Für die sichere Cloud-Nutzung sollte Informationssicherheit beginnend bei der IT-Strategie bis zum letztendlichen Vertragsabschluss berücksichtig werden. Dazu kann sich z. B. an der Vorgehensweise der Veröffentlichung „Sichere Nutzung von Cloud-Diensten“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert werden.
Ähnlich wie die Verankerung der Informationssicherheit in einem Unternehmen, bspw. durch die Etablierung eines ISMS nach ISO/IEC 27001, muss auch die sichere und weitreichende Einführung von Cloud Computing auf der Leitungsebene entschieden werden. Vor der strategischen Entscheidung sollten die damit verbundenen Chancen und Risiken nachvollziehbar erhoben und nüchtern bewertet werden.
Neben einer versprochenen Kostenersparnis sollten vorwiegend die erweiterten Möglichkeiten des Cloud Computing in Bezug auf die Steigerung der Informationssicherheit Anreize schaffen. Die Sicherstellung des kontinuierlichen Betriebs (Business Continuity Management, BCM) und die Sicherheit der betriebenen Systeme können durch den breiten Erfahrungsschatz des jeweiligen Cloud-Anbieters verbessert werden. Allerdings kommt es hier auch wieder auf die Eigenverantwortung des Kunden an.
Geteilte Sicherheitsverantwortung
Bezogen auf die Informationssicherheit bzw. die Sicherheitsverantwortung sind die Plattformen für das Cloud Computing im Allgemeinen zweigeteilt. Der Anbieter ist dabei für die Sicherheit der zugrunde liegenden Cloud-Infrastruktur verantwortlich („Security OF the Cloud“). Der Kunde hingegen ist für die Sicherung der auf der Plattform bereitgestellten Workloads zuständig („Security IN the Cloud“).
Ein Workload ist im Cloud Computing-Umfeld ein plattformunabhängiger Service oder ein eigenständig ausführbarer Programmcode zur Erledigung einer bestimmten Aufgabe. Geeignete Vorkehrungen bezogen auf die bereitzustellenden Anwendungen müssen daher vom Kunden selbst vorgenommen werden.
Erfreulicherweise stellen die Cloud-Plattformen bereits unterstützende Werkzeuge, Vorlagen und Best Practices zur Verfügung, um die selbst definierten Sicherheitsziele zu erreichen. Der weltweite Marktanteil an Cloud-Infrastrukturen wird nach einer Analyse der Synergy Research Group hauptsächlich durch die fünf nachstehenden Anbieter abgedeckt, welche jeweils Informationen zur Absicherung ihrer Plattformen bereitstellen. Nachfolgend finden sich Verlinkungen zum Security-Bereich der jeweiligen Anbieter:
Generelle Prinzipien
Folgende Prinzipien sollten dabei unabhängig vom Anbieter berücksichtigt werden, um die Informationssicherheit der Workloads in einer Cloud Computing-Plattform zu erhöhen:
- Starke Identitätsgrundlage: Verwenden des Prinzips der geringsten Privilegien (Principle of Least Privilege, PoLP) und Einsatz von Aufgabentrennung mit entsprechender Berechtigungsvergabe für jede Interaktion mit Cloud-Ressourcen. Zentralisieren des Identitätsmanagements und Vermeidung von langfristigen, statischen Anmeldeinformationen.
- Nachverfolgbarkeit: Echtzeit-Überwachung von Aktionen und Änderungen in der Cloud Computing-Umgebung. Erfassung von Protokollen und Metriken in Systemen zur automatischen Untersuchung und Durchführung von Maßnahmen.
- Anwendung von IT-Sicherheit auf allen Ebenen: Einen tiefgreifenden Verteidigungsansatz (Defense in Depth) mit mehreren Sicherheitskontrollen auf allen Ebenen implementieren. Die Ebenen umfassen dabei u. a. VPCs (Virtual Private Cloud), die Lastverteilung (Load Balancing), jede Cloud-Instanz und -Rechenressource (Compute) sowie Betriebssysteme, Anwendungen und den Quellcode.
- Automatisierung von Sicherheitsverfahren: Verwendung von automatisierten und softwarebasierten Sicherheitsmechanismen. Erstellung von sicheren Architekturen sowie Kontrollen, die als Quellcode in versionsgesteuerten Vorlagen definiert und verwaltet werden (Infrastructure as Code, IaC). Der Umfang manueller Sicherheitsverfahren sollte geringgehalten werden.
- Schützen der Daten während der Übertragung und im Ruhezustand: Klassifizieren der involvierten Daten nach Sensibilität und Einsatz von Mechanismen zur Wahrung der Vertraulichkeit und Integrität, wie Verschlüsselung, Tokenisierung und Zugriffskontrolle.
- Trennen von Benutzern und Daten: Bedarf an direktem Zugang oder manueller Verarbeitung von Daten durch Benutzer vermeiden oder reduzieren. Hierdurch wird das Risiko von Fehlbedienungen oder Änderungen und menschlicher Fehler beim Umgang mit sensiblen Daten eingeschränkt.
- Vorbereitung auf Sicherheitsereignisse: Auf einen Sicherheitsvorfall vorbereitet sein, indem ein Vorfallmanagement mit Richtlinien vorhanden ist, welches auf die organisatorischen Anforderungen abgestimmt ist. Simulationen zur Reaktion auf Vorfälle durchführen und in diesem Zusammenhang Werkzeuge zur Automatisierung verwenden, um die Erkennung, Untersuchung sowie Wiederherstellung zu beschleunigen (BCM).
Wie aus der Auflistung hervorgeht, sollte jede Ebene der Cloud-Infrastruktur abgesichert werden – nicht nur die oftmals ausschließlich betrachtete Außengrenze zum Internet. Dabei sollten vor allem automatisierte Verfahren zum Einsatz kommen und manuelle Handlungen in den hochskalierbaren Cloud-Infrastrukturen weitestgehend reduziert werden. Des Weiteren sollte eine angemessene Verschlüsselung von Daten der Standard in allen Kommunikationsverbindungen sein und mit minimalen Rechtestrukturen in der zentralen Identitäts- und Zugriffsverwaltung (IdM bzw. IAM) gearbeitet werden. Sicherheitsereignisse sollten, z. B. durch ausgiebige Protokollierungen, analysiert und Ernstfälle geprobt werden.
Fazit
Ist in einem Unternehmen die strategische Entscheidung getroffen, eine Cloud Computing-Plattform einzusetzen, dann sollten die von dem Cloud-Anbieter bereitgestellten Werkzeuge zur Informationssicherheit sowie die Compliance-Anforderungen für das anvisierte Vorhaben bekannt und bereits bei der Entscheidung berücksichtigt worden sein. Werden die aufgezeigten Prinzipien zum sicheren Cloud Computing entschlossen angegangen, ist ein solider Grundschutz auch außerhalb des Hoheitsbereichs eines Unternehmens vorhanden und somit ein sicherer Cloud-Einsatz gegeben.