Cloud Computing – das Trendthema lässt in diesem Jahr die Herzen einiger IT-Entscheider höher springen. In den ersten beiden Artikeln unserer Cloud-Reihe wurde zunächst eine Einleitung in das Thema gegeben und die Chancen durch die Informationstechnologie wurden geschildert. Doch leider sind mit dem Sprung in die Wolke auch einige Risiken verbunden, über die Unternehmen bescheid wissen sollten.
Cloud Computing – Risiken für die IT-Sicherheit
Im Vergleich zu den Chancen sind die Risiken im Cloud Computing im Allgemeinen vielfältiger, allerdings auch oftmals genauer spezifizierbar. Risiken können in den folgenden übergeordneten Domänen auftreten: Technologie, Compliance, Lock-In, Finanzen und IT-Governance. Diesen Domänen werden die bedeutendsten Sicherheitsrisiken im Kontext von Cloud Computing zugeordnet. Die Sicherheitsrisiken werden strukturiert analysiert und bewertet. Hierzu werden die Risiken definiert und abgegrenzt. Cloud-Spezifika stellen klar, warum dieses Risiko speziell für Cloud Computing relevant ist. Darüber hinaus werden Maßnahmen formuliert, die Risiken reduzieren. Des Weiteren erfolgt eine Zuordnung zu im zweiten Artikel eingeführten Servicemodellen und die Bewertung der Relevanz in den Einsatzvarianten von Cloud Computing.
Das Risiko wird daraufhin den drei Komponenten der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) zugeordnet. Schließlich werden die Wahrscheinlichkeit des Eintritts des Risikos und die potenzielle Schadenshöhe bewertet (niedrig, mittel, hoch). Es erfolgt zudem ein Vergleich mit traditioneller IT (niedriger, gleich, höher). Aus der Wahrscheinlichkeit und der Schadenshöhe ergibt sich die Einstufung des Gesamtrisikos.
Risikoverteilung im Cloud Computing
Die Abbildung zeigt die Risikoverteilung im Cloud Computing nach Eintrittswahrscheinlichkeit und möglicher Schadenshöhe. Die einzelnen Risiken werden in den kommenden Kapiteln und im nächsten Artikel im Detail analysiert und bewertet.
|
Es zeigt sich, dass alle betrachteten Risiken mindestens eine mittlere Wahrscheinlichkeit oder Schadenshöhe aufweisen und somit ein signifikantes Gesamtrisiko darstellen. Aus diesem Grund sind die Risiken bereits im Vorfeld eines geplanten Cloud Computing-Vorhabens zu berücksichtigen.
Technologie
IT-Sicherheit umfasst allgemein die Sicherheit von technischen und logischen Systemen der Informations- und Kommunikationstechnologie. Hier werden speziell Risiken untersucht, die sich aus den dem Cloud Computing zugrunde liegenden Technologien ergeben. Um definierte Schutzziele bei der IT-gestützten Verarbeitung von Informationen einzuhalten, müssen geeignete betriebliche und technische Maßnahmen getroffen werden.
HYPERVISOR-SICHERHEIT
Definition: In einer virtualisierten Umgebung ist der Hypervisor der Bereitstellungsmechanismus, d.h. der Software-Teil, der die virtualisierte Hardware für die darauf betriebenen virtuellen Maschinen (VMs) bereitstellt. Es ist denkbar, dass eine VM auf Speicherbereiche des Hypervisors oder auf den Speicherbereich anderer VMs zugreift und die Vertraulichkeit der Daten gefährdet. Ein Angriff kann aufgrund von Besonderheiten in der Systemarchitektur, fehlender Isolation der VMs voneinander sowie durch Fehler im Design und in der Implementierung der VM-Software ermöglicht werden.
Cloud-Spezifika: In Cloud-Umgebungen sind Schwachstellen in der Hypervisor-Software sehr kritisch zu bewerten. Wenn mehrere VMs verschiedener Kunden auf dem Hypervisor laufen, kann ein Angreifer eine bösartige VM starten, die die Sicherheitslücken der VM-Software ausnutzt. Der Zugriff auf den Speicherbereich anderer VMs, die Störung des Dienstes oder sogar die Übernahme des Hypervisors sind denkbar.
Maßnahmen: Es sind ausreichende Kenntnisse über die Virtualisierungsinfrastruktur und deren verfügbare Sicherheitsmechanismen, sowie der Einsatz von sicheren Hypervisoren und die Durchführung geeigneter Härtungsmaßnahmen notwendig.
NETZWERKSEGMENTIERUNG UND TRENNUNG VON DATENVERKEHR
Definition: Die Segmentierung eines Netzes ist eine Strategie, um IT-Dienste, Server und/oder Applikationen entsprechend ihren Sicherheitsanforderungen in einer Netzwerkzone zu platzieren. Traditionell erfolgt diese Segmentierung durch physikalische Netzwerk-komponenten wie Switches, Router und Firewalls.
Cloud-Spezifika: In einer Cloud Computing-Umgebung wird die Segmentierung logisch in der Virtualisierungsumgebung konfiguriert. Durch Softwareschwachstellen oder operative Fehler (fehlerhafte Konfiguration) kann es möglich sein, diese Mechanismen zu umgehen und somit die Segmentierung, die Systeme mit unterschiedlichen Sicherheitsanforderungen voneinander trennt, zu umgehen.
Maßnahmen: Der Einsatz von physischen Geräten, z.B. Switches und Firewalls, ist sinnvoll, besonders wenn die Geräte als Begrenzung einer Netzwerkzone eingesetzt werden. Zur Trennung des Netzwerkverkehrs verschiedener Kunden oder zur Segmentierung von Systemen mit verschiedenen Sicherheitsanforderungen wird der Einsatz der VLAN (Virtual Local Area Network) Technologie empfohlen.
MANAGEMENT INTERFACE
Definition: Eine wichtige Komponente eines Cloud Computing Providers sind die Schnittstellen zur Verwaltung der Betriebsmittel, das Management Interface. Mit dessen Hilfe werden Maschinen-Instanzen u. a. verwaltet, gestartet, gestoppt und erzeugt, sowie die Fernwartung der Virtualisierungsumgebung ermöglicht
Cloud-Spezifika: Die notwendigen Skaleneffekte eines Cloud Providers können nur durch einen sehr effizienten IT-Management-Prozess erreicht werden. Aus diesem Grund muss die Administration der virtuellen Server per Fernzugriff auf die Virtualisierungsschicht durchgeführt werden. Eine größere Anzahl an Personen hat Zugriff auf die virtuellen Maschinen und die zugehörigen Netze, so dass das Risiko des unautorisierten Zugriffs signifikant höher als in traditionellen IT-Umgebungen ist.
Maßnahmen: In einer Cloud-Umgebung sollen administrativer und produktiver Datenverkehr voneinander getrennt, der Zugang zum Management Interface beschränkt und streng kontrolliert werden. Der Zugriff von virtuellen Maschinen aus darf nicht möglich sein. Die Verwendung von starken Authentisierungsverfahren und sicheren Protokollen (SSHv2, HTTPS) für den Zugriff auf das Management Interface wird empfohlen.
DISTRIBUTED DENIAL OF SERVICE (DDoS)
Definition: Eine Distributed Denial of Service (DDoS) Attacke tritt auf, wenn mehrere Systeme durch einen gemeinsamen Angriff gezielt die Ressourcen eines Zielsystems blockieren und damit die Verfügbarkeit negativ beeinflussen. Symptomatisch sinkt hierdurch die Ausführungsgeschwindigkeit des Zielsystems bis hin zur völligen Nichtverfügbarkeit.
Cloud-Spezifika: Wird durch eine DDoS Attacke der Zugang zum Dienst in der Cloud behindert oder aber der Dienst selbst blockiert, ist eine Nutzung des Dienstes nicht mehr möglich. Die Verbindung zwischen Kunde und Cloud Provider ist hierbei häufig eine Schwachstelle („Single Point of Failure“).
Maßnahmen: Die Verfügbarkeit kann am wirkungsvollsten durch eine Redundanz erhöht werden. Eine zweite Anbindung an das Internet erhöht die Verfügbarkeit signifikant. Eine Nutzung der Dienste mehrerer Cloud Provider schafft zusätzliche Redundanz, falls ein Provider nicht erreichbar ist. Prinzipiell sind auch die klassischen Maßnahmen der DDoS-Mitigation anzuwenden.9 Wie im zweiten Artikel betrachtet, bietet Cloud Computing auch dadurch Vorteile, dass Ressourcen dynamisch skalieren und zur Sicherstellung der Verfügbarkeit gezielt an andere Stellen der Cloud umverteilt werden können.
FEHLENDER SECURE SOFTWARE DEVELOPMENT LIFE CYCLE (SSDLC) Support
Definition: Die Software- und Systementwicklung findet häufig gemäß des Software Development Life Cycle (SDLC)-Prozesses statt. Die Entwicklung gemäß des Secure Software Development Life Cycle (SSDLC)-Prozesses berücksichtigt das Thema Sicherheit nicht erst nach, sondern schon während der Entwicklungsphase. So werden durch Schwachstellen verursachte aufwändige und kostenintensive Änderungen der Software oder gar der Softwarearchitektur im Nachhinein vermieden und die Integrität der Software sichergestellt.
Cloud-Spezifika: Die Entwicklung von Software und Systemen ist zentraler Bestandteil zahlreicher PaaS- Angebote. Der SSDLC-Ansatz ist relativ neu und wird noch nicht von allen Anbietern unterstützt. Der Verzicht auf die Entwicklung von Software und Systemen gemäß SSDLC führt zu potenziell unsicherer Software, die nach der Entwicklung angepasst und ergänzt werden muss, so dass sie den Sicherheitsanforderungen genügt. Da die Entwicklungsschritte nicht integriert und parallelisiert ablaufen, ist mit einer längeren Entwicklungsdauer und somit höheren Kosten zu rechnen.
Maßnahmen: Wird keine SSDLC-Unterstützung angeboten, muss die Umsetzung geforderter Sicherheitsmaßnahmen während oder nach der Entwicklungsphase sichergestellt werden. Ein Provider, der die Entwicklung gemäß SSDLC unterstützt, ist bei der Auswahl u. U. zu bevorzugen.
NUTZERAUTHENTISIERUNG, ROLLEN- UND RECHTEVERWALTUNG
Definition: Die Authentisierung der Nutzer und die Möglichkeit der Vergabe verschiedener Rollen und Rechte sind für den sicheren Betrieb und zur Gewährleistung der Vertraulichkeit und Integrität eines Cloud- Dienstes unerlässlich.
Cloud-Spezifika: Ein Cloud Computing-Dienst wird i. d. R. von verschiedenen Nutzern mit unterschiedlichen Rollen und Rechten genutzt. Der Zugang zu den Ressourcen darf nur authentisierten Nutzern ermöglicht werden.
Maßnahmen: Der Cloud Computing-Anbieter muss Authentisierungsdienste sowie ein Rollen- und Rechtemodell unterstützen. Abhängig von der Rolle und den Rechten des Nutzers erhält dieser einen mehr oder weniger beschränkten Zugriff auf den Dienst. Darüber hinaus müssen von einer entsprechenden Plattform Funktionalitäten für die Rollen-, Rechte- und Benutzerverwaltung und die Definition einer Passwort-Richtlinie (Policy) zur Verfügung gestellt werden. Diese administrativen Funktionalitäten stehen nur besonderen Nutzern mit erweiterten Rechten zur Verfügung.
Dies ist der dritte Teil unserer Artikelreihe zum Thema “Wer klaut in der Cloud – Der Herbst im Zeichen von Cloud Computing”. Der vierte und letzte Teil erscheint am Donnerstag der kommenden Woche im Know-how-Bereich auf ECIN. Darin werden zunächst die weiteren Risiken für Compliance, Lock-In, Finanzen und IT-Governance geschildert, anschließend wird ein Plan für eine sichere Umsetzung der Technologie erstellt.
