Comparison of security promises of three big cloud providers: Amazon, Google, Microsoft - Web Security Seminar Paper

Die Seite wird erstellt Hellfried Heß
 
WEITER LESEN
Comparison of security promises of three big cloud providers: Amazon, Google, Microsoft - Web Security Seminar Paper
Comparison of security
promises of three big cloud
       providers:
 Amazon, Google, Microsoft

         Web Security
        Seminar Paper

     Helmut Hieß - k1156114
            Mai 2013
Comparison of security promises of three big cloud providers: Amazon, Google, Microsoft - Web Security Seminar Paper
Inhalt:

INHALT: .................................................................................................................. 2	
  

EINLEITUNG ........................................................................................................... 3	
  
  Die Cloud .......................................................................................... 3	
  
  Vorteile und Gefahren ..................................................................... 5	
  
  Anbieter von Cloud-Diensten ......................................................... 6	
  

SICHERHEITSASPEKTE........................................................................................ 6	
  
  Besondere Risiken der Cloud ......................................................... 7	
  
  Besondere Schutzmaßnahmen ...................................................... 8	
  

DIE SICHERHEIT DER WEB SERVICE ANBIETER .............................................. 9	
  
  Datensicherheit bei den Anbietern................................................. 9	
  
  Informationen auf den Websites der Anbieter ............................ 10	
  
  Vergleiche der 3 Anbieter.............................................................. 11	
  
  Sicherheitsfeatures für die Anwender ......................................... 13	
  
  Auswahl eines Anbieters .............................................................. 13	
  
  Sicherheitsempfehlungen ............................................................. 14	
  

DIE ZUKUNFT DER CLOUD ................................................................................ 14	
  

ZUSAMMENFASSUNG ........................................................................................ 17	
  
Comparison of security promises of three big cloud providers: Amazon, Google, Microsoft - Web Security Seminar Paper
Web Security                   Helmut Hieß                      Mai 2013

Einleitung
Das Internet wurde dank der weiten Verbreitung von Breitbandan-
schlüssen in den letzten Jahren zu einem immer intensiver verbundenen
Netzwerk. Während in den Anfangszeiten des Internets das Abrufen von
Inhalten im Vordergrund stand, ist es mittlerweile auch weit verbreitet,
eigene Daten auf Rechner im Netz zu speichern oder Infrastruktur-
einrichtungen zu nutzen, welche räumlich entfernt im Internet
vorhanden sind.

Die Cloud

So wie für viele andere Begriffe gibt es auch für den Begriff “Cloud”
keine eindeutige Beschreibung, aber eine oftmals verwendete Definition
ist jene des National Institut of Standards and Technology (US
Department of Commerce):

Cloud computing is a model for enabling ubiquitous, convenient, on-
demand network access to a shared pool of configurable computing
resources (e.g., networks, servers, storage, applications, and services)
that can be rapidly provisioned and released with minimal management
effort or service provider interaction. This cloud model is composed of
five essential characteristics, three service models, and four deployment
model. [NIST11]

Die notwendigen Eigenschaften sind dabei:
   • On-demand Verfügbarkeit ohne manuelle Dienstleistung des
      Anbieters
   • Zugang über Breitband-Internet
   • Gemeinsame Nutzung eines Ressourcen-Pools
   • Rasche Erweiterbarkeit bei nach Bedarf des Nutzers
   • Die Qualität des Dienstes muss gemessen werden können

Diese Grundvoraussetzungen für Cloud-Dienste treffen auf alle Anbieter
zu. Ein Unterscheidungsmerkmal ist jedoch das Servicemodell, welches
dem potenziellen Nutzer angeboten wird:
   • IaaS (Infrastructure as a Service)
   • PaaS (Platform as a Servce)
   • SaaS (Software as a Service)

                            Seite 3 von 18
Comparison of security promises of three big cloud providers: Amazon, Google, Microsoft - Web Security Seminar Paper
Web Security                  Helmut Hieß                     Mai 2013

     Abbildung 1: Servicemodelle [http://cioresearchcenter.com/]

Das Modell IaaS ist das weitreichendste Angebot und beschreibt die
Nutzung von Datenspeicher und virtuellen Rechnern im Netz. Dabei hat
der Anwender die Kontrolle über das Betriebssystem (er kann ein
beliebiges Betriebssystem installieren und verwalten) der virtuellen
Rechner und über die darauf betriebenen Applikationen und auch über
ausgewählte Netzwerkkomponenten für den Zugang zu diesen Rechnern
(z.B. Firewall-Einstellungen). Dabei kann der Nutzer auch die von ihm
benutzen Hardware-Ressourcen erweitern zumeist beliebig erweitern
und dem aktuellen Bedarf anpassen.

Beim Servicemodell PaaS ist der Nutzer demgegenüber eingeschränkt
bei der Zuordnung von Hardware und Netzwerkeinstellungen. Es wird
lediglich eine Programmierschnittstelle und die dafür notwendigen Tools
zur Verfügung gestellt und auf einem vorgegeben Betriebssystem (auf
welches aber nicht zugegriffen werden kann) ist es möglich, eine eigene
Applikation zu erstellen. Diese selbst erstellten Applikationen können
Datenspeicher nutzen und als Webservice zur Nutzung freigeben
werden.

                            Seite 4 von 18
Web Security                  Helmut Hieß                     Mai 2013

Die dritte Variante SaaS beschreibt die Nutzung von Applikationen,
welche durch den Dienstbetreiber zur Verfügung gestellt werden. Der
Nutzer kann die Software selbst nicht verändern oder beeinflussen, es
sind lediglich Konfigurationsmöglichkeiten durch den Nutzer durch-
führbar. Der Zugriff auf die Applikation erfolgt durch einen Client
(zumeist ist das ein üblicher Browser).

Die unterschiedlichen Bereitstellungsmodelle (deployment models) be-
schreiben, inwieweit die Daten und Applikationen der Cloud öffentlich
zugänglich sind bzw. nur privat genutzt werden können:
   • Private Cloud: die Daten sind Eigentum des Nutzers und stehen
      auch komplett unter seiner Kontrolle. Dieses Modell kann von
      Organisationen als Bereitstellung eines eigenen Rechenzentrums
      genutzt werden und dient auch zur Speicherung sensibler Daten.
   • Community Cloud: ist sehr ähnlich der private Cloud, jedoch ist es
      eine Interessensgemeinschaft, welche Zugriff auf die Daten hat
      und diese Daten auch teilt. Verwaltet werden können die Inhalte
      von einem oder auch von mehreren Mitgliedern der Community.
   • Public Cloud: diese wird verwendet, um Daten öffentlich zu-
      gänglich abzuspeichern, wobei natürlich ebenfalls Zugangsbe-
      schränkungen durch z.B. Benutzerkonten möglich sind.
   • Hybrid Cloud: eine Vereinigung der drei anderen Bereitstellungs-
      modelle mit möglichst einheitlichen Schnittstellen und der
      Möglichkeit einer Veränderung der Ressourcenverteilung zu der
      einzelnen Clouds innerhalb der übergeordneten Hybrid Cloud.

Vorteile und Gefahren

Durch das Auslagern in die Cloud ersparen sich Unternehmen
Rechenzentren und bezahlen nur für die genutzten Leistungen.
Privatpersonen können Daten in die Cloud auslagern und haben von
überall aus, auch mit mobilen Geräten, Zugriff auf ihre Daten, ohne
einen eigenen Server betreiben zu müssen.

Demgegenüber gibt es natürlich zusätzliche Gefahren, denn bei der
Speicherung von Daten in der Cloud besteht die Gefahr, dass Unbefugte
an die Daten gelangen können. So könnten die Daten während der
Übertragung mitgelesen werden oder die beim Anbieter gespeicherten

                            Seite 5 von 18
Web Security                   Helmut Hieß                      Mai 2013

Daten könnten kopiert werden. Außerdem ist die Verfügbarkeit sowohl
von den Einrichtungen des Dienstanbieters als auch von der Verbindung
zum Anbieter, dem Internetzugang, abhängig.

Anbieter von Cloud-Diensten

Besonders große und daher wichtige Anbieter von Cloud-Diensten sind
Amazon, Google und Microsoft. Jeder dieser drei Anbieter hat den
Schwerpunkt auf unterschiedliche Formen der Dienstleistung.

Amazon ist besonders bekannt für die Elastic Compute Cloud (EC2), und
dem Simple Storage Service (S3), welche beide dem Servicemodell
IaaS entsprechen.

Google bietet mit Google App Engine eine Entwicklungsplattform für
eigene Anwendung (PaaS), mit Compute Engine eine Infrastruktur-
Plattform und eine besonders umfangreiche Reihe von SaaS
Anwendungen wie Drive, Mail, Calendar usw.

Mircosoft bietet mit Windows Azure ein Modell an, das sowohl IaaS als
auch PaaS umfasst, aber auch Anwendungen wie Mail-Diensten oder
Windows Live (SaaS).

Sicherheitsaspekte
Da Cloud Services und die damit einhergehende Datenspeicherung
außerhalb des direkten Einflussbereiches des Nutzers besondere
Gefahren mit sich bringt, hat die Cloud Security Alliance einen Leitfaden
für eine möglichst sichere Nutzung dieser Services herausgegeben
[CSA09]. Dieser Leitfaden teilt die Aufgabengebiete in strategische und
operative Felder ein.

Strategische Aufgaben:
   • Governance and Enterprise Risk Management
   • Legal and Electronic Discovery
   • Compliance and Audit
   • Information Lifecycle Management
   • Portability and Interoperability

                             Seite 6 von 18
Web Security                   Helmut Hieß                      Mai 2013

Operative Aufgaben:
  • Traditional Security, Business Continuity, and Disaster Recovery
  • Data Center Operations
  • Incident Response, Notification, and Remediation
  • Application Security
  • Encryption and Key Management
  • Identity and Access Management
  • Virtualization

Ein großer Teil der darin beschriebenen Aufgaben deckt sich natürlich
mit den grundsätzlich in der Datenverarbeitung notwendigen
Sicherheitsvorkehrungen. Jedoch sind bei Cloud Services ganz
besonders die Speicherung (in der durch Dritte zur Verfügung gestellten
Cloud) und die Datenübertragung (über potenziell unsichere Netzwerke)
zu beachten.

Besondere Risiken der Cloud

In [RUP10] und [SSEC10] wird auf die besonderen Gefahren für Cloud-
Anwendungen und die dagegen möglichen Schutzmaßnahmen
eingegangen. Die wichtigsten Angriffsmöglichkeiten und Unterteilungen
der Bedrohungen bei Cloud-Applikationen werden in der Folge
beschrieben:

Aktive bzw. passive Angriffe
Bei aktiven Angriffen verändert der Angreifer Daten oder Einstellungen
im System und dadurch können diese Angriffe auch auffallen. Aktive
Angriffe brauchen eine Verbindung zum Zielsystem in der Cloud und
dienen oftmals als auch Vorbereitung für passive Angriffe (z.B. die
Veränderung von Einstellungen, damit der Datenverkehr über einen
Rechner des Angreifers umgeleitet wird).
Bei passiven Angriffen nimmt der Angreifer keine Veränderungen im
Zielsystem vor, sondern er nutzt die Datenübertragungswege um z.B.
den Datenverkehr abzuhören und die mitgeschnittenen Daten
missbräuchlich zu verwenden.

Interne bzw. externe Angriffe
Interne Angriffe gehen von Mitarbeitern oder Partnern des Cloud-
Dienstleisters aus. Der Nutzer hat keinen Einfluss auf diesen Bereich

                            Seite 7 von 18
Web Security                   Helmut Hieß                     Mai 2013

und ist auf die Sicherheitsvorkehrungen seines Dienstleisters
angewiesen.
Bei externen Angriffen versuchen Dritte (z.B. Hacker oder Cracker) die
Applikation und die Daten in der Cloud anzugreifen. Durch das
Ausnutzen von Schwachstellen oder das Umgehen von Sicherheits-
einrichtungen versuchen sie in das System einzudringen und entweder
Schaden anzurichten oder sich einen wirtschaftlichen Vorteil durch das
Entwenden von Daten zu verschaffen.

DoS Attacken
Durch Denial of Service Attacken (oder als verschärfte Form auch
Distributed-DoS von vielen infizierten Rechnern gleichzeitig) werden
Server überlastet, die Nutzung behindert und somit der Ruf des
Anbieters beschädigt.

Man in the Middle – Angriffe
So wie beim Abhören des Datenverkehrs kann der Angreifer den
kompletten Datenverkehr mitlesen und hat zusätzlich die Kontrolle über
den Datenverkehr.

Cross-Site-Request-Fogery – Angriffe
Bei diesem Angriff kommt der Angreifer auf den Client-Rechner, bringt
Schadsoftware auf den Rechner und diese startet den Angriff auf den
Cloud-Server. Dieser Angriff funktioniert dann, wenn der Client am
Cloud-Server angemeldet ist und dadurch die Rechte zum Ausführen der
Operationen hat. Dieser Angriff ist keine spezifische Gefährdung von
Cloud-Servern, sondern eher ein Angriff auf die Anwender und seine
Daten in der Cloud durch das Ausnutzen von Schwachstellen im Client-
Rechner.

Besondere Schutzmaßnahmen

Security Monitoring ist notwendig, um aktive Angriffe erkennen zu
können. Diese Angriffe können sowohl am Cloud-Server als auch am
Client-System erfolgen und deswegen sind beide Komponenten zu
überwachen.

Eine Verschlüsselung der Datenübertragung ist unumgänglich um Man-
in-the-Middle Attacken zuverlässig zu verhindern (z.B. SSL/SSH-

                            Seite 8 von 18
Web Security                    Helmut Hieß                       Mai 2013

Verbindungen). Dabei müssen sich auch beide Kommunikationspartner
identifizieren (z.B. mit Zertifikaten), damit nicht ein Angreifer sich als
einer der beiden Kommunikationspartner ausgeben kann.

Werden im Rahmen in eines IaaS-Servicemodells virtuelle Rechner
durch den Nutzer betrieben, so sind die entsprechenden Firewall-
Einstellungen zu setzen.

Weil der Nutzer keinen Einfluss auf die Sicherheitseinstellungen und –
Vorkehrungen des Cloudservice-Anbieters hat, kann er sich nur durch
die Auswahl des Dienstleisters und eine entsprechende Vertrags-
gestaltung schützen. Da der Markt der Cloud-Services jedoch von sehr
wenigen sehr großen Anbietern dominiert wird, liegt die Marktmacht zur
Bestimmung der Vertragsregeln wohl auf der Seite der Anbieter und die
Durchsetzung von vertraglichen Vereinbarungen, welche von den
Standardbedingungen der marktbeherrschenden Anbieter abweichen, ist
wohl sehr schwierig.

Die Sicherheit der Web Service Anbieter
Bei Web Services teilt sich die Sicherheit grundsätzlich in 2 Bereiche:
Jene Sicherheit, die der Anbieter in seine Systeme integriert hat, um
den Diebstahl der Daten zu verhindern und jene Sicherheits-
mechanismen, die er seinen Kunden anbietet, um den Zugang zu den
Daten möglichst sicher gestalten zu können.

Datensicherheit bei den Anbietern

Die Sicherheit der Daten beim Anbieter beruht auf physikalischen
Sicherheitsbarrieren und auf Vorsorgemaßnahmen gegen das Eindringen
von Unberechtigten in die Systeme. Daneben sind aber auch Vorsorge-
maßnahmen notwendig um z.B. den Datendiebstahl durch die eigenen
Mitarbeiter – oder ehemalige Mitarbeiter – zu unterbinden.

Um den gesetzlichen Anforderungen der Datenhaltung für die Kunden
zu erfüllen, kann der Kunde allen drei Anbietern auswählen, in welchem
geografischen Gebiet seine Daten tatsächlich auf den Servern
gespeichert sein sollen [WSJ13].

                             Seite 9 von 18
Web Security                   Helmut Hieß                     Mai 2013

Grundsätzlich ist der Kunde auf die Sicherheitsversprechen und
Vorkehrungen der Anbieter angewiesen und kann diese selbst nicht
verbessern. Microsoft und Amazon erlauben jedoch auch die
Durchführung eigener Tests, um die Systeme auf mögliche Sicherheits-
lücken hin zu überprüfen [WSJ13].

Informationen auf den Websites der Anbieter

Die Cloud-Anbieter verstehen unter dem Schlagwort Sicherheit in erster
Linie eine Zusicherung von Verfügbarkeit im Rahmen von Service Level
Agreements und den Schutz gegen Datenverlust durch redundante
Speicherung. Die Absicherung gegen Diebstahl oder Ausspähen der
Daten durch Ditte wird auf den Websites von Microsoft und Google nur
am Rande erwähnt.

Amazon bietet sehr umfangreiche Informationen zur physischen
Absicherung der Daten und zur Zutrittskontrolle zu den Rechenzentren
und beschreibt die Rechte und Möglichkeiten der Amazon-
Administratoren. So haben die Administratoren nur Zugang zu
Systemen, wenn es auch tatsächlich notwendig ist und auf den
virtuellen Rechner der Kunden können Sie sich überhaupt nicht
einloggen. Außerdem gibt es detaillierte Informationen über
Möglichkeiten zur Einstellung und Konfiguration der virtuellen Rechner,
um den Kunden das richtige Einstellen und Konfigurieren (z.B. von
Firewalls) zu erklären.

Die Ausführung der einzelnen Instanzen und virtuellen Maschinen wird
bei Amazon Elastic Compute Cloud über Xen Hypervisor realisiert und
Amazon betont als aktives Mitglied der Xen Community auch aktiv an
der weiteren Verbesserung der Sicherheit von Xen mitzuarbeiten.

Mögliche Angriffe über das Netzwerk erklärt Amazon ebenfalls sehr
ausführlich und beschreibt gleichzeitig die Strategie von Amazon, wie
man solchen Angriffen begegnet und diese damit möglichst auch
verhindert.

Die Speicherung der Daten selbst erfolgt bei Amazon mit dem Dienst
Simple Storage Service (S3). Diese Daten werden von Amazon nicht

                            Seite 10 von 18
Web Security                   Helmut Hieß                     Mai 2013

verschlüsselt, sondern so wie vom Kunden oder der Anwendung
übertragen auch gespeichert. Dies bedeutet, dass der Kunde selbst eine
Verschlüsselung der Daten vornehmen muss, bevor diese in den S3-
Speicher kommen. Das Löschen der Daten erfolgt sofort durch das
Verändern der entsprechenden Zugriffstabellen und auch die
geografisch verteilten Duplikate werden innerhalb weniger Sekunden
gelöscht. Das tatsächliche Überschreiben der gespeicherte Inhalte
erfolgt aber erst dann, wenn der freie Speicherplatz für das Speichern
neuer Daten benötigt wird.

Vergleiche der 3 Anbieter

Das Wallstreet Journal hat gemeinsam mit Forrester Research im Feber
2013 die 3 großen Anbieter von Cloud-Diensten verglichen [WSJ13]. Bei
diesem Vergleich wurden auch Stellungnahmen der Anbieter zu
Sicherheits- und Servicefragen eingeholt.

Generell schneidet dabei Google beim Kundenservice und der
Offenlegung von Sicherheitskriterien nicht so gut, was aber unter
anderem damit begründet wird, dass Googles Compute Cloud erst
relativ neu am Markt ist und sich daher teilweise noch in der Testphase
befindet und aus dem Feedback der Anwender erst entsprechende
Serviceangebote zusammengestellt werden sollen.

Alle 3 Anbieter werben damit, Audits zu den relevanten Sicherheits-
standards durchzuführen und die entsprechenden Vorschriften auch ein-
zuhalten (z.B. ISO 27001).

Natürlich hat jedes Unternehmen die Regeln zur Nutzung seiner Cloud-
Dienste im Rahmen der Nutzungsbedingungen festgelegt. Das
Vereinbaren von Service Level Agreements mit Abänderungen durch
den Kunden ist nur bei Amazon möglich, wobei jedoch auch bei diesem
Anbieter die Kunden zuerst mit Standardvereinbarungen losstarten und
erst im Laufe der Zeit Änderungen des Servicelevels wünschen.

Aufgrund der entsprechenden Reife ihres Angebotes erlauben die
Amazon und Microsoft ihren Kunden auch das Durchführen von eigenen
Sicherheitstests. Aber natürlich dürfen dabei nur die eigenen

                           Seite 11 von 18
Web Security                     Helmut Hieß                    Mai 2013

Ressourcen nach entsprechender Ankündigung geprüft werden.
Microsoft erlaubt zusätzlich die Inspektion der physischen Datencenter.

                            Microsoft      Amazon        Google
Service Level Agreement
                            Nein           Ja            Nein
mit Kundendefinitionen
Entschädigung f. Ausfall    Gutschrift     Gutschrift    Gutschrift
Ein Ansprechpartner für
                         Teilweise         Teilweise     Nein
alle Fragen und Probleme
Sicherheitstests durch
                            Ja             Ja            Nein
Kunden möglich
Auswahl des geo-
                            Ja             Ja            Ja
grafischen Speicherortes
       Abbildung 3: Vergleich Service-Kategorien 2013 [WSJ13]

Eine Auswahl des geografischen Speicherortes ist bei allen drei
Anbietern möglich, jedoch ist das noch kein Schutz davor, dass die
Daten auch in andere Länder gelangen, denn so sind z.B. Cloud-
Anbieter aus den USA aufgrund der Gesetze („Patriot Act“) verpflichtet,
auch Daten von Speicherorten außerhalb den USA den Behörden im
Bedarfsfall auszuliefern. Um einen solche Datenweiterleitung zu
unterbinden, ist es notwendig, sich einen Cloud-Anbieter mit Sitz
außerhalb den USA zu suchen. Dabei ist auch darauf zu achten, dass es
sich nicht um „Schein-EU-Anbieter“ handelt, welche die Daten augrund
ihrer Firmenstruktur auch wieder an die US-Behörden ausliefern müssen
[HEI13].

Im weiteren Sinne unter Datensicherheit fällt auch die permanente Ver-
fügbarkeit der Cloud Services und damit der Zugriff auf die eigenen
Daten. Obwohl die großen Anbieter der Cloud-Dienste mit besonders
hoher Verfügbarkeit werben, so gab es doch 4 Tage Ausfall von Amazon
im Jahr 2011 und 2 Tage Ausfallszeit von Windows Azure aufgrund von
abgelaufenen SSL-Zertifikaten im Feber 2013. [OIA13]

                           Seite 12 von 18
Web Security                   Helmut Hieß                     Mai 2013

Sicherheitsfeatures für die Anwender

In [CIO10] wurden die Anbieter von Web-Services unter anderem nach
Sicherheitsaspekten verglichen, wobei auch sehr viele kleine Anbieter
miteinbezogen wurden. Beim diesem Vergleich waren die speziell auf
Cloud-Infrastrukturen zugeschnittene Sicherheitsfeatures das wichtigste
Entscheidungskriterium. Besonders wichtig für die Bewertung war
daher, dass Antivirus, Identity-Management, Authentifizierung oder
Verschlüsselung speziell für die Anforderungen in hybriden Cloud-
Architekturen entwickelt wurden. Bei diesem Vergleich zeigte sich
allerdings, dass die 3 großen Anbieter Microsoft, Amazon und Google
nicht auf den vorderen Plätzen zu finden war.

       Abbildung 2: Ranking Cloud-Security 2010 [www.cio.de]

Die Verwaltung der Rechte für die verschiedenen Dienste, Rechner und
Ressourcen erfordert genauso wie bei lokalen System eine detaillierte
Zuordnung von Berechtigungen. Während dies bei Windows Azure mit
dem Active Directory erfolgt, hat Amazon das AWS Identity and Access
Management (IAM) mit einer sehr ähnlichen Funktionalität entwickelt.

Auswahl eines Anbieters

Die Verwaltung der Rechte für die verschiedenen Dienste, Rechner und
Ressourcen Aufgrund der Vergleiche der Sicherheit ergeben sich keine
klare Favoriten für einen der drei großen Anbieter. Bei der Auswahl sind

                           Seite 13 von 18
Web Security                   Helmut Hieß                      Mai 2013

die entscheidenden Kriterien wohl die entsprechende Funktionalität für
die Umsetzung der eigenen Anforderungen und die Kosten.
Sicherheitsaspekte werden von allen Cloud-Anbietern sehr ernst
genommen, doch eine totale Garantie gegen Datenverlust oder
Datendiebstahl gibt es nicht – allerdings besteht dieses Sicherproblem
auch beim Betrieb eines eigenen Rechenzentrums.

Sicherheitsempfehlungen

Um als Anwender möglichst sicher die Cloud-Dienste nutzen zu können,
sollten einige einfache Sicherheitsregeln eingehalten werden [QSC13]:

  •   Verschlüsselung der Datenübertrg mit SSL
  •   Vergewisserung über die Datensicherungen des Cloud-Anbieters
      und zusätzlich eine eigene Sicherung aller Daten, welche in der
      Cloud gespeichert sind.
  •   Sensible Daten sollten in der Cloud nur verschlüsselt abgelegt
      werden.
  •   Notfallplan aufstellen, wenn die Dienste der Cloud einige Zeit nicht
      erreichbar sind.
  •   Nach Möglichkeit SLA vereinbaren, welche dem Geschäftskonzept
      des Unternehmens genügen.

Das Einhalten dieser recht einfachen Regeln sollten bereits vor den
meisten Gefahren schützen.

Die Zukunft der Cloud

Die Cloud-Dienste entwickeln sich weiter und nehmen in Zukunft
sicherlich einen noch größeren Anteil innerhalb der IT-Landschaft ein.
Gemäß einer Studie von IDC aus dem Jahr 2012 planen 23 Prozent der
befragten Unternehmen, Cloud-Dienste so stark als möglich zu nutzen
und 38 Prozent wollen immerhin einen Teil der IT in die Cloud bringen
[IDC12].

                            Seite 14 von 18
Web Security                   Helmut Hieß                     Mai 2013

   Abbildung 3: Unternehmensstrategie für Cloud Computing [IDC12]

Natürlich gibt es nach wie vor Bedenken, wenn Daten, Services oder die
ganze Infrastruktur in die Cloud verlagert werden sollen. Die wichtigsten
Hinderungsgründe sind der Kontrollverlust über die eigenen Daten und
die Ungewissheit über die Sicherheit und Verfügbarkeit – man ist eben
immer vom Cloud-Anbieter abhängig [QSC13].

                            Seite 15 von 18
Web Security                  Helmut Hieß                     Mai 2013

 Abbildung 4: Bedenken gegen Nutzung von Cloud Computing [QSC13]

Bei allen Bedenken gegen Kontrollverlust, mögliche Sicherheitslücken
oder eine temporäre Nicht-Verfügbarkeit sollte allerdings auch beachtet
werden, dass in eigenen Rechenzentren niemals absolute Sicherheit und
Verfügbarkeit vorherrschen können.

                           Seite 16 von 18
Web Security                   Helmut Hieß                      Mai 2013

Zusammenfassung
Das Auslagern der Datenverarbeitung und der dazu notwendigen
Ressourcen in die Cloud bringt den Anwendern viel Flexibilität. Dabei
entstehen naturgemäß zusätzliche Gefahren durch die Speicherung
außerhalb des eigenen Einflussbereiches und die Absicherung der
Datenübertragung. Durch entsprechende Vorsorgemaßnahmen sind
diese Gefahren aber berechenbar und auch nicht höher als beim Betrieb
eigener Rechenzentren.

Die Unterschiede zwischen den großen Anbietern im Bereich Sicherheit
sind relativ gering. Die Hauptunterschiede beziehen sich eher auf die
Informationspolitik und auf den Focus auf bestimmte Servicemodelle.
Grundsätzlich bieten alle drei Anbieter einen sehr hohen Sicherheitslevel
– etwas anderes können sich diese Anbieter auch aus Imagegründen
nicht leisten.

Die Anwender sollen allerdings auch immer bedenken, dass es zu
Sicherheitslücken kommen kann. Pannen kommen immer wieder vor
und daher sollten die Anwender auch dafür die entsprechenden
Vorkehrungen treffen wie z.B. eine Verschlüsselung der gespeicherten
Daten oder der Aufbewahrung von lokalen Sicherungskopien.

                            Seite 17 von 18
Web Security                  Helmut Hieß                      Mai 2013

Referenzen:

[NIST11] Peter Mell, Timothy Grance; The NIST Definition of Cloud
         Computing; National Insitute of Standards and Technology; 2011;

[CSA09]   J. Archet et. Al.; Security Guidance for Critical Areas of Focus in
          Cloud Computing V2.1.; Cloud Security Alliance;
          2009;
[RUP10]   A. Ruppel; Angriffsarten und Angreifertypen in Cloud-Computing-
          Systemen; Fraunhofer SIT; 2010;

[SSEC10] A.Ruppel, P.Schmitz; Angriffsarten und Angreifertypen in Cloud-
         Computing-Systemen; http://www.searchsecurity.de/
         themenbereiche/applikationssicherheit/web-application-
         security/articles/254228/; 2010;
[WSJ13] Tom Loftus; Public Cloud Vendors Side by Side by Side; Wall Street
         Journal; http://blogs.wsj.com/cio/2013/02/26/public-cloud-
         vendors-side-by-side-by-side/; Feb.2013;
[OIA13] S. Hulbert; Comparing Amazon Web Services, Microsoft Windows
         Azure and Vmware Cloud Services;
         http://www.opusinteractive.com/blogs/Comparing-Amazon-Web-
         Services,-Microsoft-Windows-Azure-and-Vmware-Cloud-
         Services/1161.html; 2013
[CIO10] H. Eriksdotter; Die Top 10 Cloud-Anbieter in 7 Kategorien;
         http://www.cio.de/was_ist_cloud_computing/anbieter/2243859/
         index2.html; 2010
[CIO12] Michael Kallus; Sicherheitsbedenken schwinden;
         http://www.cio.de/was_ist_cloud_computing/2882345/index.html;
         2012
[HEI13] Arnold Böken; Patriot Act and Cloud Computing; http://heise.de/-
         1394430 ; 2012;

[IDC12]   Cloud Computing in Deutschland 2012 – Evolution der Revolution;
          http://www.idc.de/press/presse_idc_studie_cloud2012.jsp; 2012

[QSC13] Klaus Manhart; Vorsicht, Wolke – Sicherheitsrisiken beim Cloud-
        Computing; http://blog.qsc.de/2013/04/vorsicht-wolke-
        sicherheitsrisiken-beim-cloud-computing/; 2013

                           Seite 18 von 18
Sie können auch lesen