Cloud Computing Standards Jannis Fey 1
Motivation In dieser Präsentation sollen Zertifikate und Ihre zugrundeliegenden Standards auf ihre Eignung für eine Zertifizierung von Cloud Computing Services betrachtet werden. 2
Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 4. Auditing Tools 5. Fazit und Ausblick 3
Einleitung abschalten -> Kosten sparen Spitzenlast an Weihnachten etc. 4
Einleitung Flexibles, dynamisches System Risiken Zugangskontrolle Verschlüsselung etc. Lösung: Zertifizierung nach Standards speziell für Cloud Computing 5
Inhalt 1. Einleitung 2. Grundlagen 1. Cloud Computing 2. Zertifizierung 3. Auditing 4. Organisationen 3. Zertifizierung 4. Auditing Tools 5. Fazit und Ausblick 6
Grundlagen Wie genau ist Cloud Computing definiert? Was bedeutet Zertifizierung eigentlich und was ist ein Zertifikat? Was versteht man unter dem begriff Auditing und was sind Auditing Tools? Welche Organisationen gibt es in diesem Bereich? 7
Cloud Computing Definition des BSI: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. [ ] Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst [ ] unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. Liefermodelle: public, private, community und hybrid Cloud Servicemodelle: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) 8
Zertifizierung Überprüfungsprozess auf bestimmte Anforderungen. Zertifikat = Nachweis über Einhaltung Zertifizierung von: Mitarbeiter (z.b. schriftliche Prüfung) Software (z.b. Qualität) komplette IT-Umgebung (z.b. Cloud Computing System) Beispiel: Zertifizierung nach dem IT-Grundschutz 9
Auditing Überprüfung von Softwareprojekten durch Auditor spezielle Audits für: Quellcode, Sicherheitsaspekte, Performance, etc. bei Cloud Computing ist ein Security-Audit notwendig Sicherheitslücke suchen -> Lösung finden Auditing-Tools Unterstützung des Audits (Automatisierung) z.b. Wireshark, etc. 10
Organisationen 1. Cloud Security Alliance (CSA) 2. National Institute of Standards and Technology (NIST) 3. EuroCloud 4. Bundesamt für Sicherheit in der Informationstechnik (BSI) 11
Cloud Security Alliance (CSA) internationale, non-profit Organisation Ziel: Förderung von Standardisierung und Sicherheit geführt von Spezialisten aus Industrie, Verbänden, etc. aktive Forschung Certificate of Cloud Security Knowledge CloudAudit 12
National Institute of Standards and Technology (NIST) amerikanische Bundesbehörde für Standards viele Bereiche: z.b. Chemie, Physik, Logistik, Medizin, etc. große Beteiligung an Cloud Computing Standards (wie CSA) internationales Ansehen NIST Cloud Computing Standards Roadmap Definition, Lücken, Prioritäten der Standardisierung Bietet keine Zertifizierung an 13
EuroCloud unabhängig, non-profit Organisation für Europa gegliedert in zwei Stufen Haupt Organisation koordiniert lokale Komitees auf Länderebene Vorteil: jeder profitiert von jedem trotzdem noch unabhängig und eigenständig 14
Bundesamt für Sicherheit in der Informationstechnik (BSI) nationale Sicherheitsbehörde zuständig für IT-Sicherheit in Deutschland Im Bereich Cloud Computing: Anwendern und Anbieter bei Problemen helfen eigenes Zertifikat scheint in Arbeit zu sein bisher nur Zertifizierung nach ISO 27001 Eckpunktepapier mit relevanten Sicherheitsaspekten Leitfaden für Anbieter 15
Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 1. nach ISO/IEC 27001 2. EuroCloud Star Audit (ECSA) 3. Trusted Cloud - TÜV TRUST IT 4. CSA Security, Trust & Assurance Registry (STAR) 5. Certificate of Cloud Security Knowledge 6. Übersicht 4. Auditing Tools 5. Fazit und Ausblick 16
Zertifizierung Zertifizierung nach dem ISO 27001 Standard Spezielle Cloud Zertifikate EuroCloud Star Audit Trusted Cloud Register, Liste, Verzeichnis von Anbietern CSA Security, Trust & Assurance Registry Zertifizierung von Fachpersonal Certificate of Cloud Security Knowledge 17
ISO/IEC 27001 internationaler Standard für Informationssicherheits- Managementsysteme Aufbau, Instandhaltung, Verbesserung von IT- Sicherheitsmanagements Einschätzung und Behandlung von Risiken für alle Unternehmen anwendbar unabhängig von Größe und Art nicht Cloud spezifisch 18
ISO/IEC 27001 allgemeine Norm auf Cloud System anwendbar Vorsicht! Sicherheitslücken? evt. wichtige Bereiche für Cloud Systeme nicht abgedeckt in Branche trotzdem anerkannt ISO stellt selbst keine Zertifikate aus Zertifizierung durch z.b. BSI in Deutschland oder selbst verkünden 19
ISO/IEC 27001 Ablauf der Zertifizierung durch das BSI 1. Überprüfung des Dienstes durch BSI zertifizierten Auditor Sichtung aller notwendigen Dokumente, Protokolle, etc. Vor-Ort-Prüfung 2. Auditor erstellt Audit-Report 3. Report wird dem BSI zur Zertifizierung vorgelegt 4. BSI entscheidet ob Zertifikat vergeben wird 20
ISO/IEC 27001 Inhalt der Norm 21
EuroCloud Star Audit (ECSA) wird seit 2011 ausgestellt Kriterien: Sicherheit, Infrastruktur, Anwendungen, Implementierung Fragenkatalog mit ca. 200 Fragen (BSI) Fragebogen wird ausgewertet persönliches Gespräch Besichtigung der Rechenzentren zweijährige Zertifizierung individuelle Bewertung (1-5 Sterne) 22
EuroCloud Star Audit (ECSA) optimal für Cloud-Computing Services zugeschnitten Zertifizierung von nur zwei Jahren gezwungen zur erneuten Überprüfung kontinuierliche Überprüfung zuverlässige Sicherheit eher für mittelständiges Unternehmen aber auch Microsoft hat Interesse an Zertifizierung 23
Trusted Cloud - TÜV TRUST IT basiert auf z.b. ISO 27001, Bundesdatenschutzgesetz und Telekommunikationsgesetz 4 Bereiche: Organisatorische Sicherheit, technische Sicherheit, Qualität des Service-Managements und Compliance. Trust-Level (1-4) für jeden Bereich Gesamtlevel 7 Stufen 24
Trusted Cloud - TÜV TRUST IT Bewertung des Service sofort für Nutzer/Kunde einsehbar Beispiele: Level 1: geeignet für unkritische/unsensible Daten Level 4: Provider unterliegt höchsten Sicherheitsstandards Zertifikat 3 Jahre gültig allerdings jährlicher Monitoring-Audit zum Vergleich: EuroCloud nur 2 Jahre und erneuter Audit erst nach Ablauf des Zertifikats 25
CSA Security, Trust & Assurance Registry (STAR) offenes Online-Verzeichnis Dokumentation der Sicherheit von Providern 3 Level: Self-Assessment : Selbsteinschätzung seines Services Mithilfe von Tool Unterstützung Oder Multiple-Choise Fragen (Consensus Assessments Initiative Questionnaire) Certification/ Attestation Zertifizierung durch STAR Certificate basiert auf ISO 27001 Continuous erst für 2015 geplant, Automatisierung des Security Audits 26
CSA Security, Trust & Assurance Registry (STAR) Ein Blick in das Verzeichnis: https://cloudsecurityalliance.org/star/#_registry 27
Certificate of Cloud Security Knowledge (CCSK) Zusammenarbeit zwischen CSA und ENISA Online-Test individuelles Wissen Sicherheit im Cloud Computing Bereich 90 Minuten, 60 zufällige Fragen, 80% richtig Bereiche: Verschlüsselung, Virtualisierung, Architektur, etc. Spezielle Trainings und Vorbereitungskurse Partner z.b. 28
Certificate of Cloud Security Knowledge (CCSK) gilt als Ausgangspunkt ( Mutter ) der Cloud Security Zertifikate international anerkannt bestätigt Wissen über Risiken und Sicherheit anders als Zertifikate zuvor: zertifiziert eine Person kein IT-System 29
Übersicht Anbieter ISO 27001 EuroCloud Star Audit CSA STAR Microsoft Azure Ja Nein Ja Microsoft BPOS/365 Ja geplant Ja Google Apps Ja Nein Nein Amazon AWS Ja Nein Ja 30
Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 4. Auditing Tools 1. CloudAudit (CSA) 2. ClouDAT 5. Fazit und Ausblick 31
Auditing Tools Was machen Auditing Tools eigentlich? Werkzeuge zur Unterstützung einer Überprüfung von Cloud Computing Services systematisches testen von Sicherheitsanforderungen Erstellung eines Berichtes 32
CloudAudit (CSA) noch laufendes Forschungsprojekt der CSA Ziel der Projekts: Tool welches den Audit Prozess automatisiert möglichst simpel Möglichkeit für Erweiterungen (Plug-Ins) Plattformunabhängig 33
CloudAudit (CSA) Tool auf HTTP-Basis aufgebaut wie ein(e) Verzeichnis(-struktur) muss durch Provider mit Inhalt gefüllt werden egal wie genau der Inhalt aussieht z.b. PDFs, Text-Dateien, URLs, Log-Files, Firewall=true, etc. Aufgabe des Tools: Daten auswerten und ausgeben ob Anforderungen aus Kontrollrahmen erfüllt werden 34
ClouDAT Forschungsprojekt (Beteiligung der TU-Dortmund) Ziel des Projekts: Open-Source-Tool zu Unterstützung von Sicherheitsanforderungen und Maßnahmen standardkonforme Dokumentation generieren Tool auf Basis von vorhandenen Open-Source-Tools Standardnotation: UML mit Erweiterungen wie UMLsec flexibel also individuelle anpassbar für Benutzer 35
ClouDAT Cloud Computing Anbieter können Analyse durchführen prüft ob die Umsetzung des Services den Sicherheitsanforderungen entspricht erzeugten Dokumente einem Auditor vorlegen Zertifizierung mit geringem Aufwand möglich Open-Source: Möglichkeit für Forschung und Lehre, individuell anpassbar, attraktiv für kleine und mittlere Unternehmen. 36
Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 4. Auditing Tools 5. Fazit und Ausblick 37
Fazit und Ausblick Zertifizierung in Bezug auf Sicherheit ein wichtiges Thema im Bereich Cloud Computing neue Zertifikate speziell für Cloud Computing EuroCloud STAR Audit, TÜV Trust IT Gütesiegel. Level direkt ablesbar CSA STAR offenes Online Verzeichnis / schnelle und einfache Aufnahme Certificate of Cloud Security Knowledge Zertifikat der individuellen Fachkompetenzen 38
Fazit und Ausblick ISO 27001 Norm nicht speziell für Cloud Computing unverzichtbar für Service Provider zuverlässiger Indikator für Sicherheit wird von der Industrie erwartet 39
Fazit und Ausblick Cloud Security Allinace (CSA) weltweit, führende Forschung CloudAudit, CCSK, STAR Certificate / Register USA -> NIST, Deutschland -> BSI bundesbehörden zuständig für Standards im Cloud Bereich EuroCloud übergeordnetes Netzwerk für Europa 40
Fazit und Ausblick Auditing wird versucht zu automatisieren bislang nur Forschungsprojekte CloudAudit (CSA), ClouDAT 41
Fazit und Ausblick Ausblick: Entscheident für die Zukunft ist die Entwicklung neuer Standards bzw. Umsetzung der bestehenden. Verteilung der Standards? EuroCloud STAR Audit für ganz Europa? oder doch lieber ein internationales nutzen? 42
VIELEN DANK 43