Über Sicherheits- und Compliance-Fragen in Cloud-Computing-Umgebungen informiert ein kostenloser Leitfaden von RSA. Eine These der Autoren: Clouds bieten ein wesentlich besseres Sicherheitsniveau als herkömmliche IT-Infrastrukturen.

Erstellt wurde die 20-seitige Broschüre mit dem Titel Identity and Data Protection in the Cloud von Fachleuten von EMC, RSA und Vmware. Sie kann kostenlos als PDF-Dokument heruntergeladen werden.

Eine der Kernthesen der Autoren lautet: Clouds können künftig in puncto Sicherheit herkömmliche IT-Infrastrukturen bei weitem übertreffen. Der Grund ist nach Angaben der Fachleute, dass sich Richtlinien und Protokolle in Cloud-Computing-Umgebungen direkt in der Virtualisierungsschicht implementieren lassen.

Dann werden Sicherheitsfunktionen nicht nur auf der Applikationsebene und einzelnen Infrastruktur-Elementen verankert. Und das wiederum mache es möglich, schlankere und intelligentere Sicherheitsarchitekturen als heute zu implementieren.

Rolle von Administratoren regeln

Der Leitfaden enthält unter anderem Hinweise, wie sich ein »wasserdichtes« Identity-Management in Private-Clouds aufbauen lässt. Anwender sollten beispielsweise beim Cloud-Anbieter nachfragen, wie es um die Trennung der Daten unterschiedlicher Kunden bestellt ist, welche Verschlüsselungsverfahren eingesetzt werden und ob Sicherheits-Policies beim Transfer von Virtual Machines auf einen anderen physikalischen Server mit übertragen werden.

Besonders heikel ist die Rolle der Systemadministratoren: Neben dem System- und Netzwerk-Verwalter gibt es in Cloud-Computing-Umgebungen einen Cloud-Administrator. Nutzer solcher Dienste sollten sicherstellen, dass die hauseigenen Admins die Kontrolle über die Virtual Machines des Unternehmens in der Cloud haben. Der Zugriff externer Mitarbeiter des Service-Providers muss beschränkt werden.

Fragen an Cloud-Computing-Anbieter

Die Autoren des Leitfadens empfehlen Anwendern unter anderem, mit einem Anbieter von privaten Cloud-Computing-Diensten folgende Punkte zu klären:

• Einsicht in die Log-Files verlangen, die der Service-Provider anlegt;

• Informationen darüber anfordern, welche Daten mithilfe welcher Verfahren verschlüsselt werden, und wann Verschlüsselung zum Einsatz kommt (beim Speichern oder auch Transfer von Daten);

• Daten über die Authentifizierungsmethoden anfordern. Ein wichtiges Kriterium dabei ist, ob der Anbieter diese Verfahren von einem unabhängigen Auditor regelmäßig überprüfen lässt;

• Unterstützung von Federated-Identity-Management, also Techniken, die das Management von Identity-Informationen (etwa von Mitarbeitern und Kunden) über die Grenzen von Unternehmen hinweg erlauben;

• prüfen, welche Regelungen bezüglich Haftung, Schadenersatz und Audits der Service-Anbieter im Service-Level-Agreement vorgesehen hat;

• klären, ob der Anwender die Datacenter des Anbieters in Augenschein nehmen kann, um sich selbst ein Bild von den physikalischen Sicherheitsmaßnahmen zu machen.

Noch ein Hinweis: Die Organisation Cloud Security Alliance hat ein Security-Rahmenwerk für Cloud-Services erarbeitet. Das Dokument kann über diesen Web-Link kostenlos heruntergeladen werden.