteilten Denial-of-Service Angriffen auf CloudComputing-Plattformen Sehr hohe Komplexität kann zu erheblichen Sicherheitsproblemen führen (Dienstausfall, Datenverlust, etc.) 4

5 Cloud Risiken What are the greatest risks for using a cloud environment (select all tat apply)? (Quelle: World Quality Report 2011/12, Capgemini, Sogeti, HP 55 Security 31 Availability 37 Performance 21 it does not meet the expected cost reductions 17 Interoperability 25 Integration with in-house IT 13 Not customizable 4 there are no risks as we rely on SLAs Other

6 Cloud Risiken Frage: Aus welchen Gründen haben Sie sich gegen den Einsatz von Cloud Computing-Lösungen entschieden? (Mehrfachnennungen möglich) (Quelle: Cloud Computing in DeutschlandErgebnisse der Umfrage von Deloitteund BITKOM, ) 6

7 Top Gefährdungen (CSA) Top Threats to Cloud Computing V1.0 Prepared by the Cloud Security Alliance March )Abuse and Nefarious Use of Cloud Computing 2)Insecure Application Programming Interfaces 3)Malicious Insiders 4)Shared Technology Vulnerabilities 5)Data Loss/Leakage 6)Account, Service & Traffic Hijacking 7)Unknown Risk Profile Quelle: 7

8 Sicherheitsempfehlungen des BSI Für Anbieter und Nutzer Grundlagen In 10 Kapiteln sicherheitsrelevante Empfehlungen Ein Kapitel Datenschutz (vom BfDI verfasst) 8

9 Notwendige Sicherheitsmaßnahmen? Eckpunkte! Sicherheitsmanagement beim Cloud-Anbieter Sicherheitsarchitektur ID- und Rechtemanagement Kontrollmöglichkeit für Nutzer Monitoring und SecurityIncident Management Notfallmanagement Portabilität und Interoperabilität Sicherheitsprüfung und nachweis Anforderungen an das Personal Vertragsgestaltung Datenschutz und Compliance 9

10 Sicherheitsmanagement beim Anbieter 10

11 Sicherheitsarchitektur Konzeption und Implementierung einer durchgängigen Sicherheitsarchitektur Rechenzentrumssicherheit Serversicherheit: Host- und Servervirtualisierung (CC-Zertifizierung) Netzsicherheit (Virenschutz, Verschlüsselung, DDoSMitigation, etc.) Anwendungs- und Plattformsicherheit (SDLC, Patchen, etc.) Datensicherheit im Lebenszyklus (Datensicherung, Datenlöschung) Verschlüsselung und Schlüsselmanagement 11

12 ID- und Rechtemanagement 12

13 Monitoring und Security Incident Management Provider 24/7 umfassende Überwachung der Cloud Dienste sowie zeitnahe Reaktion bei Angriffen bzw. Sicherheitsvorfällen Mitteilungspflichten des CSP gegenüber dem Kunden über Sicherheitsvorfälle oder Hinweise auf Sicherheitsvorfälle, die den Kunden betreffen könnten Geeignete Bereitstellung relevanter Logdaten durch den CSP Logging und Monitoring der Aktivitäten von Administratoren Kunden Kunden müssen die Möglichkeit haben, messbare Größen, wie im SLA vereinbart, zu überwachen 13

14 Notfallmanagement 14

15 Portabilität und Interoperabilität 15

16 Sicherheitsprüfung und -nachweis 16

17 Anforderungen an das Personal 17

18 Vertragsgestaltung (1) Transparenz Offenlegung der Standorte des Cloud-Anbieters (Land, Region) Offenlegung der Subunternehmer des Cloud-Anbieters Transparenz, welche Eingriffe der Cloud-Anbieter in Daten und Verfahren der Kunden vornehmen darf Transparenz über staatliche Eingriffs- und Einsichtrechte 18

19 Vertragsgestaltung (2) Service Level Agreement (SLA) 19

20 Datenschutz / Compliance Gewährleistung des Datenschutzes nach deutschem Recht Speicherung und Verarbeitung der personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vertragsstaats des EWR Außerhalb der EU oder eines Vertragsstaats des EWR, wenn ein angemessenes Datenschutzniveau gewährleistet werden kann z. B. durch: Entscheidung der EU-Kommission (Argentinien) Beitritt zum Safe-Harbor-Agreement (USA) EU-Standardvertragsklauseln Genehmigung der Aufsichtsbehörde 20

21 Ausblick Aufgrund der technischen und wirtschaftlichen Potenziale kann sich Cloud Computing am Markt durchsetzen, wenn die Frage der angemessenen IT-Sicherheit geklärt wird. Mit zunehmender Verbreitung in der Fläche wird das Konzept für Angreifer attraktiver CSPs sollten frühzeitig Informationssicherheit adressieren und gegenüber den Cloud-Kunden thematisieren (Transparenz) Bei der Absicherung einer Cloud Computing Plattform ist immer der gesamte Cloud Computing Stack zu betrachten Die Erarbeitung und Etablierung von Standards für Interoperabilität und Informationssicherheit wird eine der zentralen Aufgaben in den kommenden Jahren sein 21

22 Fragen und Diskussion??????? 22

23 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)