Die Skepsis, die viele Anwender Cloud-Computing-Diensten entgegenbringen, scheint zu schwinden. So stellt die IT-Sicherheitsfirma Symantec in ihrem "Digital Information Index" fest, dass deutsche Firmen mittlerweile 23 Prozent ihrer Geschäftsinformationen in Cloud-Umgebungen speichern. Zum Vergleich: In den USA lagern nur 16 Prozent der Daten in einer Cloud, in China dagegen 39 Prozent. Allerdings differenziert die Studie nicht zwischen Private-, Public- und Hybrid-Cloud-Umgebungen.
- Cloud-Security
Sicherheit ist einer der Schlüsselfaktoren, der über die Akzeptanz von Cloud-Diensten entscheidet. Doch um eine Cloud-Umgebung wirkungsvoll zu schützen, - Angriffsziele von Cyber-Kriminellen
Laut einer Studie von Alert Logic sind vor allem Web-Anwendungen in Cloud- Computing-Umgebungen das Ziel von Angreifern. Mit Brute-Force-Attacken versuchen Cyber-Kriminelle, Passwörter von Anwendern und Systemverwaltern zu knacken. - Angriffspunkte im Netz
Unternehmen sollten mit den Angriffen von Cyber-Kriminellen an den unterschiedlichsten Stellen rechnen und nicht nur die Cloud im Auge haben. - Risikozuwachs in der Cloud
Den Gewinn an Flexibilität und Agilität, der mit Public Clouds verbunden ist, erkaufen sich Nutzer mit geringeren Kontrollmöglichkeiten. - Sicherheitsfunktionen in der Cloud
Was IaaS leisten sollte - Sicherheitsfunktionen in der Cloud
Was PaaS leisten sollte - Sicherheitsfunktionen in der Cloud
Was SaaS leisten sollte - Sicherheit in der Public Cloud
IT-Sicherheitsfirmen wie McAfee, Symantec, Trend Micro und Safenet bringen Komplettpakete für Cloud-Security auf den Markt. Alle Lösungen decken jedoch nur einen Teil der Anforderungen ab und müssen durch weitere Produkte ergänzt werden.
Kriminelle entdecken die Cloud als lohnendes Ziel
Angesichts dieses Trends ist es nicht verwunderlich, dass Cyber-Kriminelle Cloud-Infrastrukturen als lohnendes Ziel ausgemacht haben. Das belegt eine Studie der IT-Sicherheitsfirma Alert Logic vom Herbst 2012. Sie befragte Anbieter von Public-Cloud-Diensten und Nutzer von Private Clouds zum Thema Cloud-Sicherheit. Ein zentrales Ergebnis: Angriffe auf Cloud-Computing-Dienste haben in den vergangenen zwölf Monaten stark zugenommen. Allerdings sind zielgerichtete Attacken auf einzelne Unternehmen und öffentliche Einrichtungen laut der Analyse von Alert Logic selten zu beobachten. Es dominieren breit gestreute Angriffe, wie sie auch beim Versenden von Spam-E-Mails zum Einsatz kommen.
In Deutschland registrierten nach einer Untersuchung, die der IT-Security-Spezialist Trend Micro im Sommer 2012 veröffentlicht hat, an die 34 Prozent der Unternehmen innerhalb der vergangenen zwölf Monate zumindest ein sicherheitsrelevantes Vorkommnis bei Cloud-Diensten. Zu denken gibt, dass etwa 40 Prozent der befragten Unternehmen der Auffassung sind, dass die derzeit vorhandenen Cloud-Angebote die seitens der Kunden gewünschten Sicherheitsanforderungen nicht erfüllen. Das Misstrauen ist nicht unbegründet, wie eine andere Studie zeigt.
Cyber-Kriminelle attackieren bevorzugt Private Clouds
Die Study von Alert Logic widerlegt, dass Cloud-Umgebungen, die Unternehmen in Eigenregie einrichten und betreiben, sicherer sind als die von Cloud-Service-Providern. Demnach werden Private Clouds deutlich häufiger angegriffen als die Infrastrukturen von Providern. Besonders beliebt seien Schwachstellen-Scans, Angriffe auf Web-Anwendungen mittels SQL Injection und "Brute-Force"-Attacken, um Passwörter von Usern und Systemverwaltern in Erfahrung zu bringen.
Ein Drittel der Angriffe auf Cloud-Infrastrukturen wird von Rechnern in den USA aus gestartet. Für 16 Prozent sind Systeme in China verantwortlich. Eine unrühmliche Rolle spielt Deutschland: Mit 3,7 Prozent aller "Incidents" rangiert die Bundesrepublik auf Platz drei, noch vor als Hacker-Hochburgen eingestuften Ländern wie Korea (drei Prozent), Russland (2,9 Prozent) und Brasilien (2,6 Prozent).
Warum gerade Cloud-Umgebungen von Unternehmen unter Beschuss sind, geht aus der Studie von Alert Logic nicht hervor. Ein Grund könnte sein, dass Cyber-Kriminelle der Auffassung sind, dass Cloud-Computing-Data-Center von Service-Providern besser abgesichert sind als die Unternehmensnetze.
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da - Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers. - Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software. - Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Was zu einer umfassenden Cloud-Security-Strategie gehört
Die Kernpunkte eines Cloud-Security-Ansatzes sind
-
die Absicherung der Infrastruktur,
-
der Schutz der Daten,
-
eine sichere Authentisierung und Authentifizierung von Nutzern (Identity-Management) sowie
-
der Schutz von Endgeräten.
Eine Cloud-Computing-Umgebung ist geprägt durch die Entkopplung von IT-Ressourcen von der physischen Infrastruktur, Stichwort Virtualisierung. Virtual Machines mit Betriebssystemen, Anwendungen und Daten lassen sich fast nach Belieben in einer Cloud-Infrastruktur hin und her bewegen - innerhalb der Cloud oder zwischen Private und Public Clouds. In Bezug auf die Sicherheit bedeutet dies, dass sich IT-Sicherheitsfunktionen ebenso flexibel zur Verfügung stellen lassen müssen, am besten ebenfalls in Form von VMs. In diesem Fall werden beispielsweise Antiviren- und Access-Control-Programme als Virtual Security Appliances auf den entsprechenden Hosts implementiert.
Um die Infrastruktur zu schützen, also Hypervisors, Management-Server und Application Programming Interfaces (API), lassen sich beispielsweise Lösungen wie Symantecs Protection Suite und VMware Shield einsetzen, aber auch Software-Appliances wie Intels ESG. Mit dem Intel Expressway Service Gateway kann ein Administrator Cloud-APIs überwachen und verwalten. Wichtig ist, dass sich zentrale Sicherungs- und Management-Aufgaben wie das Patching, Erstellen von Backups, das Implementieren von Sicherheitsregeln und das Konfigurations-Management automatisieren lassen. Zudem müssen die Sicherheitsregeln mit den ihnen zugeordneten Workloads "mitwandern", wenn diese verlagert werden. Das gilt auch für den Wechsel einer Workload von einer Private in eine Public oder Hybrid Cloud.
Schutz von Daten durch Data Loss Prevention und Verschlüsselung
Der Schutz von unternehmenskritischen Daten ist ein zentrales Element in einer Cloud-Umgebung. Dies gilt für gespeicherte Informationen auf einem Server oder Storage-System, aber auch für den Datentransport, etwa vom Unternehmensnetz zu einem Cloud-Service-Provider.
Um zu verhindern, dass sensitive Informationen von Unbefugten abgefangen werden, sind Data-Loss-Prevention-Systeme hilfreich. Solche Systeme verhindern beispielsweise, dass illoyale eigene Mitarbeiter oder Administratoren eines Cloud-Service-Providers Informationen "absaugen". Zudem sollte Datenverschlüsselung zum Einsatz kommen. Das gilt auch für Datenbestände, die zu Cloud-Storage-Services ausgelagert werden, etwa Archivdaten. Ergänzend dazu muss die Security-Policy einer Workload auf die Sicherheitsrelevanz der Daten abgestimmt sein. Um die Performance von Servern, Speichersystemen und Endgeräten nicht allzu stark zu beeinträchtigen, bietet sich eine selektive Datenverschlüsselung an: Statt komplette Festplatten oder Storage-Arrays zu verschlüsseln, werden nur sicherheitsrelevante Datenbestände geschützt.
Verschlüsselung setzt jedoch ein effizientes Key-Management voraus. Die Schlüsselverwaltung dem Cloud-Service-Provider zu übertragen ist aus Sicherheits- und Compliance-Gründen nicht ratsam. Einen Ansatz für das Key-Management, der speziell auf das Cloud-Computing abgestimmt ist, hat die amerikanische Firma Porticor entwickelt. Er basiert auf zwei Schlüsseln: Einen besitzt der Provider, der zweite und der "Master Key", mit dem beide Schlüssel gesichert werden, liegt beim Kunden. Alle Datenobjekte, also Dateien und Massenspeicher wie Festplatten, Bänder und SSD, werden mit dieser Split-Key-Technik verschlüsselt. Bei Zugriff einer Anwendung auf diese Informationsbestände muss der passende Schlüssel verwendet werden.
Beim Datenaustausch zwischen einem Unternehmen und dem Cloud-Service-Provider ist zudem darauf zu achten, dass gesicherte Verbindungen genutzt werden, etwa IPsec- oder SSL-VPNs.
Authentifizierung sowie Identity- und Access-Management
Eine zentrale Rolle in Cloud-Umgebungen spielt die Zugriffskontrolle. Nur dazu berechtigte User und Administratoren dürfen auf Daten und Anwendungen in einer Cloud zugreifen. Ein Identity- und Access-Management (IAM) in Verbindung mit einer Zwei-Faktor-Authentifizierung mit Token (Hard- oder Software) beziehungsweise Zertifikaten ist die Grundlage für die Umsetzung von Sicherheitsregeln (Policies).
Eine wichtige Rolle wird künftig die kontextbezogene Authentifizierung und Autorisierung spielen. Sie verbindet die Identität eines Nutzers von Cloud-Services mit Endgeräten und dem Standort beziehungsweise Netzwerk (Firmennetz oder öffentliches WLAN), von dem aus er auf Cloud-Ressourcen zugreift. Abhängig davon kommen unterschiedliche Sicherheitsregeln zum Zuge. Details zu IAM in Cloud-Computing-Umgebungen sind in einem Beitrag auf Computerwoche.de zu finden.
Endgeräte sind am besten abzusichern wie bisher
Für Endgeräte wie Workstations, Tablets, Notebooks und Smartphones, über die Nutzer auf eine Cloud-Computing-Umgebung zugreifen, gelten dieselben Sicherheitsanforderungen wie in einer herkömmlichen IT-Umgebung ("Endpoint Security"): Ein aktueller Malware-Schutz und regelmäßiges Patching sind Pflicht. Besonders wichtig ist das System-Management, speziell die Verwaltung von mobilen Endgeräten. "Wer in einer Cloud-Computing-Umgebung die IT-Sicherheit garantieren will, muss zunächst einmal seine Hausaufgaben machen. Das heißt, er sollte ein effizientes System-Management etablieren. Nur dann haben Administratoren einen Überblick über alle Systeme, die auf Cloud-Ressourcen zugreifen, und können Sicherheitsvorgaben auf diesen Endgeräten durchsetzen", empfiehlt Thomas Hefner, Vice President Sales DACH bei Kaseya, einem Anbieter von System-Management-Software.
Speziell die Absicherung von privaten mobilen Geräten, über die Anwender in Unternehmen auf Cloud-Computing-Dienste zugreifen, bereitet IT-Administratoren zunehmend Kopfzerbrechen, Stichwort "Bring your own Device" (ByoD). Zum einen deshalb, weil unterschiedliche Plattformen in ein System- und Security-Management eingebunden werden müssen, von Windows bis hin zu iOS und Android. Zum anderen erschwert ByoD die Kontrolle von unternehmenskritischen Informationen, die auf diesen Systemen gespeichert werden.
Eine Möglichkeit, um Endgeräten einen sicheren Zugang zu Cloud-Computing-Ressourcen zu ermöglichen, ist die Trennung von Endgerät und Desktop-Umgebung mit Hilfe von Desktop-Virtualisierung: Anwendungen, Daten und die Desktop-Umgebung werden im Cloud-Rechenzentrum vorgehalten; der Nutzer greift über einen Browser darauf zu. Allerdings sind solche Lösungen relativ aufwendig und erfordern hohe Netzbandbreiten. Diese stehen nicht an jedem Ort zur Verfügung. (hi)