Die Entscheidung ist gefallen, Ihre Organisation „geht in die Cloud“. Doch an welche Aspekte muss eine Organisation denken, wenn sie Cloud-Dienste in Anspruch nehmen möchte? Wir haben dafür ein Competence Center geschaffen, dass sich auch genau mit dieser Frage beschäftigt!
Shared Responsibility: Wofür Ihr Unternehmen in der Verantwortung bleibt (1)
Zunächst einmal ist es eminent wichtig zu verstehen, was ein Cloud-Service und damit ein Cloud Service Provider (CSP) überhaupt leistet. Was ist das Produkt und wie kann es mir helfen, meine Herausforderungen zu meistern? Gleich als nächstes ist es dann wichtig zu verstehen, dass die Migration in die Cloud nicht per se bedeutet, dass man Verantwortung (also Pflichten) abgibt.
Nach dem National Institute of Standards and Technology (NIST) sieht die Definition von Cloud Computing drei Servicemodelle vor: Ich kann die Hardware, welche ich althergebracht in einem Rechenzentrum aufbauen würde, als Service einkaufen; also die gesamte Infrastruktur „as a Service“ (kurz: IaaS). Auch möglich ist es, Plattformen „as a Service“ einzukaufen (kurz: PaaS). Der CSP stellt mir nicht nur Hardware, sondern kümmert sich auch um die Bereitstellung und Wartung des Betriebssystems. In einer weiteren Abstraktionsstufe kann ich Software „as a Service“ beziehen; also eine konkrete Anwendung wie bspw. MS Excel. Hier muss ich mich weder um die Aktualität des Betriebssystems noch der eigentlichen Anwendung kümmern. Darüber hinaus gibt es schier endlose Varianten der drei Servicemodelle, wozu u.a. gehören: Function as a Service (FaaS), Backend as a Service oder Everything as a Service (XaaS). Grundsätzlich ist es so, dass egal welches Service-Modell Sie wählen, die Verantwortung für die eigenen und Ihnen anvertrauten Daten (im Rahmen einer Auftragsverarbeitung) bei Ihnen bleibt. Sie lagern lediglich mehr oder weniger Aufwände aus, um dieser Verantwortung gerecht zu werden. Jeder CSP hat ein mehr oder weniger individuelles Shared-Responsibility-Modell. Grundlegend sieht die „geteilte Verantwortung“ jedoch wie folgt aus: In allen Service-Modellen bleibt die Verantwortung für das Datacenter, das (physische) Netzwerk und die Hosts (also physische Server) beim Cloud Service Provider. Fällt etwas aus, kümmert sich der CSP um Ersatz. Doch Achtung: um den Ersatz der Hardware, nicht um die Wiederherstellung der Daten! Im IaaS-Modell sind Sie verantwortlich für die Sicherheit aller Komponenten, die in der Infrastruktur installiert werden sollen, einschließlich des Betriebssystems, der Anwendung, der Middleware, Container, des Netzwerks, des Workloads, der Daten und des Codes. So sind Sie auch für den Schutz der Verfügbarkeit Ihrer Daten durch das Umsetzen einer entsprechenden Backup-Strategie verantwortlich. Jeder CSP bietet in der Regel für den Verantwortungsbereich Ihrer IT-Abteilung unzählige Services an, welche bspw. bei der Verschlüsselung Ihrer Daten gem. Ihres Kryptographiekonzepts helfen. Das geht aber nicht unmittelbar einher mit einer Verantwortungsübertragung. Eine sichere Konfiguration aller von Ihnen verwendeten Cloud-Services bleibt ständig in Ihrer Verantwortung. Ihr Informationssicherheitsmanagementsystem sollte diese geteilte Verantwortung berücksichtigen.
Ein sicherlich hilfreicher Anlaufpunkt ist der Kriterienkatalog Cloud Computing C5 des Bundesamts für Sicherheit in der Informationstechnik. Er liefert Merkmale anhand derer sich eine vertrauensvolle und sichere Zusammenarbeit mit einem Cloud Service Provider einrichten bzw. bewerten lassen. Das CC Digital Security hat diesen Katalog auch als Grundlage für unsere Cloud-Service Entwicklung (vor allem SaaS) analysiert und ins Unternehmen überführt. So stellen wir sicher, dass Anwendungen, welche wir als Software as a Service bereitstellen oder für den Betrieb als SaaS vorbereiten, diesen Merkmalen entsprechen. Unseren Secure Software Development Lifecycle haben wir angepasst und auch auf die Erstellung Cloud-fähiger bzw. Cloud-nativer Anwendungen
IT-(Security-) Governance: Auch in der Cloud braucht es Leitlinien (2)
Jede Organisation setzt Rahmenbedingungen (Organisationsstrukturen, Prozesse, Richtlinien) für die interne IT, um diese darüber zu befähigen, die gestellten Anforderungen weitestgehend eigenverantwortlich umzusetzen. Die Anwendbarkeit bzw. die Tragfähigkeit der Rahmenbedingungen kann je nach gewähltem CSP und Servicemodell mehr oder weniger stark beeinträchtigt sein. Die IT-Governance (also die Rahmenbedingungen) müssen zwingend auf die eigene Cloud-Strategie (auch ggf. hybride Cloudstrategie) angepasst werden. Allein das Business Continuity Management (kurz: BCM) und das Notfallhandbuch müssen zwingend eine Adaption an die nun neuen Gegebenheiten erfahren. SLAs mit den CSPs müssen mit denen der eigenen IT-Abteilung abgestimmt werden. Notfallprozeduren müssen ggf. vorsehen, dass es nun weitere Beteiligte im Notfall geben kann.
Auch die Access-Control-Policy als Teil der IT-Governance benötigt bei der Migration in die Cloud eine Revision. Das Identity- & Access-Management gilt bei Cloud-Infrastrukturen als einer der wichtigsten Bausteine für die sichere Anwendung. Das liegt in der „Natur der Sache“ begründet: ein Cloudbetrieb bedeutet in aller Regel eine geteilte Nutzung von Ressourcen. Auf diese Ressourcen kann ich von der ganzen Welt aus zugreifen. Ich muss nicht mehr zwingend im Netzwerk des eigenen Unternehmens sein. Dazu kommt noch, dass Organisationen, welche in die Cloud migrieren immer komplexere IT-Infrastrukturen aufbauen, gerade um maximale Effizienz aus der Nutzung der Cloud-Infrastruktur zu gewinnen. Es ist nicht mehr eine Firewall-Einstellung, welche meine Infrastruktur schützt, es sind viele unterschiedliche Identitäten, vieler unterschiedlicher Nutzer und Dienste, für die Zugangs- und Zugriffsregeln definiert werden müssen.
Unbestritten sind die Bedrohungen bei einer Cloud basierten Infrastruktur nicht deckungsgleich mit jenen einer on-premise Infrastruktur. Es ändert sich die Angriffsoberfläche, die Angriffsszenarien, die Akteure, aber auch die Möglichkeiten. Dementsprechend muss die Organisation auch das Schwachstellen- und Bedrohungsmanagement anpassen. Für welche Aspekte lassen sich Services der Cloud Service Provider verwenden? Für welche Aspekte werden eigene oder Drittanbieter-Lösungen benötigt? Wir beschäftigen uns hier mit einem effektiven Service der Bedrohungsidentifikation und -analyse, welcher auf die Kunden unserer Geschäftsfelder zugeschnitten ist. Je nach Grad der Integration soll sich der Service nicht nur auf die Detektion, sondern auch auf die Reaktion ausrichten.
Des Weiteren sind die Vorgaben hinsichtlich Logging/Monitoring/Alerting, Kryptographie und Compliance in den entsprechenden Leitlinien anzupassen.
Rechtssicher in der Cloud – Welche Verpflichtungen haben Sie (3)
Mit der Verlagerung der eigenen Anwendungen in die Cloud wird das Setup der IT-Infrastruktur des eigenen Unternehmens maßgeblich geändert. Während sich bei der On-Premise-Lösung die Daten nahezu anfassen lassen, ist es bei einer Cloud-Lösung schwer, jederzeit (also sowohl in der Datenbank als auch während der Netzübertragung und eigentlich Verarbeitung) nachzuvollziehen, wo sie sich befinden. Gerade vor diesem Hintergrund gilt es, regulatorische und rechtliche Vorgaben zu kennen, um auszuschließen, dass diese Ihre oft wirtschaftlich getriebene Entscheidung in die Cloud zu gehen verhindern. Wir haben in unserem Competence Center Digital Security allein für unsere Kundensegmente mehr als 30 Referenzen identifiziert, welche Relevanz für den Wandel der eigenen Organisation hin zu einer Cloud-Infrastruktur haben und somit auf einen etwaigen Einsatz wirken. Wichtig ist hierbei auch, dass nicht nur Ihre Organisation rechtliche Verpflichtungen hat, sondern eben auch Ihre Partner wie bspw. der Cloud Service Provider. Hier gilt es sicherzustellen, dass diese Obligationen nicht im Konflikt miteinander stehen. Einen genaueren Blick auf diese Herausforderung finden Sie in unserem letzten Insight-Beitrag Public Cloud, Private Cloud, keine Cloud – Wohin geht’s im öffentlichen Sektor. Mit dem neuen Angemessenheitsbeschluss der EU gibt es hier nun eine leicht verbesserte Rechtssicherheit.
Wichtig ist mir, dass Cloud und Security nicht gegeneinander wirken. Anforderungen an die Sicherheit von Informationstechnik können in modernen Cloud-Infrastrukturen mindestens genauso gut, wie in konventionellen on-premise-Infrastrukturen umgesetzt werden, vielleicht sogar effektiver und effizienter.
Tobias Müller // Competence Center Lead Digital Security // Westernacher Solutions
Ihr Ansprechpartner
Tobias Müller
Competence Center Lead Digital Security
