Die Zahl an Sicherheits- und Management-Lösungen für Cloud-Computing-Umgebungen ist in den vergangenen Monaten fast explosionsartig angestiegen. Etablierte IT-Sicherheitsfirmen sind unter den Anbietern ebenso zu finden wie Hersteller von System-Management-Lösungen wie CA, BMC, Oracle, IBM und Hewlett-Packard. Auch Anbieter von Hypervisors wie VMware, Microsoft und Citrix-Xen oder von Software für Identity- und Access-Management (IAM) haben entsprechende Lösungen im Programm. Es würde diesen Beitrag sprengen, alle diese Tools aufzuführen. Deshalb haben wir einige kostenlose Werkzeuge zusammengestellt, die Nutzer von Cloud-Diensten einsetzen können. Sie können vor allem dann gute Dienste leisten, wenn die Migration von Anwendungen und Daten in eine Cloud-Umgebung ansteht oder eine Private-Cloud-Umgebung getestet werden soll.
- Cloud-Security-Tools
Um die Sicherheit in Cloud-Umgebungen zu kontrollieren und zu überwachen, gibt es etliche Werkzeuge zum Nulltarif, so dass Anwender nicht unbedingt zu kostspieligen Suiten greifen müssen. - Date Leak Prevention: MyDLP und OpenDLP
Um herauszufinden, wo unternehmenskritische Daten lagern und auf welchen Wegen sie im Corporate Network transportiert werden, bieten sich Programme wie "MyDLP" (www.mydlp.com) und "OpenDLP" an. Beides sind Open-Source-Programme für Data Loss Prevention (DLP). Beide Tools verhindern, dass sensible Informationen per E-Mail, als Kopien auf USB-Sticks oder in Form von Ausdrucken das Haus verlassen. - Date Leak Prevention: MyDLP und OpenDLP
Zudem helfen die Programme, den Speicherort sensibler Daten ausfindig zu machen und eine Konsolidierung vorzunehmen. Das etwas komfortabler zu benutzende Programm ist MyDLP. Es führt den Anwender Schritt für Schritt durch den Installations- und Konfigurationsvorgang. Dagegen merkt man OpenDLP seine Vergangenheit in der "Kommandozeilen-Ecke" an. - GRC-Stack der Cloud Security Alliance
Für Checklisten, die unter anderem bei der Auswahl des richtigen Cloud-Service-Providers und der Implementierung von Sicherheitsvorkehrungen in Cloud-Umgebungen helfen, hat die Cloud Security Alliance (CSA) den "GRC Stack" erarbeitet. Die Unterlagen sind ausschließlich in Englisch verfügbar und zudem stark auf Compliance-Vorgaben ausgelegt, die in den USA gelten. Dennoch können sie als Basis für Sicherheits-Checks im Rahmen von Cloud-Computing-Projekten herangezogen werden. - GRC-Stack der Cloud Security Alliance
Ebenfalls von der CSA stammt die "Cloud Controls Matrix" (CCM). Anhand dieser Checkliste können Interessenten die Sicherheitsvorkehrungen eines Cloud-Service-Providers unter die Lupe nehmen. Die Grundlage bilden Sicherheits- und Compliance-Standards wie ISO 27001/27002, ISACA, COBIT, PCI, NIST, Jericho Forum und NERC CIP. Die aktuelle Version 1.3 der CCM vom September 2012 steht auf der Website der Organisation kos-tenlos zum Herunterladen bereit. - Zwei-Faktor-Authentifizierung mit WiKID
Wie bereits angesprochen, spielt die Authentifizierung von Nutzern im Rahmen von Cloud Computing eine zentrale Rolle, auch bei Cloud-Migrationsprojekten. Unternehmen, die noch keine Erfahrung mit einer Zwei-Faktor-Authentifizierung gesammelt haben, können dies mit dem Open-Source-Produkt "WiKID" nachholen. Die Software lässt sich unter anderem einsetzen, um Intranets abzuschotten, deren Nutzer Zugang zu den Ressourcen eines externen Cloud-Computing-Service-Providers haben. - Microsoft Cloud Security Readiness Tool
Kostenlos verfügbar ist auch das "Cloud Security Readiness Tool" von Microsoft. Es soll vor allem kleine und mittelständische Betriebe ansprechen. Der Nutzer muss Fragen beantworten, beispielsweise ob Regeln für den Zugriff auf Daten bestehen, welche Sicherheits-Policies gelten und ob grundlegende Sicherungen wie etwa ein Malware-Schutz und Firewalls oder eine Zutrittskontrolle zum Rechenzentrum vorhanden sind. Die Resultate fasst das Tool inklusive Bewertung und Empfehlungen in einem etwa 60-seitigen Bericht zusammen. - Centrify Cloud Tools
Die amerikanische Firma Centrify hat in Form der "Centrify Cloud Tools" eine Sammlung von Programmen und Scripts zusammengestellt. Mit ihnen können Systemverwalter eine Authentifizierung und Zugriffskontrolle für Linux-Server einrichten, die auf den Plattformen von Cloud-Service-Providern wie Amazon EC2 oder der Cloud-Management-Plattform von Rightscale aufgesetzt wurden. - Spiceworks spürt heimlich genutzte Cloud-Services auf
Ebenfalls gratis erhältlich sind die "Cloud Management Tools" von Spiceworks. Das Unternehmen hat sich auf IT-System-Management-Software spezialisiert. Dementsprechend lassen sich mit den Cloud-Management- Tools On- und Off-Premise-Cloud-Services verwalten. Dies ist auch unter dem Sicherheitsaspekt von Vorteil, denn mit der Software können Administratoren Cloud-Services aufspüren, die einzelne User oder Unternehmensbereiche ohne Wissen der IT-Abteilung verwenden - Stichwort "Rogue Cloud Services". Die Cloud Management Tools enthalten Monitoring-Funktionen, mit denen der Nutzer den Status der Systeme in der Cloud überwachen kann, etwa von Hosted Servern. - VMware- und Hyper-V-Hosts überwachen
Eher am Rande mit Cloud-Security zu tun haben Tools, mit denen sich der Status von Virtual Hosts überwachen lässt. Zwei Anbieter stellen kostenlose Versionen ihrer Monitoring-Werkzeuge zur Verfügung: Veeam mit der "Veeam One Free Edition" ... - VMware- und Hyper-V-Hosts überwachen
und Solarwinds mit "VM Monitor". Beide Tools überwachen den Status der VMware- und Microsoft-Hyper-V-HostSysteme.
Date Leak Prevention: MyDLP und OpenDLP
Um herauszufinden, wo unternehmenskritische Daten lagern und auf welchen Wegen sie im Corporate Network transportiert werden, bieten sich Programme wie "MyDLP" und "OpenDLP" an. Beides sind Open-Source-Programme für Data Loss Prevention (DLP). Beide Tools verhindern, dass sensible Informationen per E-Mail, als Kopien auf USB-Sticks oder in Form von Ausdrucken das Haus verlassen. Zudem helfen die Programme, den Speicherort sensibler Daten ausfindig zu machen und eine Konsolidierung vorzunehmen. Das etwas komfortabler zu benutzende Programm ist MyDLP. Es führt den Anwender Schritt für Schritt durch den Installations- und Konfigurationsvorgang. Dagegen merkt man OpenDLP seine Vergangenheit in der "Kommandozeilen-Ecke" an.
GRC-Stack der Cloud Security Alliance
Für Checklisten, die unter anderem bei der Auswahl des richtigen Cloud-Service-Providers und der Implementierung von Sicherheitsvorkehrungen in Cloud-Umgebungen helfen, hat die Cloud Security Alliance (CSA) den "GRC Stack" erarbeitet. Die Unterlagen sind ausschließlich in Englisch verfügbar und zudem stark auf Compliance-Vorgaben ausgelegt, die in den USA gelten. Dennoch können sie als Basis für Sicherheits-Checks im Rahmen von Cloud-Computing-Projekten herangezogen werden. Ebenfalls von der CSA stammt die "Cloud Controls Matrix" (CCM). Anhand dieser Checkliste können Interessenten die Sicherheitsvorkehrungen eines Cloud-Service-Providers unter die Lupe nehmen. Die Grundlage bilden Sicherheits- und Compliance-Standards wie ISO 27001/27002, ISACA, COBIT, PCI, NIST, Jericho Forum und NERC CIP. Die aktuelle Version 1.3 der CCM vom September 2012 steht auf der Website der Organisation kos-tenlos zum Herunterladen bereit.
Zwei-Faktor-Authentifizierung mit WiKID
Wie bereits angesprochen, spielt die Authentifizierung von Nutzern im Rahmen von Cloud Computing eine zentrale Rolle, auch bei Cloud-Migrationsprojekten. Unternehmen, die noch keine Erfahrung mit einer Zwei-Faktor-Authentifizierung gesammelt haben, können dies mit dem Open-Source-Produkt "WiKID" nachholen. Die Software lässt sich unter anderem einsetzen, um Intranets abzuschotten, deren Nutzer Zugang zu den Ressourcen eines externen Cloud-Computing-Service-Providers haben.
Microsoft Cloud Security Readiness Tool
Kostenlos verfügbar ist auch das "Cloud Security Readiness Tool" von Microsoft. Es soll vor allem kleine und mittelständische Betriebe ansprechen. Der Nutzer muss Fragen beantworten, beispielsweise ob Regeln für den Zugriff auf Daten bestehen, welche Sicherheits-Policies gelten und ob grundlegende Sicherungen wie etwa ein Malware-Schutz und Firewalls oder eine Zutrittskontrolle zum Rechenzentrum vorhanden sind. Die Resultate fasst das Tool inklusive Bewertung und Empfehlungen in einem etwa 60-seitigen Bericht zusammen.
Centrify Cloud Tools
Die amerikanische Firma Centrify hat in Form der "Centrify Cloud Tools" eine Sammlung von Programmen und Scripts zusammengestellt. Mit ihnen können Systemverwalter eine Authentifizierung und Zugriffskontrolle für Linux-Server einrichten, die auf den Plattformen von Cloud-Service-Providern wie Amazon EC2 oder der Cloud-Management-Plattform von Rightscale aufgesetzt wurden.
Spiceworks spürt heimlich genutzte Cloud-Services auf
Ebenfalls gratis erhältlich sind die "Cloud Management Tools" von Spiceworks. Das Unternehmen hat sich auf IT-System-Management-Software spezialisiert. Dementsprechend lassen sich mit den Cloud-Management- Tools On- und Off-Premise-Cloud-Services verwalten. Dies ist auch unter dem Sicherheitsaspekt von Vorteil, denn mit der Software können Administratoren Cloud-Services aufspüren, die einzelne User oder Unternehmensbereiche ohne Wissen der IT-Abteilung verwenden - Stichwort "Rogue Cloud Services". Die Cloud Management Tools enthalten Monitoring-Funktionen, mit denen der Nutzer den Status der Systeme in der Cloud überwachen kann, etwa von Hosted Servern.
VMware- und Hyper-V-Hosts überwachen
Eher am Rande mit Cloud-Security zu tun haben Tools, mit denen sich der Status von Virtual Hosts überwachen lässt. Zwei Anbieter stellen kostenlose Versionen ihrer Monitoring-Werkzeuge zur Verfügung: Veeam mit der "Veeam One Free Edition" und Solarwinds mit "VM Monitor". Beide Tools überwachen den Status der VMware- und Microsoft-Hyper-V-HostSysteme.
Der Intel Cloud Finder sucht nach einem Cloud-Service-Provider
Intels "Cloud Finder" ist ein Suchwerkzeug, mit dem Unternehmen einen passenden Cloud-Service-Provider identifizieren können. Die Basis bildet ein umfangreicher Fragenkatalog mit Auswahlkriterien, anhand dessen der Interessent angeben kann, was er braucht, etwa in Bezug auf Sicherheitsmerkmale. Als Resultat erhält er eine Aufstellung der Provider, die diesen Kriterien entsprechen. Ein Nachteil des Cloud Finder: Bislang stehen dort nur 31 Provider zur Auswahl. Bei den meisten handelt es sich um amerikanische Firmen. (hi)