IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank Hohensyburg in Dortmund am 06. November 2013
Was ist neu? Was ist neu am Cloud Computing? Hardware? Betriebssystem? Hypervisor? Datenbanken? Netze? Outsourcing? Anwendungen? ISMS? Das meiste kennen wir schon! 2
Referenzarchitektur Cloud Computing 3
Gefährdungsanalyse nach STRIDE Spoofing Vortäuschen von Identitäten Tampering with Data Datenmanipulation Repudiation Nichtanerkennung Information disclosure Veröffentlichung von Infos Denial of Service Diensteverhinderung Elevation of Privilege Rechteerweiterungen 4
Top Gefährdungen (CSA) Cloud Security Alliance The Notorious Nine: Cloud Computing Top Threats in 2013 1. Data Breaches 2. Data Loss 3. Account Hijacking 4. Insecure APIs 5. Denial of Service 6. Malicious Insiders 7. Abuse of Cloud Services 8. Insufficient Due Diligence 9. Shared Technology Issues Quelle: https://cloudsecurityalliance.org/ 5
Die größte Gefahr denn sie wissen nicht, was sie tun 6
Bevor man startet Welche Dienstleistungen sollen als Cloud Service bezogen oder bereitgestellt werden? Wie ist der jetzige Status des Geschäftsprozesses? Ist klar, um welche Daten es sich handelt und sind die Compliance-Anforderungen definiert? Kann eine Cloud-Lösung die Compliance-Anforderungen einhalten? Wurde eine detaillierte Risikobetrachtung durchgeführt? (setzt wiederum voraus die Art der Daten und den Geschäftsprozess genau zu kennen) Kann der Kontrollverlust akzeptiert werden 7
Wie werden Prozesse Cloud-fähig? Standardisieren Nur Prozesse, die standardisiert sind, können Cloud-fähig gemacht werden Die Vorteile von Cloud-Lösungen lassen sich nicht mit individuellen Anforderungen nutzen Virtualisieren Prozesse und Dienste dürfen nicht an physische Hardware gekettet sein. Automatisieren Cloud Services sollen möglichst ohne menschliche Administration zur Verfügung gestellt und genutzt werden 8
Welches Cloud Modell passt? Public Cloud SLA! Private Cloud Eigene IT Eigene IT von Serviceanbieter gehostet Exklusive Nutzung der IT des Serviceanbieters Geteilte Nutzung der IT des Serviceanbieters Hybrid Cloud Hierfür muss schon eine Private Cloud vorhanden sein No Cloud Wenn sonst nichts passt 9
Sicherheitsempfehlungen des BSI Für Anbieter und Nutzer Im Dialog mit Wirtschaft entstanden Grundlagen Angemessene Sicherheitsempfehlungen Praxisnah mit vertretbarem Aufwand umsetzbar organisatorische + personelle + technische Maßnahmen In 10 Kapiteln sicherheitsrelevante Empfehlungen Ein Kapitel Datenschutz (vom BfDI verfasst) 10
Notwendige Sicherheitsmaßnahmen? Eckpunkte! Sicherheitsmanagement beim Cloud-Anbieter Sicherheitsarchitektur ID- und Rechtemanagement Kontrollmöglichkeit für Nutzer Monitoring und Security-Incident Management Notfallmanagement Portabilität und Interoperabilität Sicherheitsprüfung und nachweis Anforderungen an das Personal Vertragsgestaltung Datenschutz und Compliance 11
Sicherheitsmanagement beim Anbieter 12
IT-Grundschutz des BSI Ganzheitlicher Ansatz der Informationssicherheit Normaler Schutzbedarf Typische Komponenten, typische Gefährdungen, Schwachstellen und Risiken Kompatibel mit ISO/IEC 27001 Definierte Vorgehensweise (BSI 100-1 und BSI 100-2) Risikomanagement in den IT-Grundschutz-Katalogen schon abgebildet Mindestsicherheitsniveau Ausführlicher als ISO/IEC 27002 13
Bausteine 14
Baustein Cloud Management Richtet sich an Cloud Anbieter Behandelt v. a. die Themen des IT-Managements, die durch Cloud Computing neu entstanden sind Orchestrierung der Cloud Services Provisionierung und Deprovisionierung der Ressourcen Automatisierung der Service-Erbringung Kommunikation mit den Cloud Ressourcen Vorabversion als Download verfügbar Übersetzung (englisch) geplant 15
Goldene Regeln Cloud-Management ausreichende Dimensionierung bzw. Erweiterbarkeit mandantenfähige Zugriffskontrolle und Isolierung Eigenes Managementnetz und 2-Faktor-Auth. f. Admins Überwachung der Cloud-Ressourcen Absicherung der Schnittstellen zu den Benutzern Ausfallsicherheit (Redundanzen, Überbuchung vermeiden) standardisierte und offengelegte Schnittstellen Löschung der Nutzerdaten Zugriff der Admins des CSP auf Nutzerdaten minimieren 16
Baustein Cloud-Nutzung Richtet sich an Cloud Anwender Cloud Computing ist Outsourcing ähnlich, weist aber viele neue Aspekte auf. Schwerpunkte: Kosten-Nutzen-Analyse aufbauend auf Cloud-Strategie Voraussetzungen um Cloud Computing zu nutzen Service Level Agreements und Schnittstellen zum Anbieter Migration in die Cloud und Culture Change Vorabversion Q4/2103 verfügbar Übersetzung (englisch) geplant 17
Goldene Regeln Cloud-Nutzung Strategische Planung der Cloud Nutzung Definition der wesentlichen Sicherheitsanforderungen Auswahl des Cloud Service Providers Vertragsgestaltung Erstellung eines IT-Sicherheitskonzeptes für die Cloud Nutzung Migration Planung und Sicherstellung des laufenden Betriebs Beendigung der Cloud Nutzung bzw. Migration zu einem anderen Provider Notfallvorsorge 18
Baustein Webservices Richtet sich an Cloud Anbieter Clouds sind meist als Service-orientierten Architektur (SOA) aufgebaut Baustein zeigt spezifischen Gefährdungen und empfiehlt Maßnahmen für die sichere Bereitstellung von Web-Services SOAP-basierte (Simple Object Access Protocol) Web-Services REST-basierte (Representational State Transfer) Web-Services Vorabversion Q4/2103 verfügbar Übersetzung (englisch) geplant 19
Goldene Regeln Webservices Dokumentation des Webservice Sichere Entwicklung des Webservice Prüfung, ob bei Migration zu Webservices die bestehenden Sicherheitsanforderungen erfüllt werden können Sichere Authentisierung auch von Webservices untereinander Verhinderung von Injection-Angriffen Saubere Orchestrierung der Webservices Bei Nutzung von Webservices durch Dritte ist Festlegung der Modalitäten notwendig 20
Baustein Cloud Storage Eigentlich eine überfällige Überarbeitung des Bausteins Speichersysteme und Speichernetze Richtet sich an Cloud Anbieter Widmet sich neuen Speichertechnologien und -konzepten Fibre Channel (FC) Fibre Channel over Ethernet (FCoE) InfiniBand, NFS Object Storage Vorabversion Q4/2103 verfügbar Übersetzung (englisch) geplant 21
Cloud was kommt raus The Fog Nebel des Grauens Wolkig mit Aussicht auf Fleischbällchen 22
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5887 Fax: +49 (0)22899-10-9582-5887 cloudsecurity@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de 23