Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011
Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen für Cloud Computing Anbieter Ausblick Isabel Münch Folie 2
Das BSI eine Kurzvorstellung... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung 1991 per Gesetz als nationale Behörde für IT- Sicherheit. Jahresbudget: 64 Mio. (2009) Mitarbeiter: über 500 Standort: Bonn Isabel Münch Folie 3
Das BSI - der zentrale Sicherheitsdienstleister des Bundes Positionierung, Kunden: operativ: Bundesverwaltung kooperativ: Wirtschaft, Wissenschaft informativ: Bürger Isabel Münch Folie 4
Was ist Cloud Computing? Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. BSI-Definition basiert auf NIST-Definition, leicht abgeschwächt Isabel Münch Folie 5
Was unterscheidet eine Public Cloud von einer Private Cloud? In einer Public Cloud können die angebotenen Services von beliebigen Anwendern genutzt werden In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechenzentrum der eigenen Institution oder einer fremden Institution stehen Werden aus einer Private Cloud heraus Dienste einer Public Cloud genutzt, so wird dies als Hybrid Cloud bezeichnet Isabel Münch Folie 6
Was macht das BSI? Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter Die finale Version am 12.05.2010 veröffentlicht Das Papier wurde konstruktiv kommentiert Isabel Münch Folie 7
Was macht das BSI? Einarbeitung der Cloud-Thematik in den IT-Grundschutz Prüfung der Möglichkeiten zur Zertifizierung von Cloud- Computing-Plattformen nach IT-Grundschutz Enger Austausch mit Marktteilnehmern Mitarbeit in den Standardisierungsgremien (z. B. ISO) Isabel Münch Folie 8
Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen für Cloud Computing Anbieter Ausblick Isabel Münch Folie 9
Was sind die Risiken? (Public Cloud) Verlust der Kontrolle über die Daten und Anwendungen Verletzung geltender Vorgaben und Richtlinien (z.b. Datenschutzanforderungen) Viele, unbekannte Nutzer teilen sich eine gemeinsame Infrastruktur. Risiko einer Verletzung der Grundwerte der Informationssicherheit steigt Daten bzw. Anwendungen werden über das Internet genutzt, so dass ein Ausfall der Internetverbindung den Zugriff unmöglich macht Zunahme von verteilten Denial-of-Service Angriffen auf Cloud-Computing-Plattformen Sehr hohe Komplexität kann zu erheblichen Sicherheitsproblemen führen (Dienstausfall, Datenverlust, etc.) Isabel Münch Folie 10
Notwendige Sicherheitsmaßnahmen? Eckpunkte! Sicherheitsmanagement beim Cloud-Anbieter Sicherheitsarchitektur ID- und Rechtemanagement Kontrollmöglichkeit für Nutzer Monitoring und Security- Incident Management Notfallmanagement Portabilität und Interoperabilität Sicherheitsprüfung und nachweis Anforderungen an das Personal Vertragsgestaltung Datenschutz und Compliance Isabel Münch Folie 11
Struktur Eckpunktepapier Betrachtung Public / Private Clouds Maßnahmen Public/Private sind weitgehend identisch Keine Unterscheidung IaaS / PaaS /SaaS Auch ein SaaS-Anbieter muss sicherstellen, dass die Forderungen an die Infrastruktur erfüllt werden 3 Kategorien B (=Basisanforderung) C+ (=Vertraulichkeit hoch, Confidentiality) A+ (=Verfügbarkeit hoch, Availability) Isabel Münch Folie 12
Referenzarchitektur Isabel Münch Folie 13
Sicherheitsmanagement beim Anbieter Isabel Münch Folie 14
Sicherheitsarchitektur Konzeption und Implementierung einer durchgängigen Sicherheitsarchitektur Rechenzentrumssicherheit Serversicherheit: Host- und Servervirtualisierung (CC- Zertifizierung) Netzsicherheit (Virenschutz, Verschlüsselung, DDoS- Mitigation, etc.) Anwendungs- und Plattformsicherheit (SDLC, Patchen, etc.) Datensicherheit im Lebenszyklus (Datensicherung, Datenlöschung) Verschlüsselung und Schlüsselmanagement Isabel Münch Folie 15
ID- und Rechtemanagement Isabel Münch Folie 16
Monitoring und Security Incident Management Provider 24/7 umfassende Überwachung der Cloud Dienste sowie zeitnahe Reaktion bei Angriffen bzw. Sicherheitsvorfällen Mitteilungspflichten des CSP gegenüber dem Kunden über Sicherheitsvorfälle oder Hinweise auf Sicherheitsvorfälle, die den Kunden betreffen könnten Geeignete Bereitstellung relevanter Logdaten durch den CSP Logging und Monitoring der Aktivitäten von Administratoren Kunden Kunden müssen die Möglichkeit haben, messbare Größen, wie im SLA vereinbart, zu überwachen Isabel Münch Folie 17
Notfallmanagement Isabel Münch Folie 18
Portabilität und Interoperabilität Isabel Münch Folie 19
Sicherheitsprüfung und -nachweis Isabel Münch Folie 20
Anforderungen an das Personal Isabel Münch Folie 21
Vertragsgestaltung (1) Transparenz Offenlegung der Standorte des Cloud-Anbieters (Land, Region) Offenlegung der Subunternehmer des Cloud-Anbieters Transparenz, welche Eingriffe der Cloud-Anbieter in Daten und Verfahren der Kunden vornehmen darf Transparenz über staatliche Eingriffs- und Einsichtrechte Isabel Münch Folie 22
Vertragsgestaltung (2) Service Level Agreement (SLA) Isabel Münch Folie 23
Datenschutz / Compliance Gewährleistung des Datenschutzes nach deutschem Recht Speicherung und Verarbeitung der personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vertragsstaats des EWR Außerhalb der EU oder eines Vertragsstaats des EWR, wenn ein angemessenes Datenschutzniveau gewährleistet werden kann z. B. durch: Entscheidung der EU-Kommission (Argentinien) Beitritt zum Safe-Harbor-Agreement (USA) EU-Standardvertragsklauseln Genehmigung der Aufsichtsbehörde Isabel Münch Folie 24
Ausblick Aufgrund der technischen und wirtschaftlichen Potenziale kann sich Cloud Computing am Markt durchsetzen, wenn die Frage der angemessenen IT-Sicherheit geklärt wird. Mit zunehmender Verbreitung in der Fläche wird das Konzept für Angreifer attraktiver CSPs sollten frühzeitig Informationssicherheit adressieren und gegenüber den Cloud-Kunden thematisieren (Transparenz) Bei der Absicherung einer Cloud Computing Plattform ist immer der gesamte Cloud Computing Stack zu betrachten Die Erarbeitung und Etablierung von Standards für Interoperabilität und Informationssicherheit wird eine der zentralen Aufgaben in den kommenden Jahren sein Isabel Münch Folie 25
IT-Grundschutz Die Idee... Typische Komponenten Typische Gefährdungen, Schwachstellen und Risiken Auch in der Cloud Konkrete Umsetzungshinweise für das Sicherheitsmanagement Empfehlung geeigneter Bündel von Standard- Sicherheitsmaßnahmen Vorbildliche Lösungen aus der Praxis - Best Practice - Ansätze Isabel Münch Folie 26
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Änderungen zur Integration Cloud Computing Isabel Münch Folie 27
IT-Grundschutz-Kataloge 5 4 3 2 1 Cloud Computing erfordert zusätzliche Bausteine, z. B. BS Netzvirtualisierung BS Cloud Management BS Speichervirtualisierung BS Webservices Isabel Münch Folie 28
Fragen und Diskussion??????? Isabel Münch Folie 29
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutz Godesberger Allee 195-198 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-9582-5405 grundschutz@bsi.bund.de www.bsi.bund.de/grundschutz www.bsi-fuer-buerger.de Neu: XING-Forum IT-Grundschutz Isabel Münch Folie 30