ESEconf2011 - Bosch Andy: "JavaServer Faces im Portal - Statusbestimmung"
Sicherheit aus der Cloud und für die Cloud
2. Sicherheit aus der Cloud und für die Cloud
Was ist machbar und sinnvoll?
Wolfram Funk
Senior Advisor
Experton Group AG
Wolfram.funk@experton-group.com
23.09.2010 www.experton-group.de 2
3. Agenda
Grundsätzliches zum Thema Cloud Computing & Services
Cloud-basierte Security Services
Cloud Computing aus der Outsourcing-Perspektive
Risiken und Nebenwirkungen von Cloud Services
Zehn Regeln für Cloud Security
Sicherheit für Cloud Computing aus technischer Sicht
Welches Modell passt für Ihr Unternehmen?
Fazit
23.09.2010 www.experton-group.de 3
4. Beschäftigen Sie sich derzeit aktiv mit
Cloud Computing
beziehungsweise erwägen Sie den Einsatz?
23.09.2010 www.experton-group.de 4
5. Definition von Cloud Computing (I)
“Cloud Computing beschreibt ein neues Computing-Paradigma,
nach dem IT-Ressourcen (CPU, Speicher, Applikationen,
Daten) dynamisch über das Internet bereitgestellt,
gemanaged und abgerechnet werden.”
Private Cloud Hybrid Cloud Public Cloud
23.09.2010 www.experton-group.de 5
6. Definition von Cloud Computing (II)
1) Bereitstellung nach Self-Service-Modell
Self-Service-
2) Orts- und geräteunabhängiger Zugriff über IP-Netze
Orts- IP-
3) Dynamisches Kapazitätsmanagement für hohe Skalierung
4) Abstrahierte, virtualisierte Infrastruktur für standardisierte Auslieferung
5) Nutzungsabhängige Bezahlung
Quelle: Experton Group, 2010
23.09.2010 www.experton-group.de 6
8. Vorteile von Cloud Computing
Kosten Agilität
Optimierte Auslastung von Schnellere Bereitstellung von IT-
RZ-Ressourcen (Peak vs. Grundlast) Ressourcen (CPU, Speicher, VMs)
Weniger Fixkosten Beschleunigtes „Time-to-Market“
Ausnutzung von Skaleneffekten bei Anwendungsentwicklung
CAPEX zu OPEX Mehr Flexibilität bei Auswahl von IT-
Ressourcen und Entwicklungstools
Weniger Infrastruktur-Administration
sorgt für Investitionsspielraum auf
Innovationsseite
23.09.2010 www.experton-group.de 8
10. Varianten am Beispiel Cloud-basierter Security
Services und anderen Service-Modellen
Hosting
Kunden Dienstleister Einflussfaktoren Monitoring Remote Hosting & Cloud Service
beim
und Anforderungen Management Management
Fernüberwachung Konfiguration, dediziert Shared Service
Kernbereiche -IT-Sicherheit durch Dienstleister Response beim Dienstleister beim Dienstleister
Standardisierung & Integration – Risikomanagement –
Infrastruktur-Sicherheit *Web Application
Servicequalität & Performanz – Compliance – [ ]
Firewall
Netzwerk + Anwendungen
Kosten – Geschäftsprozessunterstützung -
Endpunkt-Sicherheit *hybride AV-Modelle
Arbeitsplatz + mobile Geräte
Messaging/Web Security *Schutz vor Spam/
Malware/Web Threats
Endpunkt, Server, Gateway
Identitäts- & Zugriffs- *Web SSO
Management
Sicherheits-Management *Vulnerability
Scanning
& Betrieb
Backup & Recovery *Cloud Backup
& Recovery
Sicherung + Wiederherstellung
Governance, Risk Mgmt. *GRC SaaS
& Compliance
23.09.2010 Quelle: Experton Group, 2010 www.experton-group.de *Beispiele! 10
11. Externe Sicherheits-Dienstleistungen:
Einsatzgrad und Planungen
- DACH, 2009-10 -
hoch CONS-STRAT BC&DR: Business Continuity/ Disaster Recovery /
Wiederanlaufverfahren (Vorhalten von Infrastruktur)
Relative Einsatz-Wachstumsrate 2009-10
CONS-TECH: Technologische Beratung (ohne Implementierung)
CONS-STRAT: IT-Sicherheits-Strategie- und Prozessberatung
Wachstumsrate 2009
MAIN-SUPP: Wartung und Support
TRAIN MSS: Managed Security Services (Überwachung und/oder
BC&DR Betrieb/Konfiguration von Sicherheits-Systemen)
SI-IMPL: Implementierungs-/ Integrationsdienstleistungen
VULN-PENTEST (Entwicklung von Lösungen, Integration und Anpassung)
TRAIN: Sicherheits-Training (für IT-Personal / Anwender,
auch produktorientierte Schulungen)
MSS-CLOUD VULN-PENTEST: Schwachstellen-Audits (z.B. Penetrations-
MSS Tests, Scannen von Netzwerken)
MSS-MGMT
-------------------------------------------------------------------------------------
MSS-MONI MSS-MONI: Betrieb des Sicherheitssystems im eigenen RZ;
CONS-TECH Fernüberwachung (Monitoring) durch externen Dienstleister
MSS-HOST
MSS-MGMT: Betrieb im eigenen RZ; Remote Management
SI-IMPL (Konfigurationsänderungen oder Response) durch Dienstleister
MSS-HOST: Hosting/Management eines dedizierten Sicherheits-
systems durch den externen Dienstleister in seinem RZ /
Security Operations Center (SOC)
MSS-CLOUD: Shared MSS ohne dediziertes Sicherheitssystem,
MAIN-SUPP z.B. „in the cloud“ oder als „Software as a Service“ (SaaS).
gering hoch
Einsatzgrad Ende 2009
Quelle: Experton Group, 2010
23.09.2010 www.experton-group.de 11
12. Wer bietet Cloud-basierte Security Services?
Technologie Cloud Service Beratung Vertrieb
Technologie-Anbieter
Hardware / Software ( ) ( )
ICT-Dienstleister
inkl. Systemintegratoren
Carrier / Internet Service Provider
Dedizierter Cloud Service Provider
Berater ( )
Reseller + Distributor ( )
23.09.2010 Quelle: Experton Group, 2010 www.experton-group.de 12
13. Cloud Computing
aus der Outsourcing-Perspektive
Outsourcing-
23.09.2010 www.experton-group.de 13
14. Cloud Services & Security – Status Quo
Viele Unternehmen im deutschsprachigen Raum prüfen derzeit extern
angebotene Cloud Services.
Kontrovers diskutiert werden:
• Sicherheit von Cloud Services
• Compliance-Aspekte
• Interoperabilität von Clouds / zwischen Cloud und On-Premise-Installation
Einzelne Dienste sind bereits am Markt platziert und erprobt.
Paradoxe Situation: grundsätzlich ermöglichen es externe Cloud Services
der Mehrzahl der Kunden, die Sicherheit bestimmter Anwendungen und
Dienste auf ein höheres Niveau als bislang zu heben.
• Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden
anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine
hochsichere Infrastruktur erlauben.
Soweit die Theorie.
23.09.2010 www.experton-group.de 14
16. (Sicherheits-) Risiken bei Cloud Services
Provider ist attraktives Ziel für gezielte
(interne/externe) Angriffe Unsaubere Definition der Schnitt-
stellen zwischen Provider und
Kunde (Prozesse, Technologie)
Provider = Single Point of Failure?
Verstoss gegen lokale Geringe Erfahrung d. Kunden
Regulatorien beim Provider-Management
Derzeit frühe Marktreifephase Provider-“Lock-in“
und geringe Transparenz der
Angebote
Technologische Schwachstellen
beim Provider / Kunden
Mangelnde Auditierbarkeit der
Cloud-Infrastruktur durch Kunden
23.09.2010 www.experton-group.de 16
17. Interoperabilität verschiedener Clouds
Cloud Services verschiedener Anbieter (z.B. Geschäftsanwendungen oder
Speicherlösungen) sind nicht unbedingt kompatibel.
Problem 1: keine Interoperabilität zwischen verschiedenen Anwendungen
in der Cloud oder zwischen Cloud und lokaler Installation
(z.B.: Unified Communications, Produktivitätsanwendungen)
Problem 2: geringe Flexibilität, wenn der Cloud Service nicht mehr oder in
schlechter Qualität erbracht wird (Provider-Wechsel)
Standardisierungsbemühungen stecken noch in den Kinderschuhen:
• XML, SOAP, REST - OK -
• Open Virtualization Format (OVF) - neu
• Cloud Data Management Interface (CDMI) - neu
• Open Cloud Computing Interface (OCCI) Spezifikation – noch nicht veröffentlicht
• Open Cloud Consortium - Interoperabilitäts-Standard für grosse „Data Clouds“, noch
nicht veröffentlicht – Arbeitsgruppe
23.09.2010 www.experton-group.de 17
18. Identity Management in der Cloud –
Beispiel-Szenario für SaaS/PaaS
Projektmanagement
SMS-Auth.
LDAP Nutzer SP* 1 Directory
CRM
SP* 2 Directory
Produktivitätsanwendung
SP* 3 Directory
Wo werden die Nutzerrechte verwaltet
(Provisioning / De-Provisioning)? Unified Communications.
Muss ich mich bei jedem Cloud Service mit einem SP* 4 Directory
eigenen “Credential” (z.B. Passwort) anmelden?
Welche Authentisierungsmethoden und -
Standards unterstützt der Cloud Service
Provider?
Brauche ich für jeden Cloud Service
verschiedene Authentisierungsmethoden?
*SP = Service Provider
23.09.2010 www.experton-group.de 18
19. Identity Management in der Cloud –
Beispiel-Szenario für SaaS/PaaS – mit Federation/Web SSO
Projektmanagement
SMS-Auth. - SAML 1.0
LDAP Nutzer SP* 1 Directory
Authentisierungsmethode X
CRM
SP* 2 Directory
Produktivitätsanwendung
SP* 3 Directory
Unified Communications
IdP** SP* 4 Directory
Der Nutzer versucht, auf eine Ressource des SP zuzugreifen
Der IdP authentisiert den Nutzer und stellt dem SP ausgewählte
Attribute des Nutzers zur Verfügung
*SP = Service Provider
Der SP gewährt dem Nutzer auf Basis der Attribute Zugriff **IdP = Identity Provider
23.09.2010 www.experton-group.de 19
21. Rechtliche Aspekte bei Cloud Services
ZIELE Schutz - Verfügbarkeit - Nachvollziehbarkeit – Transparenz - Sorgfalt
KERN- Informations- Risiko- Informations- Internes Mitwirkungs-
schutz management management Kontrollsystem /Informationspflicht
BEREICHE
PROBLEMATIK Wo werden personenbezogene Daten gespeichert?
BEI CLOUD Wie wird die Vertraulichkeit und Integrität der (personen-
SERVICES
bezogenen) Informationen und Prozesse gewährleistet?
Wie steht es um die Nachvollziehbarkeit rund um Informationen
und Prozesse (Auditierbarkeit)?
LÖSUNGS- Lokale / regionale Rechenzentren der Diensteanbieter
ANSÄTZE
Technologie, z.B. Auditwerkzeuge für SaaS, Verschlüsselung
Safe Harbor / Düsseldorfer Kreis
23.09.2010 www.experton-group.de 21
22. Zehn Regeln für Cloud Security
23.09.2010 www.experton-group.de 22
23. Zehn Regeln für Cloud Security
Outsourcing-Szenario
1. Management von Informationssicherheit (IS) intern sauber aufsetzen
2. Die Verantwortung für IS und Provider-Management bleibt im Unternehmen
3. Risikoanalyse für den Cloud Service und relevante Prozesse / Informationen
4. Business Case definieren und prüfen
5. Sicherheitsarchitektur, Arbeitsteilung und Schnittstellen zum Provider klären
6. Prozesse für Reporting, Incident Management und Audits abstimmen
7. Leistungsfähigkeit des Cloud-Service-Anbieters / seiner Sublieferanten prüfen
8. Compliance-Anforderungen klären und in SLAs regeln
9. Nur messbare Kriterien in Service Levels festschreiben
10. Exit-Bedingungen im Vorfeld regeln
23.09.2010 www.experton-group.de 23
24. Sicherheit für Cloud Computing
aus technischer Sicht
23.09.2010 www.experton-group.de 24
25. Cloud Services: Technische Besonderheiten
Tendenziell erlaubt es das SaaS-Modell am ehesten, mit überschaubarem
Aufwand ein hohes Sicherheitsniveau zu erreichen.
• Schnittstelle zwischen Provider und Kunde i.d.R. sehr gut beschrieben - Zugriff
über Webbrowser, Verschlüsselung der Übertragungsstrecke durch SSL/TLS
• Zu klären: Compliance - Reporting aus der SaaS-Anwendung heraus möglich?
Wie sieht es mit Backup und e-Discovery aus? Verschlüsselung beim Provider?
PaaS oder IaaS: höhere Anforderungen an die detaillierte Festlegung der
Arbeitsteilung zwischen Kunde und Anbieter.
• Mehr Outsourcing-Erfahrung notwendig.
Externe Berater können bei der Entscheidungsfindung und der Sicherheits-
Architektur für Cloud Services hilfreich sein.
23.09.2010 www.experton-group.de 25
26. Wichtige Technologien für Cloud Security
Identitäts- und
Zugriffsmanagement Virtualisierungssicherheit
Anwendungssicherheit
Netzwerkverschlüsselung
Business Continuity &
Disaster Recovery
Datenverschlüsselung
Überwachung und GRC
Schlüsselmanagement Sicherheitsgateway
23.09.2010 www.experton-group.de 26
27. Virtualisierungssicherheit
Ausgewählte Herausforderungen und Lösungen
Herausforderungen:
•VMs verschiedener Kunden auf einem Hypervisor/HW
•„Exfiltration attacks“
•Mobilität von VMs
•Unterschiedliche Schutzbedarfe von VMs
•Schlafende VMs
•Schadsoftware
•[ ]
Lösungsansätze:
•Härten des Supervisors
•Hardware-nahe Sicherheitslösungen
•Virenschutzlösungen auf Virtualisierungsebene
•Sicherheitsgateways, IPS
•SIEM
•GRC
•[ ]
23.09.2010 www.experton-group.de 27
28. Verschlüsselung (Vertraulichkeit / Integrität)
Ausgewählte Herausforderungen und Lösungen
Herausforderungen:
•Machbarkeit: IaaS vs. PaaS vs. SaaS
•Performanz (Datenbankverschlüsselung)
•Verschlüsselungs-“Strecke“
•Schlüsselmanagement
•[ ]
Lösungsansätze:
•Möglichst lange Verschlüsselungsstrecke in den SP hinein
•Gewaltenteilung: Verschlüsselung vs. Schlüsselmanagement
•Sicheres VPN
•Performante DB-Verschlüsselung
(z.B. homomorphe Ansätze, Corisecio)
•[ ]
23.09.2010 www.experton-group.de 28
30. Welches Modell passt nun für Ihr Unternehmen?
Externer Klassisches Interne Cloud Klassisch
Cloud Service Outsourcing (z.B. Virtualisierung) „On-Premise“
Hohe Outsourcing-Kompetenz
Sicherheitsverantwortlicher/CISO vorhanden
Anforderungen
ISMS vorhanden und „gelebt“
Anforderungen an Cloud Security erfüllbar
Anforderungen an Compliance erfüllbar
Guter Business Case gegenüber „On-Premise“ vorhanden
Geringe Risikoaversität
IT-Lösungsthema ist kein Kerngeschäft
23.09.2010 www.experton-group.de 30
32. Cloud Computing allgemein
Zwischen externen Cloud Services und interner Realisierung gibt es viele
Varianten, ICT-Dienste im Unternehmen bereitzustellen.
Prüfen Sie, welche Variante für Sie am meisten geeignet ist:
• Wie werden jeweils Ihre geschäftlichen Ziele erfüllt?
• Lassen sich jeweils die Anforderungen an Informationssicherheit und die
regulatorischen Anforderungen einhalten, z.B. bei “sensiblen Daten”?
• Wie gut sind Ihre internen Ressourcen für die jeweilige Variante qualifiziert?
Basis für die Sicherheit von externen Cloud Services sind ein solides
Risiko- und Providermanagement sowie angemessene SLAs.
Nehmen Sie die Hilfe externer Berater in Anspruch, wenn es um
Sicherheits- und Compliance-Aspekte geht.
23.09.2010 www.experton-group.de 32
33. Wann machen Cloud-basierte Security
Services Sinn?
„Filetstücke“ aus Sicht der IT-Organisation beim Kunden – es ist keine
komplexe Integration mit der bestehenden Security-Infrastruktur
notwendig bzw. es gibt klare Schnittstellen, in die der Service eingeklinkt
wird.
Geringer Bedarf an Individualisierung bzw. Customizing auf Kundenseite,
sowohl auf technischer als auch auf Prozessseite.
Die Lösung beantwortet aktuelle dringliche Fragen, insbesondere das
Senken von Kosten, die Verbesserung der Servicequalität und –effizienz,
Verminderung akuter Sicherheitsrisiken.
23.09.2010 www.experton-group.de 33
34. Was müssen die Anbieter von Cloud Services
noch tun?
Die Standards für Cloud Security aktiv
mitgestalten
Dafür sorgen, dass anbieterübergreifend
ein hohes Sicherheitsniveau erreicht wird
Grosses Augenmerk auf
vertrauensbildende Massnahmen bei den
künftigen Kunden legen
Mehr Transparenz in den Cloud-Service-
Angeboten schaffen.
23.09.2010 www.experton-group.de 34