Sicherheit im Cloud-Computing

Cloud-Computing spielt eine große Rolle in der gesamten IT-Welt. Dank Zuverlässigkeit, Skalierbarkeit der Dienste und vielen weiteren Vorteilen zieht Cloud-Computing viele Kunden an. Unternehmen können die Installation und Wartung ihrer IT-Systeme an Spezialisten übertragen und sich auf ihr Kerngeschäft konzentrieren. Die Mitarbeiter können überall mit mobilen Geräten auf Firmendaten zugreifen. Die zunehmende Nutzung von Cloud-Computing stellt auch viele Sicherheitsfragen, wie Zugriffsrechte, Verschlüsselung der Daten, Regeltreue usw.

Was ist Cloud-Computing-Sicherheit?

Cloud-Computing-Sicherheit, manchmal auch Cloud-Sicherheit genannt, bezieht sich auf ein Set kontrollbasierter Richtlinien und Techniken, die zum Schutz von Daten und Anwendungen und der damit verbundenen Infrastruktur im Cloud-Computing eingesetzt werden.

Zwei Sicherheitsdienste

2Sicherheitdienste

Cloud Services   Quelle: Eigene Darstellung

Wie die Abbildung zeigt, bieten Cloud-Provider eine Menge Service an. Ich werde im folgenden zwei Bereiche, die Security-as-a-Service (SECaaS) und Monitoring-as-a-Service (MaaS) näher schildern. Die beiden Dienste sind Ebenen übergreifend und können flächendeckend eingesetzt werden.

Security-as-a-Service (SECaaS)

Security-as-a-Service (SECaaS) ist ein Cloud-Computing-Modell, das Managed Security Services über das Internet bietet. SECaaS basiert auf dem Software-as-a-Service (SaaS), ist aber auf spezialisierte Informationssicherheitsdienste beschränkt. Sie ist eine Kombination von Private- und Public-Cloud-Lösungen. SECaaS umfasst alle Aspekte des Sicherheitsmanagements, etwa das Login, die Autorisierung, die Authentifizierung, Schutz von Informationen und Ressourcen.  Die Vorteile des SECaaS bestehen darin, dass der Anbieter die kontinuierliche Pflege der Sicherheitsaufgaben übernimmt, die Zeit und Ressourcen erfordert oder ein hohes Fachwissen, das nicht jeder besitzt.

Monitoring-as-a-Service (MaaS)

Verwaltung und Überwachung von Prozessen, um notfalls eine Fehlerprävention oder -behebung durchzuführen und Arbeitsprozesse zu verbessern. Zudem werden Daten der entsprechenden Prozesse gesammelt und organisiert, so dass sie einfacher ausgewertet werden können.

Die Aufgaben von MaaS bestehen im Schutz gegen interne und externe Bedrohungen, Log-Analyse, Begleitung von KPIs und Überwachung der Regeltreue.

Herausforderung und Schutzmaßnahmen

Wie jedes andere System enthält Cloud-Computing Schwachstellen. Diese Schwachstellen können zu Dienstleistungsstörungen, Datenverlust, Datendiebstahl usw. führen, wenn sie von Angreifern ausgenutzt werden. Es ist denkbar, dass klassische Angriffe und Schwachstellen großen Schaden an einem Cloud-System verursachen, wenn es nicht richtig geschützt ist.

Die Anforderungen an die Sicherheit basieren auf drei wichtigen sicherheitsrelevanten Aspekten beim Cloud-Computing. Diese werden Schutzziele genannt, nämlich Vertraulichkeit, Integrität und Verfügbarkeit. Die Anbieter müssen diese Schutzziele  für sichere Cloud-Computing-Systeme gewährleisten.

Hier werde ich über Cloud-spezifische Sicherheitsprobleme sprechen, die die Schutzziele betreffen.

Transparenz der Datenlokalität

Ein Vorteil von Cloud-Computing ist, dass die Daten je nach Bedarf genutzt und von überall aus gespeichert, geladen und abgerufen werden können. Aber nicht alle Anbieter legen offen, in welchem Land die Daten gespeichert werden. So kann es unter Umständen zu datenschutzrechtlichen Problemen kommen. Es kann zwar mit dem Cloud-Anbieter vertraglich geregelt werden, dass die Daten nur in einem bestimmten Land gespeichert werden. Aber die Cloud-Kunden haben momentan keine Möglichkeit, dies nachzuprüfen.

Missbrauch von Cloud-Infrastrukturen

Innerhalb einer sehr kurzen Zeit schnelle Zugriffe von überall und zu jeder Zeit auf zahlreiche virtuelle Maschinen, ist ein spezifischer Vorteil von Cloud-Computing.  Dies kann für Angriffe missbraucht werden. Es ist bei einigen Cloud-Anbietern möglich, sich mit gültigen Angaben zu einer Kreditkarte anonym zu registrieren. Außerdem ist die Miete für den Cloud-Dienst günstiger als die Kosten für die Nutzung eines illegalen Bot-Netzes. Um einen Missbrauch von Cloud-Infrastrukturen zu verhindern, ist eine strenge Nutzerauthentifizierung notwendig.

Geteilte Ressourcen

In der Cloud führt ein physischer Server in der Regel mehrere virtuelle Maschinen aus und bedient mehrere Benutzer. Diese Benutzer teilen sich das gleiche physikalische Gerät, was dem Angreifer eine Angriffsmöglichkeit bietet.  Des Weiteren wird die dynamische Zuweisung von Ressourcen, die Migration der virtuellen Maschinen in der Cloud, zu einem populären Phänomen. Die Angriffe gegen virtuelle Maschinen-Migration darf nicht ignoriert werden.

Das Problem lässt sich durch den Einsatz von zertifizierten Hypervisoren oder die Installation und Konfiguration von Cloud-Hosts verringern.

Sicherheitsmonitoring

Monitoring beim Cloud-Computing funktioniert zurzeit wie folgt: Wenn ein Fehler auftaucht, sendet der Server rechtzeitig dem Administrator einen Mail- und SMS-Alarm.  Da die Kunden einer Cloud-Umgebung nicht auf allen Ebenen zugreifen können, haben die Cloud-Provider die Aufgabe, die Sicherheitsvorfälle zu erkennen und zu beseitigen. Allerdings führt kein Cloud-Provider ein automatisches System, das die betroffenen Kunden über das Sicherheitsproblem rechtzeitig informiert. Wenn die Kunden die Meldung über Sicherheitsvorfälle rechtzeitig bekommen, können sie entsprechende Maßnahmen ergreifen, etwa alle Passwörter ändern. Die Cloud-Provider müssen mit einem Vertrag die entsprechenden Dienste gewährleisten.

Verwendung unsicherer APIs

Von der Authentifizierung über die Zugangskontrolle bis zur Verschlüsselung und dem Aktivitäten-Monitoring hängt die Sicherheit eines Cloud-Systems nicht nur von der Sicherheit der gemieteten Instanz (virtuelle Maschine, Software) ab, sondern auch von der Sicherheit der APIs. Da sich die Zahl der Drittanbieter erhöht, die auf APIs neue Benutzeroberflächen entwickeln oder zusätzliche Cloud-Funktionen aufbauen, steigt auch das Risiko. Einerseits kann der Angreifer schnell APIs lokalisieren, anderseits muss der Cloud-Provider den Drittanbietern den Zugriff auf Dienste und interne Daten gewähren, so dass APIs für die Unternehmen Sicherheitsrisiken darstellen.

Die CSA (Cloud Security Alliance) empfiehlt, die Code-Überprüfung und Penetration-Testing auf Sicherheit durchzuführen.

Fazit

Sicherheit im Cloud-Computing muss kontinuierlich auf sicherheitsrelevante Komponenten überprüft und aktualisiert werden. Unternehmen sollen sich über den Anbieter und dessen Dienstleistungen gründlich informieren, um rechtliche Probleme und wirtschaftliche Risiken zu vermeiden. Außerdem bietet ein regelmäßiges Backup vor Ort zusätzlichen Schutz. Die Passwörter des Systems müssen eine bestimmte Länge haben und sollten regelmäßig geändert werden.

Auf eure Meinung bin ich sehr gespannt.

Quelle

Kornel Terplan, Christian Voigt: “Cloud Computing”, eine Marke der Verlagsgruppe Hüthig Jehle Rehm GmbH, 1. Aufl. 2011,S27-28,S73-89

Mathias Ardelt, Frank Dölitzscher, Martin Knahl, Christoph Reich: „Sicherheitsprobleme für IT-Outsourcing durch Cloud Computing“, dpunkt, 2011, S62-70

“Cloud computing security”, https://en.wikipedia.org/wiki/Cloud_computing_security, abgerufen 20.05.2017

“ Sicherheitsrisiken in der Cloud”,https://www.computerwoche.de/a/sicherheitsrisiken-in-der-cloud,3224964, abgerufen 20.05.2017

„云安全 (cloud security)“, http://wiki.mbalib.com/wiki/%E4%BA%91%E5%AE%89%E5%85%A8#.E4.BA.91.E5.AE.89.E5.85.A8.E5.B8.B8.E8.A7.81.E9.97.AE.E9.A2.98.07UNIQ7513cb8d53fd71-nowiki-0000001B-QINU6.07UNIQ7513cb8d53fd71-nowiki-0000001C-QINU, abgerufen 20.05.2017

Beitragsbild „Cloud Computing security“ von depositphotos

Advertisements

Eine Antwort zu “Sicherheit im Cloud-Computing

  1. Pingback: Preisstrategie Dynamic Pricing – Urlaub günstig wie nie! | E-Business·

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s