Security in der Cloud, Teil 2
Die Wolke nach innen und außen schützen
Ein entscheidendes Stichwort im Themenumfeld der Cloud Security ist Data Protection. Um sie zu gewährleisten können Unternehmen zwar mittlerweile auf geeignete Software setzen, ohne ein schlüssiges Konzept bleiben die Bemühungen allerdings meist vergebens.
Eine der wichtigsten Aussagen zu Beginn der Artikelserie über Security im Cloud Computing
(LANline 2009/10, Seite 42) war, dass die Betrachtung der Sicherheit, wie sie für traditionelle
Architekturen gefordert ist, stets um die Komponente "Datenaustausch" zwischen den
Cloud-Komponenten und den Teilnehmern (Dienstanbieter, Dienstnutzer) erweitert werden muss.
Außerdem genügt es nicht, den Service-Provider als vertrauenswürdig einzustufen. Vielmehr gilt es,
den gesamten Prozessablauf des Informationsaustauschs und soweit erforderlich bis hin zur Kapselung
des Dienstes zu kennen, und in der Lage zu sein, diesen auf Konformität hin zu überwachen.
Eine solche Überwachung erfordert in der Regel ein Security Risk Assessment, das den Leumund
des Service-Providers daraufhin überprüft, welche Sicherheitskonzepte er selbst vorweisen kann,
aber auch, auf welche externen Ressourcen er zurückgreift. Die Kontrollpunkte sind entsprechend zu
setzen, die Einhaltung zu überwachen und dies in Form von Berichten auch darzulegen.
Ein Cloud-Modell benötigt demzufolge stets ein ausgefeilteres und umfangreicheres
Sicherheitskonzept als traditionelle Architekturen. Die Frage nach der Trennung der Daten in für
die Cloud geeignete und ungeeignete lässt sich aus Geschäftssicht dementsprechend etwa so
formulieren: Handelt es sich um unternehmenskritische Daten? Oder: Handelt es sich um Daten, die
sensible Kunden- oder Personeninformationen enthalten? Ist dies der Fall, so greifen weitere
Sicherheitsrichtlinien, die den Bereich "Privacy" und Datenschutz betreffen.
Sicherheit für die Applikation in der Wolke
Ein weiterer wichtiger Punkt in den Sicherheitsüberlegungen ist der Schutz der Anwendungen
oder Service-Komponenten selbst. Inwieweit werden diese gekapselt, inwieweit durch abstrahierte
Schnittstellen – zum Beispiel Web-Services – angebunden? Spielen die ursprünglichen
Angriffsszenarien gegenüber Applikationen, etwa in Form ungewollter Backdoors durch fehlerhaftem
Code noch eine Rolle bei serviceorientierten Architekturen? Welchen Einfluss auf Service-Güte und
Verlässlichkeit haben Updates und Patches im Kontext einer Service-Cloud?
Aber auch Unbill einer anderen Kategorie ist vom Cloud-Computing – wie in herkömmlichen
Systemen – fernzuhalten: Um rechtlichen Auseinandersetzungen aus dem Wege zu gehen, ist ein
Lizenzmanagement erforderlich, das mit den Anforderungen der Cloud zurechtkommt. Ist der Betreiber
und Nutzer einer Cloud eine Entität, so ist der Verantwortliche recht einfach zu identifizieren.
Werden dabei aber separate rechtliche Entitäten angeführt, so sind strikte Service Level Agreements
(SLAs) zur rechtlichen Absicherung des Leistungsangebots und der Leistungserbringung wie auch zur
Regelung der legalen Konformität zwingend notwendig. Nicht zu vergessen ist dabei sicher auch die
Absicherung des Dienstanbieters gegenüber ungerechtfertigten Forderungen des Nutzers. Interessant
wird dieses Konstrukt bei zusammengesetzten Diensten sowohl auf rechtlicher und technischer als
auch auf finanzieller Ebene.
Aus den bisherigen Überlegungen folgt, dass ein Sicherheits-Update der IT mit dem Ziel, diese
"fit" für die Cloud zu machen, stets auch mit einer grundlegenden Revision der zugehörigen
Verwaltungsorganisation verbunden sein sollte. Die Fragen lauten: Welche Kontrollmechanismen
existieren, wie werden diese eingehalten, und wie erfolgt das Reporting dazu?
Lösungen und Strategien für Data Protection
Produkte, die Unternehmen bei der Gewährleistung von Cloud-Sicherheit unterstützen,
unterscheiden sich teilweise erheblich von den bekannten Security-Lösungen "alter Schule".
Allerdings führt die Vorstellung, allein die Installation einer Software oder eines Geräts würde
eine Umgebung bereits sicher machen, meist in die Irre. Bevor man Produkte einsetzen kann, gilt es
nämlich, eine auf das eigene Unternehmen abgestimmte Strategie zu entwickeln. Zu den wichtigsten
Aufgaben dabei zählt ohne Zweifel der Bereich Data Protection. Darunter fallen
Verschlüsselungstechniken, User-Trust-Software, Netzwerksicherheitslösungen und die
Zugangskontrolle. Ein weiterer wichtiger Punkt innerhalb der Data Protection ist das
Key-Management, das natürlich eng an die Verschlüsselungstechnik angedockt sein sollte.
Wie weit sollte Data Protection aber gehen? In diesem Zusammenhang gern zitiert ist der
Ausspruch des anerkannten Sicherheitsexperten Professor Eugene H. Spafford: "Das einzig sichere
System ist eines, das ausgeschaltet in einen Betonblock eingegossen ist, das Ganze in einem mit
Blei abgeschirmten und von bewaffneten Wachen geschützten Raum – und sogar dann habe ich meine
Zweifel." Damit hat Spafford die Lacher auf seiner Seite, tangiert jedoch gleichzeitig eine
wichtige Erkenntnis: Sicherheit ist stets ein Kompromiss, bei dem auch die Praktikabilität und die
Erfordernisse der nötigen offenen Kommunikationskanäle zu beachten sind.
Ein weiterer wichtiger Unterpunkt in diesem Zusammenhang ist Data Loss Prevention, kurz DLP,
also gewissermaßen der innere Datenschutz. Gute DLP-Lösungen arbeiten heute ohne weiteres mit den
bekannten Werkzeugen wie Firewall, Antivirussoftware und Intrusion Detection zusammen. Welchen
Bedrohungen es im Einzelnen zu begegnen gilt, zeigt Tabelle 1.
DLP-Schutzan der richtigen Stelle
Die IBM-Experten raten zunächst, sich Gedanken darüber zu machen, an welcher Stelle der
DLP-Schutz greifen soll. Denkbar sind zum Beispiel das Netzwerk, dessen Endpunkte, aber auch eine
Kombination aus beiden.
Zu diesen Überlegungen gehört auch eine Bestandsaufnahme, wo denn die sensiblen Daten
tatsächlich gespeichert sind – ein Wissen, das in vielen Unternehmen fehlt. Insgesamt empfehlen die
Fachleute ein vierstufiges Vorgehen aus
Risiko-Assessment,
Definition von Richtlinien und Regeln,
Maßnahmen zur Durchsetzung der Regeln und
Fine-Tuning.
In einem ersten Schritt gilt es danach, das Risiko möglichst exakt abzuschätzen. Innerhalb
dieses Risk Assessments sind die Geschäfts- und IT-Erfordernisse sowie die Compliance-Bedingungen
zu definieren. Dagegen abzuwägen sind die Forderungen nach dem nötigen Datenaustausch. Außerdem
muss eine Definition der sensiblen Daten erfolgen. Schritt 2 besteht im Wesentlichen aus dem
Aufstellen von Richtlinien. Die zu beantwortenden Schlüsselfragen lauten:
Welche Daten können das interne Netz verlassen?
Unter welchen Bedingungen können solche Daten das Netz verlassen?
Welche Personen oder Gruppen können Daten aus dem Netz heraus versenden?
Wen können die Daten erreichen?
Welche Protokolle und Ports kommen dafür in Frage?
Gibt es besondere Anwendungen oder Netz-Traffic, über die Daten nicht aus dem Netz gelangen
sollen?
Im dritten Schritt geht es um die Durchsetzung und Überwachung der aufgestellten Regeln. Das
einfache Sammeln von Log-Daten allein bringt jedoch meist noch keinen Nutzen. Vielmehr gilt es, die
gewonnenen Informationen auch angemessen zu interpretieren und dem Sollzustand gegenüber zu
stellen. Bisweilen entlarvt diese Vorgehensweise signifikante Unterschiede zwischen dem, was
gewünscht ist, und dem, was tatsächlich abläuft. Auf diese Weise mündet das Tracking gewissermaßen
in einer Feedback-Schleife, mit deren Hilfe sich die Richtlinien exakt an die Erfordernisse, aber
auch an das Machbare anpassen lassen. Dies kann mit geeigneter Software auch automatisiert werden,
zum Beispiel indem die Generierung von Reports angestoßen wird, wenn die Übertragung bestimmter
Datentypen außerhalb der definierten Richtwerte liegt.
Zum letzten Schritt, dem Fine-Tuning, können mehrere Maßnahmen gehören. Im Bedarfsfall kann
es nötig sein, die Policies des eigenen Unternehmens denen eines neuen Geschäftspartners
anzupassen, was womöglich schärfere Regeln nach sich zieht. Hilfreich kann es vielfach auch sein,
erfahrene externe Berater hinzu zu ziehen, etwa um dem Phänomen der Betriebsblindheit
entgegenzuwirken. Periodische Vulnerability-Scans sind ebenfalls empfehlenswert, unter anderem um
sicherzustellen, dass alle Security-Devices auf einem aktuellen Stand sind. Last, but not least:
Zum Fine-Tuning zählt auch die Schulung der Endanwender und entsprechende Awareness-Maßnahmen.
Wie vielfältig sich die Bedrohungslage darstellt, lässt sich unter anderem daran ablesen, auf
welchem Wege Informationen ungewollt aus einem Unternehmen nach außen dringen können. Beispiel sind
bloggende Mitarbeiter, die Geheimnisse verraten oder der unkontrollierte Einsatz von
Instant-Messaging-Software.
Sicherheit im Umfeld von Cloud-Computing sollte nicht als völlig neues Thema betrachtet
werden, sondern eher als Weiterentwicklung der bekannten Architekturen und Konzepte. Es existieren
mittlerweile hoch entwickelte Produkte, die eine Erweiterung der aus traditionellen Architekturen
stammenden Sicherheitsansätzen auf die Cloud vereinfachen und unter ein gemeinsames Dach stellen.
Ein Cloud-gerechtes Sicherheitsbewusstsein der IT sollte stets auch die Revisionsfähigkeit der
gesamten IT-Infrastruktur und des IT-Managements umfassen können. Dies kann zwar sehr aufwändig
ausfallen, der Nachweis der Regularienkonformität wird jedoch immer zwingender. Daher profitieren
Unternehmen anschließend nicht nur in puncto Sicherheit von den neu gewonnenen Einsichten.
Beispiel
Das Beispiel der Werbeagentur (siehe Kasten) zeigt, dass mit dem Wegfall einer normativen
Kraft einer zentralen IT, datenzentrische Vorgehensweisen erforderlich sind, die auf Grundlage
einer föderalen und vertrauenswürdigen Identifikation der Mitarbeiter fußt. Entsprechende
vertragliche Grundlagen müssen mit den Cloud-Anbietern auf der Basis von Security-SLAs definiert
beziehungsweise normiert werden. Ein Zertifizierungsstandard im Sinne der ISO 27001ff ist dabei um
Klauseln zur Sicherstellung der Vertraulichkeit anvertrauten Daten zu ergänzen. Ein entsprechendes
ganzheitliches Reporting der Service-Qualität muss hierfür um Merkmale der Vertraulichkeit und
Compliance erweitert werden. Diesen Systemen fällt künftig eine wachsende Bedeutung zu, da sie über
die Audit-Fähigkeit eines Unternehmens entscheiden. Für den Bezug von Cloud Services ist damit die
Garantie von Vertraulichkeit und Compliance durch den Cloud-Anbieter essenziell und lässt sich
nicht durch andere Controls (zum Beispiel reines Auditing) kompensieren.
Produkte für die Datensicherheit in der Cloud
IBM Internet Security Systems (ISS) Data Security Services for Network Data Loss Prevention:
Anforderungs- und Planungs-Workshops für den Schutz von Daten, Assessment für Data Leakage, Policy
Design, Implementierung einer Lösungsarchitektur
Fidelis Extrusion Prevention System (Fidelis XPS), IBM-Parnter für Data Leakage Prevention
Internet Security Systems (ISS) Proventia Network Intrusion Prevention System (IPS) ergänzen
die Netzwerk-DLP-Technik
Infos: www.ibm.de
Beispielszenario einer Werbeagentur
In einer großen Werbeagentur arbeiten die Mitarbeiter in hohem Maße eigenständig und setzen
dabei ihre eigenen Laptops ein. Im Backend gibt es nur ein zentrales Kundensystem auf SAP-Basis und
Systeme zur Vorbereitung der Druckstufen oder anderer Medienformate für die Kundenproduktion. Die
interne IT kümmert sich lediglich um diese Kernsysteme. Die Laptops haben kein einheitliches
Betriebssystem oder Desktop, sind jedoch mit einem VPN-Client (über Mehrfaktorauthentifizierung)
und einer Reihe von Open Source Tools zur Verschlüsselung sowie zur Sicherung des Geräts (Firewall,
Antivirus, etc.) ausgerüstet. Darüber hinaus wird allen Mitarbeitern eine "Trusted ID" auf
Smartcard-Basis mit Flicker-Code-Technik zur Verfügung gestellt, die für den Zugriff auf alle
Firmendaten erforderlich ist. Ein physischer Zugang zum Firmennetzwerk durch Außendienstmitarbeiter
läuft intern auch über eine VPN-Session. Entsprechende Kontrollen im Netzwerk schließen alle außer
den explizit autorisierten Zugängen durch fest installierte Workstations aus.
Auf dieser Basis nutzt der Außendienst verschiedene Dienste "aus der Cloud". Dazu gehören
- Sichere Web-Mail und Kalender, gehostet von Anbieter A
- sicherer Speicherplatz für den Austausch von verschlüsselten Daten mit hohen Volumen
(HD-Video, hochauflösende Fotos, etc.) sowie - sicherer Backup der Nettodaten über verschlüsselten Zugang des Anbieters B.
Für die Nutzung der Cloud-Services gibt es feste Regeln, die sich an der Vertraulichkeit der
übermittelten Daten festmachen: Vertrauliche Information dürfen nur verschlüsselt übertragen und in
Cloud-Services verarbeitet werden. Die Cloud-Anbieter stellen entweder Verschlüsselungsdienste auf
der Basis der Trusted ID zur Verfügung (wodurch eine Verschlüsselung in der Cloud möglich ist),
oder Informationen dürfen nur auf Basis vorgegebener Verschlüsselungsparameter dort abgelegt
werden. Die Grundregel ist, dass Firmeninformationen in der Cloud NIE unverschlüsselt zu speichern
sind. Gleiches gilt für Backups und E-Mails. Vom E-Mail-Hoster wurde die Garantie von Security SLAs
gefordert, die (neben der üblichen Verfügbarkeits SLAs) eine lückenlose Verschlüsselung von E-Mail
und der aktiven E-Mail-Client-Session ermöglichen. Sender und Empfänger haben über ihre
persönlichen Trusted-ID -Zugänge jederzeit die volle Kontrolle darüber, wer welche Informationen
einsehen kann (Mandatory Access Control durch den Autor). Die Cloud-Anbieter sind nach einer
Sicherheitszertifizierung gemäß ISO 27001/2/3 sowie einer mandantenorientierter
Sicherheitsinfrastruktur ausgewählt. Eine Erfüllung von Compliance-Anforderungen der Agentur sind
vom Cloud-Anbieter mitzutragen und vertraglich zuzusichern. Verträge laufen auf jährlicher Basis
mit Verlängerungsoption und einem Malus/Bonus-System für die Einhaltung der geforderten
Sicherheits- und Verfügbarkeitsniveaus.
Frank Fischer ist Leader Security bei IBM.
Lesen Sie mehr zum Thema
