Comparison of security promises of three big cloud providers: Amazon, Google, Microsoft - Web Security Seminar Paper
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Comparison of security promises of three big cloud providers: Amazon, Google, Microsoft Web Security Seminar Paper Helmut Hieß - k1156114 Mai 2013
Inhalt: INHALT: .................................................................................................................. 2 EINLEITUNG ........................................................................................................... 3 Die Cloud .......................................................................................... 3 Vorteile und Gefahren ..................................................................... 5 Anbieter von Cloud-Diensten ......................................................... 6 SICHERHEITSASPEKTE........................................................................................ 6 Besondere Risiken der Cloud ......................................................... 7 Besondere Schutzmaßnahmen ...................................................... 8 DIE SICHERHEIT DER WEB SERVICE ANBIETER .............................................. 9 Datensicherheit bei den Anbietern................................................. 9 Informationen auf den Websites der Anbieter ............................ 10 Vergleiche der 3 Anbieter.............................................................. 11 Sicherheitsfeatures für die Anwender ......................................... 13 Auswahl eines Anbieters .............................................................. 13 Sicherheitsempfehlungen ............................................................. 14 DIE ZUKUNFT DER CLOUD ................................................................................ 14 ZUSAMMENFASSUNG ........................................................................................ 17
Web Security Helmut Hieß Mai 2013 Einleitung Das Internet wurde dank der weiten Verbreitung von Breitbandan- schlüssen in den letzten Jahren zu einem immer intensiver verbundenen Netzwerk. Während in den Anfangszeiten des Internets das Abrufen von Inhalten im Vordergrund stand, ist es mittlerweile auch weit verbreitet, eigene Daten auf Rechner im Netz zu speichern oder Infrastruktur- einrichtungen zu nutzen, welche räumlich entfernt im Internet vorhanden sind. Die Cloud So wie für viele andere Begriffe gibt es auch für den Begriff “Cloud” keine eindeutige Beschreibung, aber eine oftmals verwendete Definition ist jene des National Institut of Standards and Technology (US Department of Commerce): Cloud computing is a model for enabling ubiquitous, convenient, on- demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment model. [NIST11] Die notwendigen Eigenschaften sind dabei: • On-demand Verfügbarkeit ohne manuelle Dienstleistung des Anbieters • Zugang über Breitband-Internet • Gemeinsame Nutzung eines Ressourcen-Pools • Rasche Erweiterbarkeit bei nach Bedarf des Nutzers • Die Qualität des Dienstes muss gemessen werden können Diese Grundvoraussetzungen für Cloud-Dienste treffen auf alle Anbieter zu. Ein Unterscheidungsmerkmal ist jedoch das Servicemodell, welches dem potenziellen Nutzer angeboten wird: • IaaS (Infrastructure as a Service) • PaaS (Platform as a Servce) • SaaS (Software as a Service) Seite 3 von 18
Web Security Helmut Hieß Mai 2013 Abbildung 1: Servicemodelle [http://cioresearchcenter.com/] Das Modell IaaS ist das weitreichendste Angebot und beschreibt die Nutzung von Datenspeicher und virtuellen Rechnern im Netz. Dabei hat der Anwender die Kontrolle über das Betriebssystem (er kann ein beliebiges Betriebssystem installieren und verwalten) der virtuellen Rechner und über die darauf betriebenen Applikationen und auch über ausgewählte Netzwerkkomponenten für den Zugang zu diesen Rechnern (z.B. Firewall-Einstellungen). Dabei kann der Nutzer auch die von ihm benutzen Hardware-Ressourcen erweitern zumeist beliebig erweitern und dem aktuellen Bedarf anpassen. Beim Servicemodell PaaS ist der Nutzer demgegenüber eingeschränkt bei der Zuordnung von Hardware und Netzwerkeinstellungen. Es wird lediglich eine Programmierschnittstelle und die dafür notwendigen Tools zur Verfügung gestellt und auf einem vorgegeben Betriebssystem (auf welches aber nicht zugegriffen werden kann) ist es möglich, eine eigene Applikation zu erstellen. Diese selbst erstellten Applikationen können Datenspeicher nutzen und als Webservice zur Nutzung freigeben werden. Seite 4 von 18
Web Security Helmut Hieß Mai 2013 Die dritte Variante SaaS beschreibt die Nutzung von Applikationen, welche durch den Dienstbetreiber zur Verfügung gestellt werden. Der Nutzer kann die Software selbst nicht verändern oder beeinflussen, es sind lediglich Konfigurationsmöglichkeiten durch den Nutzer durch- führbar. Der Zugriff auf die Applikation erfolgt durch einen Client (zumeist ist das ein üblicher Browser). Die unterschiedlichen Bereitstellungsmodelle (deployment models) be- schreiben, inwieweit die Daten und Applikationen der Cloud öffentlich zugänglich sind bzw. nur privat genutzt werden können: • Private Cloud: die Daten sind Eigentum des Nutzers und stehen auch komplett unter seiner Kontrolle. Dieses Modell kann von Organisationen als Bereitstellung eines eigenen Rechenzentrums genutzt werden und dient auch zur Speicherung sensibler Daten. • Community Cloud: ist sehr ähnlich der private Cloud, jedoch ist es eine Interessensgemeinschaft, welche Zugriff auf die Daten hat und diese Daten auch teilt. Verwaltet werden können die Inhalte von einem oder auch von mehreren Mitgliedern der Community. • Public Cloud: diese wird verwendet, um Daten öffentlich zu- gänglich abzuspeichern, wobei natürlich ebenfalls Zugangsbe- schränkungen durch z.B. Benutzerkonten möglich sind. • Hybrid Cloud: eine Vereinigung der drei anderen Bereitstellungs- modelle mit möglichst einheitlichen Schnittstellen und der Möglichkeit einer Veränderung der Ressourcenverteilung zu der einzelnen Clouds innerhalb der übergeordneten Hybrid Cloud. Vorteile und Gefahren Durch das Auslagern in die Cloud ersparen sich Unternehmen Rechenzentren und bezahlen nur für die genutzten Leistungen. Privatpersonen können Daten in die Cloud auslagern und haben von überall aus, auch mit mobilen Geräten, Zugriff auf ihre Daten, ohne einen eigenen Server betreiben zu müssen. Demgegenüber gibt es natürlich zusätzliche Gefahren, denn bei der Speicherung von Daten in der Cloud besteht die Gefahr, dass Unbefugte an die Daten gelangen können. So könnten die Daten während der Übertragung mitgelesen werden oder die beim Anbieter gespeicherten Seite 5 von 18
Web Security Helmut Hieß Mai 2013 Daten könnten kopiert werden. Außerdem ist die Verfügbarkeit sowohl von den Einrichtungen des Dienstanbieters als auch von der Verbindung zum Anbieter, dem Internetzugang, abhängig. Anbieter von Cloud-Diensten Besonders große und daher wichtige Anbieter von Cloud-Diensten sind Amazon, Google und Microsoft. Jeder dieser drei Anbieter hat den Schwerpunkt auf unterschiedliche Formen der Dienstleistung. Amazon ist besonders bekannt für die Elastic Compute Cloud (EC2), und dem Simple Storage Service (S3), welche beide dem Servicemodell IaaS entsprechen. Google bietet mit Google App Engine eine Entwicklungsplattform für eigene Anwendung (PaaS), mit Compute Engine eine Infrastruktur- Plattform und eine besonders umfangreiche Reihe von SaaS Anwendungen wie Drive, Mail, Calendar usw. Mircosoft bietet mit Windows Azure ein Modell an, das sowohl IaaS als auch PaaS umfasst, aber auch Anwendungen wie Mail-Diensten oder Windows Live (SaaS). Sicherheitsaspekte Da Cloud Services und die damit einhergehende Datenspeicherung außerhalb des direkten Einflussbereiches des Nutzers besondere Gefahren mit sich bringt, hat die Cloud Security Alliance einen Leitfaden für eine möglichst sichere Nutzung dieser Services herausgegeben [CSA09]. Dieser Leitfaden teilt die Aufgabengebiete in strategische und operative Felder ein. Strategische Aufgaben: • Governance and Enterprise Risk Management • Legal and Electronic Discovery • Compliance and Audit • Information Lifecycle Management • Portability and Interoperability Seite 6 von 18
Web Security Helmut Hieß Mai 2013 Operative Aufgaben: • Traditional Security, Business Continuity, and Disaster Recovery • Data Center Operations • Incident Response, Notification, and Remediation • Application Security • Encryption and Key Management • Identity and Access Management • Virtualization Ein großer Teil der darin beschriebenen Aufgaben deckt sich natürlich mit den grundsätzlich in der Datenverarbeitung notwendigen Sicherheitsvorkehrungen. Jedoch sind bei Cloud Services ganz besonders die Speicherung (in der durch Dritte zur Verfügung gestellten Cloud) und die Datenübertragung (über potenziell unsichere Netzwerke) zu beachten. Besondere Risiken der Cloud In [RUP10] und [SSEC10] wird auf die besonderen Gefahren für Cloud- Anwendungen und die dagegen möglichen Schutzmaßnahmen eingegangen. Die wichtigsten Angriffsmöglichkeiten und Unterteilungen der Bedrohungen bei Cloud-Applikationen werden in der Folge beschrieben: Aktive bzw. passive Angriffe Bei aktiven Angriffen verändert der Angreifer Daten oder Einstellungen im System und dadurch können diese Angriffe auch auffallen. Aktive Angriffe brauchen eine Verbindung zum Zielsystem in der Cloud und dienen oftmals als auch Vorbereitung für passive Angriffe (z.B. die Veränderung von Einstellungen, damit der Datenverkehr über einen Rechner des Angreifers umgeleitet wird). Bei passiven Angriffen nimmt der Angreifer keine Veränderungen im Zielsystem vor, sondern er nutzt die Datenübertragungswege um z.B. den Datenverkehr abzuhören und die mitgeschnittenen Daten missbräuchlich zu verwenden. Interne bzw. externe Angriffe Interne Angriffe gehen von Mitarbeitern oder Partnern des Cloud- Dienstleisters aus. Der Nutzer hat keinen Einfluss auf diesen Bereich Seite 7 von 18
Web Security Helmut Hieß Mai 2013 und ist auf die Sicherheitsvorkehrungen seines Dienstleisters angewiesen. Bei externen Angriffen versuchen Dritte (z.B. Hacker oder Cracker) die Applikation und die Daten in der Cloud anzugreifen. Durch das Ausnutzen von Schwachstellen oder das Umgehen von Sicherheits- einrichtungen versuchen sie in das System einzudringen und entweder Schaden anzurichten oder sich einen wirtschaftlichen Vorteil durch das Entwenden von Daten zu verschaffen. DoS Attacken Durch Denial of Service Attacken (oder als verschärfte Form auch Distributed-DoS von vielen infizierten Rechnern gleichzeitig) werden Server überlastet, die Nutzung behindert und somit der Ruf des Anbieters beschädigt. Man in the Middle – Angriffe So wie beim Abhören des Datenverkehrs kann der Angreifer den kompletten Datenverkehr mitlesen und hat zusätzlich die Kontrolle über den Datenverkehr. Cross-Site-Request-Fogery – Angriffe Bei diesem Angriff kommt der Angreifer auf den Client-Rechner, bringt Schadsoftware auf den Rechner und diese startet den Angriff auf den Cloud-Server. Dieser Angriff funktioniert dann, wenn der Client am Cloud-Server angemeldet ist und dadurch die Rechte zum Ausführen der Operationen hat. Dieser Angriff ist keine spezifische Gefährdung von Cloud-Servern, sondern eher ein Angriff auf die Anwender und seine Daten in der Cloud durch das Ausnutzen von Schwachstellen im Client- Rechner. Besondere Schutzmaßnahmen Security Monitoring ist notwendig, um aktive Angriffe erkennen zu können. Diese Angriffe können sowohl am Cloud-Server als auch am Client-System erfolgen und deswegen sind beide Komponenten zu überwachen. Eine Verschlüsselung der Datenübertragung ist unumgänglich um Man- in-the-Middle Attacken zuverlässig zu verhindern (z.B. SSL/SSH- Seite 8 von 18
Web Security Helmut Hieß Mai 2013 Verbindungen). Dabei müssen sich auch beide Kommunikationspartner identifizieren (z.B. mit Zertifikaten), damit nicht ein Angreifer sich als einer der beiden Kommunikationspartner ausgeben kann. Werden im Rahmen in eines IaaS-Servicemodells virtuelle Rechner durch den Nutzer betrieben, so sind die entsprechenden Firewall- Einstellungen zu setzen. Weil der Nutzer keinen Einfluss auf die Sicherheitseinstellungen und – Vorkehrungen des Cloudservice-Anbieters hat, kann er sich nur durch die Auswahl des Dienstleisters und eine entsprechende Vertrags- gestaltung schützen. Da der Markt der Cloud-Services jedoch von sehr wenigen sehr großen Anbietern dominiert wird, liegt die Marktmacht zur Bestimmung der Vertragsregeln wohl auf der Seite der Anbieter und die Durchsetzung von vertraglichen Vereinbarungen, welche von den Standardbedingungen der marktbeherrschenden Anbieter abweichen, ist wohl sehr schwierig. Die Sicherheit der Web Service Anbieter Bei Web Services teilt sich die Sicherheit grundsätzlich in 2 Bereiche: Jene Sicherheit, die der Anbieter in seine Systeme integriert hat, um den Diebstahl der Daten zu verhindern und jene Sicherheits- mechanismen, die er seinen Kunden anbietet, um den Zugang zu den Daten möglichst sicher gestalten zu können. Datensicherheit bei den Anbietern Die Sicherheit der Daten beim Anbieter beruht auf physikalischen Sicherheitsbarrieren und auf Vorsorgemaßnahmen gegen das Eindringen von Unberechtigten in die Systeme. Daneben sind aber auch Vorsorge- maßnahmen notwendig um z.B. den Datendiebstahl durch die eigenen Mitarbeiter – oder ehemalige Mitarbeiter – zu unterbinden. Um den gesetzlichen Anforderungen der Datenhaltung für die Kunden zu erfüllen, kann der Kunde allen drei Anbietern auswählen, in welchem geografischen Gebiet seine Daten tatsächlich auf den Servern gespeichert sein sollen [WSJ13]. Seite 9 von 18
Web Security Helmut Hieß Mai 2013 Grundsätzlich ist der Kunde auf die Sicherheitsversprechen und Vorkehrungen der Anbieter angewiesen und kann diese selbst nicht verbessern. Microsoft und Amazon erlauben jedoch auch die Durchführung eigener Tests, um die Systeme auf mögliche Sicherheits- lücken hin zu überprüfen [WSJ13]. Informationen auf den Websites der Anbieter Die Cloud-Anbieter verstehen unter dem Schlagwort Sicherheit in erster Linie eine Zusicherung von Verfügbarkeit im Rahmen von Service Level Agreements und den Schutz gegen Datenverlust durch redundante Speicherung. Die Absicherung gegen Diebstahl oder Ausspähen der Daten durch Ditte wird auf den Websites von Microsoft und Google nur am Rande erwähnt. Amazon bietet sehr umfangreiche Informationen zur physischen Absicherung der Daten und zur Zutrittskontrolle zu den Rechenzentren und beschreibt die Rechte und Möglichkeiten der Amazon- Administratoren. So haben die Administratoren nur Zugang zu Systemen, wenn es auch tatsächlich notwendig ist und auf den virtuellen Rechner der Kunden können Sie sich überhaupt nicht einloggen. Außerdem gibt es detaillierte Informationen über Möglichkeiten zur Einstellung und Konfiguration der virtuellen Rechner, um den Kunden das richtige Einstellen und Konfigurieren (z.B. von Firewalls) zu erklären. Die Ausführung der einzelnen Instanzen und virtuellen Maschinen wird bei Amazon Elastic Compute Cloud über Xen Hypervisor realisiert und Amazon betont als aktives Mitglied der Xen Community auch aktiv an der weiteren Verbesserung der Sicherheit von Xen mitzuarbeiten. Mögliche Angriffe über das Netzwerk erklärt Amazon ebenfalls sehr ausführlich und beschreibt gleichzeitig die Strategie von Amazon, wie man solchen Angriffen begegnet und diese damit möglichst auch verhindert. Die Speicherung der Daten selbst erfolgt bei Amazon mit dem Dienst Simple Storage Service (S3). Diese Daten werden von Amazon nicht Seite 10 von 18
Web Security Helmut Hieß Mai 2013 verschlüsselt, sondern so wie vom Kunden oder der Anwendung übertragen auch gespeichert. Dies bedeutet, dass der Kunde selbst eine Verschlüsselung der Daten vornehmen muss, bevor diese in den S3- Speicher kommen. Das Löschen der Daten erfolgt sofort durch das Verändern der entsprechenden Zugriffstabellen und auch die geografisch verteilten Duplikate werden innerhalb weniger Sekunden gelöscht. Das tatsächliche Überschreiben der gespeicherte Inhalte erfolgt aber erst dann, wenn der freie Speicherplatz für das Speichern neuer Daten benötigt wird. Vergleiche der 3 Anbieter Das Wallstreet Journal hat gemeinsam mit Forrester Research im Feber 2013 die 3 großen Anbieter von Cloud-Diensten verglichen [WSJ13]. Bei diesem Vergleich wurden auch Stellungnahmen der Anbieter zu Sicherheits- und Servicefragen eingeholt. Generell schneidet dabei Google beim Kundenservice und der Offenlegung von Sicherheitskriterien nicht so gut, was aber unter anderem damit begründet wird, dass Googles Compute Cloud erst relativ neu am Markt ist und sich daher teilweise noch in der Testphase befindet und aus dem Feedback der Anwender erst entsprechende Serviceangebote zusammengestellt werden sollen. Alle 3 Anbieter werben damit, Audits zu den relevanten Sicherheits- standards durchzuführen und die entsprechenden Vorschriften auch ein- zuhalten (z.B. ISO 27001). Natürlich hat jedes Unternehmen die Regeln zur Nutzung seiner Cloud- Dienste im Rahmen der Nutzungsbedingungen festgelegt. Das Vereinbaren von Service Level Agreements mit Abänderungen durch den Kunden ist nur bei Amazon möglich, wobei jedoch auch bei diesem Anbieter die Kunden zuerst mit Standardvereinbarungen losstarten und erst im Laufe der Zeit Änderungen des Servicelevels wünschen. Aufgrund der entsprechenden Reife ihres Angebotes erlauben die Amazon und Microsoft ihren Kunden auch das Durchführen von eigenen Sicherheitstests. Aber natürlich dürfen dabei nur die eigenen Seite 11 von 18
Web Security Helmut Hieß Mai 2013 Ressourcen nach entsprechender Ankündigung geprüft werden. Microsoft erlaubt zusätzlich die Inspektion der physischen Datencenter. Microsoft Amazon Google Service Level Agreement Nein Ja Nein mit Kundendefinitionen Entschädigung f. Ausfall Gutschrift Gutschrift Gutschrift Ein Ansprechpartner für Teilweise Teilweise Nein alle Fragen und Probleme Sicherheitstests durch Ja Ja Nein Kunden möglich Auswahl des geo- Ja Ja Ja grafischen Speicherortes Abbildung 3: Vergleich Service-Kategorien 2013 [WSJ13] Eine Auswahl des geografischen Speicherortes ist bei allen drei Anbietern möglich, jedoch ist das noch kein Schutz davor, dass die Daten auch in andere Länder gelangen, denn so sind z.B. Cloud- Anbieter aus den USA aufgrund der Gesetze („Patriot Act“) verpflichtet, auch Daten von Speicherorten außerhalb den USA den Behörden im Bedarfsfall auszuliefern. Um einen solche Datenweiterleitung zu unterbinden, ist es notwendig, sich einen Cloud-Anbieter mit Sitz außerhalb den USA zu suchen. Dabei ist auch darauf zu achten, dass es sich nicht um „Schein-EU-Anbieter“ handelt, welche die Daten augrund ihrer Firmenstruktur auch wieder an die US-Behörden ausliefern müssen [HEI13]. Im weiteren Sinne unter Datensicherheit fällt auch die permanente Ver- fügbarkeit der Cloud Services und damit der Zugriff auf die eigenen Daten. Obwohl die großen Anbieter der Cloud-Dienste mit besonders hoher Verfügbarkeit werben, so gab es doch 4 Tage Ausfall von Amazon im Jahr 2011 und 2 Tage Ausfallszeit von Windows Azure aufgrund von abgelaufenen SSL-Zertifikaten im Feber 2013. [OIA13] Seite 12 von 18
Web Security Helmut Hieß Mai 2013 Sicherheitsfeatures für die Anwender In [CIO10] wurden die Anbieter von Web-Services unter anderem nach Sicherheitsaspekten verglichen, wobei auch sehr viele kleine Anbieter miteinbezogen wurden. Beim diesem Vergleich waren die speziell auf Cloud-Infrastrukturen zugeschnittene Sicherheitsfeatures das wichtigste Entscheidungskriterium. Besonders wichtig für die Bewertung war daher, dass Antivirus, Identity-Management, Authentifizierung oder Verschlüsselung speziell für die Anforderungen in hybriden Cloud- Architekturen entwickelt wurden. Bei diesem Vergleich zeigte sich allerdings, dass die 3 großen Anbieter Microsoft, Amazon und Google nicht auf den vorderen Plätzen zu finden war. Abbildung 2: Ranking Cloud-Security 2010 [www.cio.de] Die Verwaltung der Rechte für die verschiedenen Dienste, Rechner und Ressourcen erfordert genauso wie bei lokalen System eine detaillierte Zuordnung von Berechtigungen. Während dies bei Windows Azure mit dem Active Directory erfolgt, hat Amazon das AWS Identity and Access Management (IAM) mit einer sehr ähnlichen Funktionalität entwickelt. Auswahl eines Anbieters Die Verwaltung der Rechte für die verschiedenen Dienste, Rechner und Ressourcen Aufgrund der Vergleiche der Sicherheit ergeben sich keine klare Favoriten für einen der drei großen Anbieter. Bei der Auswahl sind Seite 13 von 18
Web Security Helmut Hieß Mai 2013 die entscheidenden Kriterien wohl die entsprechende Funktionalität für die Umsetzung der eigenen Anforderungen und die Kosten. Sicherheitsaspekte werden von allen Cloud-Anbietern sehr ernst genommen, doch eine totale Garantie gegen Datenverlust oder Datendiebstahl gibt es nicht – allerdings besteht dieses Sicherproblem auch beim Betrieb eines eigenen Rechenzentrums. Sicherheitsempfehlungen Um als Anwender möglichst sicher die Cloud-Dienste nutzen zu können, sollten einige einfache Sicherheitsregeln eingehalten werden [QSC13]: • Verschlüsselung der Datenübertrg mit SSL • Vergewisserung über die Datensicherungen des Cloud-Anbieters und zusätzlich eine eigene Sicherung aller Daten, welche in der Cloud gespeichert sind. • Sensible Daten sollten in der Cloud nur verschlüsselt abgelegt werden. • Notfallplan aufstellen, wenn die Dienste der Cloud einige Zeit nicht erreichbar sind. • Nach Möglichkeit SLA vereinbaren, welche dem Geschäftskonzept des Unternehmens genügen. Das Einhalten dieser recht einfachen Regeln sollten bereits vor den meisten Gefahren schützen. Die Zukunft der Cloud Die Cloud-Dienste entwickeln sich weiter und nehmen in Zukunft sicherlich einen noch größeren Anteil innerhalb der IT-Landschaft ein. Gemäß einer Studie von IDC aus dem Jahr 2012 planen 23 Prozent der befragten Unternehmen, Cloud-Dienste so stark als möglich zu nutzen und 38 Prozent wollen immerhin einen Teil der IT in die Cloud bringen [IDC12]. Seite 14 von 18
Web Security Helmut Hieß Mai 2013 Abbildung 3: Unternehmensstrategie für Cloud Computing [IDC12] Natürlich gibt es nach wie vor Bedenken, wenn Daten, Services oder die ganze Infrastruktur in die Cloud verlagert werden sollen. Die wichtigsten Hinderungsgründe sind der Kontrollverlust über die eigenen Daten und die Ungewissheit über die Sicherheit und Verfügbarkeit – man ist eben immer vom Cloud-Anbieter abhängig [QSC13]. Seite 15 von 18
Web Security Helmut Hieß Mai 2013 Abbildung 4: Bedenken gegen Nutzung von Cloud Computing [QSC13] Bei allen Bedenken gegen Kontrollverlust, mögliche Sicherheitslücken oder eine temporäre Nicht-Verfügbarkeit sollte allerdings auch beachtet werden, dass in eigenen Rechenzentren niemals absolute Sicherheit und Verfügbarkeit vorherrschen können. Seite 16 von 18
Web Security Helmut Hieß Mai 2013 Zusammenfassung Das Auslagern der Datenverarbeitung und der dazu notwendigen Ressourcen in die Cloud bringt den Anwendern viel Flexibilität. Dabei entstehen naturgemäß zusätzliche Gefahren durch die Speicherung außerhalb des eigenen Einflussbereiches und die Absicherung der Datenübertragung. Durch entsprechende Vorsorgemaßnahmen sind diese Gefahren aber berechenbar und auch nicht höher als beim Betrieb eigener Rechenzentren. Die Unterschiede zwischen den großen Anbietern im Bereich Sicherheit sind relativ gering. Die Hauptunterschiede beziehen sich eher auf die Informationspolitik und auf den Focus auf bestimmte Servicemodelle. Grundsätzlich bieten alle drei Anbieter einen sehr hohen Sicherheitslevel – etwas anderes können sich diese Anbieter auch aus Imagegründen nicht leisten. Die Anwender sollen allerdings auch immer bedenken, dass es zu Sicherheitslücken kommen kann. Pannen kommen immer wieder vor und daher sollten die Anwender auch dafür die entsprechenden Vorkehrungen treffen wie z.B. eine Verschlüsselung der gespeicherten Daten oder der Aufbewahrung von lokalen Sicherungskopien. Seite 17 von 18
Web Security Helmut Hieß Mai 2013 Referenzen: [NIST11] Peter Mell, Timothy Grance; The NIST Definition of Cloud Computing; National Insitute of Standards and Technology; 2011; [CSA09] J. Archet et. Al.; Security Guidance for Critical Areas of Focus in Cloud Computing V2.1.; Cloud Security Alliance; 2009; [RUP10] A. Ruppel; Angriffsarten und Angreifertypen in Cloud-Computing- Systemen; Fraunhofer SIT; 2010; [SSEC10] A.Ruppel, P.Schmitz; Angriffsarten und Angreifertypen in Cloud- Computing-Systemen; http://www.searchsecurity.de/ themenbereiche/applikationssicherheit/web-application- security/articles/254228/; 2010; [WSJ13] Tom Loftus; Public Cloud Vendors Side by Side by Side; Wall Street Journal; http://blogs.wsj.com/cio/2013/02/26/public-cloud- vendors-side-by-side-by-side/; Feb.2013; [OIA13] S. Hulbert; Comparing Amazon Web Services, Microsoft Windows Azure and Vmware Cloud Services; http://www.opusinteractive.com/blogs/Comparing-Amazon-Web- Services,-Microsoft-Windows-Azure-and-Vmware-Cloud- Services/1161.html; 2013 [CIO10] H. Eriksdotter; Die Top 10 Cloud-Anbieter in 7 Kategorien; http://www.cio.de/was_ist_cloud_computing/anbieter/2243859/ index2.html; 2010 [CIO12] Michael Kallus; Sicherheitsbedenken schwinden; http://www.cio.de/was_ist_cloud_computing/2882345/index.html; 2012 [HEI13] Arnold Böken; Patriot Act and Cloud Computing; http://heise.de/- 1394430 ; 2012; [IDC12] Cloud Computing in Deutschland 2012 – Evolution der Revolution; http://www.idc.de/press/presse_idc_studie_cloud2012.jsp; 2012 [QSC13] Klaus Manhart; Vorsicht, Wolke – Sicherheitsrisiken beim Cloud- Computing; http://blog.qsc.de/2013/04/vorsicht-wolke- sicherheitsrisiken-beim-cloud-computing/; 2013 Seite 18 von 18
Sie können auch lesen