Sicherheitsprobleme für IT-Outsourcing durch Cloud Computing
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Best Paper
AWARD
Mathias Ardelt, Frank Dölitzscher, Martin Knahl, Christoph Reich
Sicherheitsprobleme für IT-Outsourcing durch HMD
Cloud Computing 2011
Sowohl fehlende Standards aufseiten der Cloud- gung gestellt. Diese »Abrechnung bei Nut-
Provider als auch unklare Sicherheitsbestimmun- zung« stellt den wichtigsten Unterschied zu bis-
gen machen eine Risikoanalyse von Services, die herigen Mainframe-Computing-Diensten oder
in der Cloud angeboten werden, schwierig. Eine reinen Virtualisierungslösungen dar. Vor allem
Lösung hierfür ist die Analyse Cloud-spezifischer automatisierbare Auf- und Ab-Skalierbarkeit ist
Sicherheitsprobleme und der Vergleich mit Pro- für Unternehmen sehr interessant, um Dienste
blemen des klassischen IT-Outsourcings. Die jeglicher Art in einer Cloud-Umgebung zu be-
identifizierten Probleme werden hinsichtlich der treiben. Einer der größten Public Cloud Compu-
bedrohten Schutzziele nach BSI IT-Grundschutz ting Service Provider (CSP) aktuell ist Amazon
eingeordnet und es werden Maßnahmen zur Web Services (AWS) mit der Elastic Compute
Linderung der Probleme vorgeschlagen. Cloud- Cloud (EC2). Kleine und mittlere Unternehmen
Einsteiger profitieren von den vorgestellten Leit- (KMU) profitieren von Cloud Computing durch
fäden zum Thema Cloud-Sicherheit, Cloud-An- eine schnellere Markteinführung von neuen
wender können durch die aufgeführten Sicher- Softwareprodukten, ohne die sonst notwendige
heitsvorfälle bei Cloud-Providern ihre Cloud- kostenintensive Hardwareprovisionierung so-
Ressourcen besser evaluieren. wie den vorausgehenden Know-how-Aufbau
ihrer Mitarbeiter (z.B. Hardwareadministrato-
Inhaltsübersicht ren). Bestellung und Inbetriebnahme einer typi-
schen Webserviceumgebung (Webserver, Da-
1 Cloud Computing 2011:
tenbank, Loadbalancer) können nun innerhalb
Erfolge und Misserfolge
von Stunden geschehen anstatt innerhalb meh-
2 Cloud-Sicherheitsprobleme
rerer Tage. Typische Lastspitzen bei einem Pro-
2.1 Gegenwärtige Literatur zur
duktlaunch können durch die flexible Skalie-
Cloud-Sicherheit
rung nach oben vermieden werden. Sinkt die
2.2 Bekannte Cloud-Sicherheitsprobleme
Zugriffsnachfrage, sorgt eine Rückskalierung
2.3 Cloud-spezifische Sicherheitsprobleme
dafür, dass benutzte Cloud-Instanzen (meist
2.4 Sicherheitsprobleme auf einen Blick:
virtuelle Maschinen (VMs)) wieder freigegeben
Cloud vs. IT-Outsourcing
werden und sich somit kostenneutral verhalten.
3 Transparenz ist gefordert
Gleichzeitig identifizieren aktuelle Analy-
4 Literatur
sen aus Industrie [CSA 2009; ENISA 2009] und
Forschung [Vaquero et al. 2011; Chen et al. 2010]
1 Cloud Computing 2011:
den Bereich der Cloud-spezifischen Sicherheits-
Erfolge und Misserfolge probleme als wichtigstes Forschungsthema im
Cloud Computing ist eine der wohl signifikan- Bereich des Cloud Computing. Aktuelle Proble-
testen Veränderungen innerhalb der Informa- me des Cloud-Providers Amazon Web Services
tionstechnologie [CSA 2010]. Während es viele bestätigen dies. Während eines 3-tägigen Aus-
unterschiedliche Definitionen zu Cloud Compu- falls der EC2-Infrastruktur im April 2011 waren
ting gibt, sind sich alle in einem Punkt einig: beispielsweise die Dienste des hoch frequen-
Jede netzwerkfähige Computing-Ressource wird tierten Online-Unternehmens Reddit ausgefal-
im Cloud Computing »as-a-Service« zur Verfü- len und Kunden konnten keinerlei Dienste nut-
62 HMD 281Cloud-Computing-Sicherheit
zen. Einerseits überstieg die Ausfalldauer Ama- auf denen Cloud-Anwender ihre Dienste betrei-
zons Service Level Agreements (SLAs) zur ben. Dies gilt auch für das klassische IT-
Verfügbarkeit bei Weitem (EC2-Verfügbarkeit: Outsourcing, und Anbieter versuchen durch Zer-
99,95% entspricht ca. 4,38 Stunden Ausfall/ tifizierungen wie ISO 9001 und ISO 2700x beim
Jahr), andererseits sorgen mit dem Ausfall ein- Kunden Vertrauen in die Infrastruktur aufzu-
hergehende Randinformationen für großen bauen. Bei Cloud-Providern ist aktuell eine ge-
Schaden bezüglich des Vertrauens gegenüber genläufige Informationspolitik zu beobachten.
Cloud-Providern: Obwohl auch Amazon Web Services in einem
Service Health Dashboard den Verfügbarkeits-
! Ein Amazon EC2-Rechenzentrum ist in ver-
status ihrer Cloud darstellt, können Kunden die-
schiedene Verfügbarkeitszonen (Availability
se Daten allerdings nur über eine Historie von ca.
Zones (AV)) aufgeteilt, um (Hardware-)Aus-
5 Wochen einsehen (vgl. Abb. 1). Die Probleme
fälle zu kompensieren. Amazon-Kunden spei-
vom April 2011 waren nur bis Ende Mai 2011 ein-
chern ihre Daten verteilt über verschiedene
sehbar. Fehlende Transparenz ist eine von meh-
Availability Zones. Trotzdem verloren bei dem
reren Cloud-spezifischen Gefahren, die aktuell
Ausfall Amazon-Kunden dauerhaft einen Teil
eine ausführliche Risikoanalyse, wie sie bei-
ihrer Daten. Ein Unternehmen, das Webser-
spielsweise nach BSI IT-Grundschutz vorge-
vice-Zugriffsstatistiken anbietet, verlor elf
schrieben wird, nicht zulassen.
Stunden Aufzeichnungen all seiner Kunden
[Business Insider 2011]. Unterschied zwischen klassischem
! Während des Ausfalls versuchte ein Kunde, IT-Outsourcing und Cloud Computing
dessen Unternehmen eine Online-Überwa-
Beim Outsourcing werden Arbeits-, Produk-
chung von Herzpatienten zur Verfügung
tions- oder Geschäftsprozesse einer Institution
stellt, den Amazon-Support zu erreichen.
ganz oder teilweise zu externen Dienstleistern
Trotz mehrfacher Kontaktaufnahme bekam
ausgelagert [BSI 2011, S. 17]. Dabei mietet ein
er keine Information bezüglich der erneuten
Kunde eine Infrastruktur und nutzt diese allein.
Serviceverfügbarkeit, noch wurden Maßnah-
Es handelt sich um ein Single-Tenant-Nutzungs-
men eingeleitet, seine virtuellen Maschinen
modell. Eine Erweiterung setzt eine Kommuni-
auf ein anderes Amazon-Rechenzentrum zu
kation mit dem externen Dienstleister voraus.
migrieren [AWS 2011].
Charakteristisch für IT-Outsourcing ist, dass
Charakteristisch für Cloud Computing ist das Verträge meistens über längere Laufzeiten ab-
Abtreten der Hardwarehoheit der Maschinen, geschlossen werden.
Abb. 1: Amazon Health Dashboard am 25.05.2011 und 31.05.2011 (http://status.aws.amazon.com)
HMD 281 63Cloud-Computing-Sicherheit
Bei Cloud Computing mietet der Kunde European Network and Information Security
ebenfalls eine IT-Infrastruktur, teilt sich diese je- Agency (ENISA), des Fraunhofer-Institutes so-
doch meist mit anderen Kunden. Dabei handelt wie verschiedene wissenschaftliche Veröffent-
es sich um das sogenannte Multi-Tenant-Nut- lichungen. Tabelle 1 gibt einen Überblick über
zungsmodell. Eine Erweiterung des Cloud-Ser- die wichtigsten aktuellen Studien zum Thema
vice ist dynamisch und automatisierbar, eine Cloud-Sicherheit und ihrer Intention.
vorausgehende Kommunikation mit dem Cloud-
Dienstleister ist nicht nötig. Cloud-Computing- 2.2 Bekannte Cloud-Sicherheitsprobleme
Verträge sind in der Nutzungsdauer sehr flexi- Sicherheitsprobleme lassen sich in folgende
bel. Eine Nutzung von wenigen Minuten bis zwei Kategorien einordnen:
mehreren Jahren ist möglich.
In unserer Betrachtung vereint der Begriff ! Bekannte Cloud-Sicherheitsprobleme, die auch
IT-Outsourcing die zwei Hauptmodelle IT-Hou- bei klassischem IT-Outsourcing oder dem Ein-
sing und Outsourcing. Beim IT-Housing stellt ein satz von Virtualisierung auftreten, jedoch
Kunde eigene Hardware (z.B. Server) im Rechen- durch die spezifischen Eigenschaften einer
zentrum eines IT-Housing-Dienstleisters auf. Cloud-Umgebung verstärkt werden.
Dieser betreibt die nötige Infrastruktur z.B. ! Cloud-spezifische Sicherheitsprobleme sind
Netz- und Netzwerkkomponenten. Die Admi- neue Sicherheitsprobleme die vor bzw. bei
nistration des Eigentums bleibt beim Kunden. einem Cloud-Einsatz berücksichtigt werden
Bei Outsourcing mietet ein Kunde die komplet- müssen.
te Infrastruktur vom Outsourcing-Provider. Die-
ser ist auch für die komplette Administration G1 Missbrauch von Administratorrechten
zuständig. Bei Housing ist dieses Sicherheitsproblem prak-
tisch ausgeschlossen, da der Provider keinen
2 Cloud-Sicherheitsprobleme Shell-Zugriff auf Kundensysteme hat. Bei
Sicherheitsprobleme sowie unklare rechtliche Outsourcing haben Administratoren Zugang
Regelungen gelten aktuell als wichtigste Fak- auf die Systeme, um Wartungsarbeiten (z.B.
toren, die einen industrieweiten Cloud-Einsatz Softwareupdates) durchzuführen. Bei Cloud
verhindern. In einer umfassenden Untersuchung Computing werden VMs meist als Managed
hat das Cloud Research Lab der Hochschule Root-Server betrieben. Der Cloud-Provider ist
Furtwangen aktuelle Literatur aus Forschung für die Administration der unterliegenden
und Industrie daraufhin analysiert, welche Pro- Hostmaschinen zuständig. Ein Administrator
bleme tatsächlich neue, cloud-spezifische Pro- hat über den Hypervisor auch immer Zugang zu
bleme sind und welche bereits aus dem klassi- den laufenden VMs auf dem Hostsystem. Ein
schen IT-Outsourcing sowie dem Einsatz von Ausnutzen dieses Zugangs ist möglich. Proble-
Virtualisierungstechnologien bekannt sind. matisch ist die fehlende Transparenz, welche
Einstellungsmerkmale Cloud-Provider an ihre
2.1 Gegenwärtige Literatur zur Administratoren stellen und wie deren Zugriffe
Cloud-Sicherheit protokolliert und kontrolliert werden.
Die wichtigste Literatur zu Cloud-Sicherheit für Betroffene Schutzziele:
IT-Entscheider sind aktuelle Studien der Cloud Vertraulichkeit, Integrität, Verfügbarkeit, Au-
Security Alliance (CSA), des Bundesamtes für thentizität, Autorisierung, Zurechenbarkeit,
Sicherheit in der Informationstechnik (BSI), der Verbindlichkeit, Datenschutz.
64 HMD 281Cloud-Computing-Sicherheit
Herausgeber Titel Inhalt
Cloud Security Security Guidance Vorstellung von (allgemeinen) Cloud-Sicher-
Alliance (CSA) for Critical Areas of heitsproblemen. Bereitstellung von Best
Focus in Cloud Practices zur Vermeidung klassischer
Computing V2.1 Cloud-Computing-Fehler
Cloud Security Top Threats to Cloud Kurzübersicht über aktuelle Cloud-Sicherheits-
Alliance (CSA) Computing V1.0 probleme
Bundesamt für Eckpunktepapier Empfehlungen für sicheres Cloud Computing,
Sicherheit in der Sicherheitsempfeh- die sich an Cloud Service Provider (CSP) richten
Informationstechnik lungen für Cloud-
(BSI) Computing-Anbieter
European Network and Cloud Computing – Identifizierung von Cloud-Sicherheitsproblemen,
Information Security Benefits, risks and Bereitstellung eines allgemeinen Risikofrage-
Agency (ENISA) recommendations for bogens für Cloud-Kunden bezüglich der Cloud-
information security Provider-Sicherheit
European Network and Security and Resilience Entscheidungsmodell für höheres Management
Information Security in Governmental Clouds zur Risikoanalyse bei Cloud-Nutzung für Behör-
Agency (ENISA) den
Fraunhofer-Institut für Studie: Marktanalyse über Cloud-Provider und Cloud-
Sichere Informations- Cloud-Computing- Sicherheit für kleine und mittelständige Unter-
technologie (SIT) Sicherheit nehmen
Luis M. Vaquero Locking the sky: Gegenüberstellung aktuell verfügbarer wissen-
a survey on IaaS cloud schaftlicher Veröffentlichungen zu Cloud-Sicher-
security heitsproblemen, Analyse des Lebenszyklus von
Cloud-Sicherheitsproblemen
Tab. 1: Gegenwärtige Literatur zur Cloud-Sicherheit
G2 Fehlende Transparenz eingesetzter nahmen für Cloud Computing aufgeführt wer-
Sicherheitsmaßnahmen den, handelt es sich hierbei lediglich um Sicher-
Beim IT-Outsourcing sind die Zuständigkeiten heitsempfehlungen und nicht um Sicherheits-
eindeutig geregelt: Der Kunde (Housing) bzw. vorschriften.
der Provider (Outsourcing) ist zuständig für ein- Betroffene Schutzziele:
gesetzte Sicherheitsmaßnahmen. Diese sind Datenschutz, Integrität, Verfügbarkeit.
dem Kunden gegenüber mitzuteilen. Provider
weisen die Einhaltung durch Zertifizierung (ISO G3 Fehlende Transparenz bei
2700x, BSI IT-Grundschutz) nach. Cloud-Provider Sicherheitsvorfällen
hingegen geben absichtlich nicht ihre Sicher- Da bei Housing-Lösungen die Systeme dem
heitsmaßnahmen preis, um sich und ihre Kun- Kunden gehören, ist dieser allein für die Siche-
den vor gezielten Angriffen zu schützen. Somit rung von Beweisspuren eines Sicherheitsvor-
müssen die Kunden eines Cloud-Providers darauf falls zuständig. Bei Outsourcing-Providern ist
vertrauen, dass dieser aktuelle Sicherheitsstan- der Dienstleister für die Beweissicherung ver-
dards berücksichtigt. Problematisch ist, dass antwortlich. Dieser verfügt hierfür über ge-
bisher noch keine Standardkriterien für die schultes Fachpersonal z.B. Mitarbeiter eines
Sicherheit einer Cloud-Umgebung definiert Computer Emergency Responce Teams (CERT).
wurden. Das BSI veröffentlichte lediglich ein Bei Cloud Computing müssen sowohl der Kun-
Eckpunktepapier mit Sicherheitsempfehlun- de als auch der Provider Beweisspuren sam-
gen für Cloud-Computing-Anbieter (vgl. Tab. 1). meln. Eine Regelung über Verhalten bei einem
Obwohl darin sehr detailliert Sicherheitsmaß- Sicherheitsvorfall fehlt jedoch meist. Aktuelle
HMD 281 65Cloud-Computing-Sicherheit
Cloud-Angebote bieten momentan weder ein die Kunden eine sichere Löschung von Daten,
transparentes Vorgehen, wie Sicherheitsvorfäl- z.B. durch mehrmaliges Überschreiben der Da-
le vom Provider erkannt und behandelt werden, tenträger, garantieren. Bei Cloud Computing ist
noch wie der Provider bei der Aufklärung von dieses Problem verschärft, da mehrere Kunden
Sicherheitsvorfällen agiert. sich Ressourcen teilen. Daher muss der Cloud
Betroffene Schutzziele: Service Provider eine effektive Vorgehensweise
Datenschutz, Integrität, Verfügbarkeit, zum sicheren Löschen bzw. Vernichten von Da-
Zurechenbarkeit. ten und Datenträgern haben. Kunden sollten
darauf achten, dass vertraglich geregelt ist, zu
G4 Bedrohung des Gesamtsystems durch welchem Zeitpunkt und in welcher Weise der
unzureichende Sicherheitskonfiguration Provider Daten bzw. Datenträger vollständig
einzelner Kundeninstanzen löschen oder vernichten muss [BSI 2011, S. 36].
Bei Housing gefährdet eine unsichere Konfi- Betroffene Schutzziele:
guration nur die jeweiligen eigenen Kunden- Datenschutz, Vertraulichkeit.
instanzen. Bei kompletten Outsourcing-Model-
len besteht die Gefahr nicht, da der Outsourcing- 2.3 Cloud-spezifische Sicherheitsprobleme
Dienstleister für den sicheren Betrieb zu sorgen Während die oben erwähnten Sicherheitspro-
hat. Das Problem ist allerdings durch den Ein- bleme schon durch frühere Technologien bekannt
satz von Virtualisierung bekannt. Mietbare vir- sind, entstehen durch die Eigenschaften von
tuelle Server, sogenannte V-Server (VE), laufen Cloud-Computing-Umgebungen neue Sicher-
isoliert voneinander auf einem Hostsystem und heitsrisiken.
teilen sich das unterliegende Betriebssystem.
Betreibt ein Kunde eine unsichere Software in G6 Fehlende Transparenz der Datenlokalität
seiner VE, gefährdet er durch einen möglichen In einem klassischen IT-Outsourcing-Projekt ist
Ausbruch die Sicherheit der anderen Kunden dem Kunden bekannt, in welchem Rechenzen-
auf dem Hostsystem. Durch die Multi-Tenant- trum seine Daten gespeichert werden. Meist
Architektur von Cloud Computing wird diese kann der Kunde das Rechenzentrum betreten
Gefahr noch verstärkt. Gelangt ein Angreifer und sich persönlich einen Überblick über physi-
durch unsichere Konfiguration auf die gleiche kalische Sicherheitsmaßnahmen verschaffen.
Hostmaschine, sind beispielsweise erweiterte Eine Auslagerung der Daten ist ohne vorherige
Denial-of-Service-Angriffe durch massive Zu- Kundenzustimmung nicht möglich. Bei Cloud
griffe auf schwer teilbare Ressourcen (bspw. Computing haben Kunden aktuell keine Mög-
Festplatten-I/O) möglich. Cloud-Kunden müs- lichkeiten, zu überprüfen, wo Daten gespeichert
sen ihre virtuellen Instanzen auch gegen mög- oder virtuelle Maschinen ausgeführt werden.
liche Angriffe »aus dem internen Rechenzen- Dies kann unter Umständen Probleme mit loka-
trum« absichern. len Datenschutzgesetzen verursachen. Wäh-
rend man zwar durch Service Level Agreements
Betroffene Schutzziele:
(SLA) festlegen kann, dass Daten nur in einem
Verfügbarkeit, Integrität, Datenschutz.
bestimmten Land gespeichert werden, gibt es
G5 Fehlende Transparenz über Datenverbleib für Cloud-Kunden momentan keine Möglich-
bei Providerkündigung/-wechsel keit, dies auch nachzuprüfen. Ein deutscher
Bei Housing ist diese Gefahr nicht gegeben, da Cloud-Provider könnte Kundendaten wiederum
die Systeme nach Auflösung der Verträge im unbemerkt zu Amazon nach Irland auslagern.
Eigentum des Kunden verbleiben. Bei Outsour- Betroffene Schutzziele:
cing sind vertragliche Regelungen notwendig, Datenschutz, Vertraulichkeit, Verfügbarkeit.
66 HMD 281Cloud-Computing-Sicherheit
G7 Missbrauch von Cloud-Ressourcen Informationen, wie gemeinsam genutzte Res-
Cloud-spezifische Vorteile, wie der schnelle Zu- sourcen nach Freigabe durch einen Kunden
griff auf zahlreiche virtuelle Maschinen inner- sicher bereinigt werden. Ebenfalls ist durch den
halb weniger Minuten, sind nicht nur für legal Root-Zugang bei IaaS-Instanzen (Infrastructure
agierende Unternehmen attraktiv. Noch nie war as a Service) eine größere Angriffsfläche vor-
es für Angreifer einfacher, leistungsstarke High- handen, um die Isolierung zu durchbrechen. Die
Performance-Hardware legal für wenige Cent Beachtung von Sicherheits-Best-Practices bei
mieten zu können. Es sind Fälle bekannt, in de- der Installation und Konfiguration von Cloud-
nen Malware, Trojaner, Phishing-Software oder Hosts sowie der Einsatz von zertifizierten
auch ganze Botnetzwerke, wie z.B. das Zeus- Hypervisoren (Common Criteria mindestens
Botnet, auf virtuellen Maschinen der Amazon Evaluation Assurance Level (EAL) 4) könnte das
Cloud gehostet wurden. Zur Authentifizierung Problem lindern [BSI 2011, S. 28].
eines Kunden werden bei aktuellen Cloud-Provi- Betroffene Schutzziele:
dern lediglich gültige Kreditkarteninformatio- Vertraulichkeit, Integrität, Verfügbarkeit,
nen benötigt. Eine strengere Nutzerauthentifi- Authentizität, Zurechenbarkeit, Verbindlichkeit,
zierung sowie intensives Monitoring von Cloud- Datenschutz.
Nutzeraktivitäten ist notwendig, um einen Miss-
brauch von Cloud-Ressourcen zu verhindern. G9 Fehlendes Sicherheitsmonitoring
Betroffene Schutzziele: Ein Sicherheitsvorfall innerhalb einer Cloud-
Verfügbarkeit. Umgebung sollte vom Cloud-Provider erkannt
und beseitigt werden. Aktuell wird jedoch von
G8 Fehlerhafte Isolation der geteilten keinem Provider ein automatisches System be-
Ressourcen trieben, das den Kunden über ein bestehendes
Bei Housing ist der Kunde Eigentümer der aus- Sicherheitsproblem in Kenntnis setzt. Beson-
gelagerten Systeme, bei Outsourcing werden ders bei der Verarbeitung von sicherheitskriti-
Systeme einem Kunden meist exklusiv zugeord- schen Daten kann es für einen Cloud-Kunden
net (Ausnahme V-Server, siehe Abschnitt 2.2). jedoch wichtig sein, seine Systeme für die
Lediglich die Netzwerkinfrastruktur (Kabel, Dauer des Vorfalls ggf. zu stoppen, um so die
Switches, Router) wird mit anderen Kunden ge- Integrität der Daten zu gewährleisten sowie die
teilt. Bei Cloud Computing ist eine durchgehen- Gefahr für die eigenen Systeme zu minimieren.
de Trennung aller verwendeten Ressourcen Um eine nachhaltige Risikoanalyse eines Cloud-
(CPU, RAM, Speicher, Netzwerkkomponenten) Computing-Einsatzes durchzuführen, ist es wich-
durch den Einsatz von Virtualisierung schwierig. tig zu wissen:
Obwohl die bisherige Anzahl von erfolgreichen ! Welche Maßnahmen zum Schutz der Cloud-
Hypervisor-Ausbrüchen sehr gering ist, steigt Umgebung existieren (Virenschutz, Intrusion
diese Gefahr mit zunehmender Codekomplexi- Detection System (IDS), Abwehrmaßnahmen
tät. Durch die kurze Provisionierungszeit von von Denial-of-Service-Angriffen, Firewall-Kon-
virtuellen Maschinen werden Ressourcen wie figurationen, Patch- und Änderungsmanage-
persistente Speichermedien (z.B. Festplatten) ment)
von mehreren Kunden (wieder-)verwendet. Pro-
! Historie über Serviceausfälle
blematischer ist dies bei Arbeitsspeicher oder
dem Prozessor-Cache. Diese Ressourcen müs- ! Installierte Software auf Hostsystemen inkl.
sen in der Cloud sehr schnell zugeteilt oder frei- Softwareversionen
gegeben werden, um den aktuellen Bedarf zu ! Ergriffene Maßnahmen zur Verfügbarkeit,
bewältigen. Aktuell bietet kein Cloud-Provider Ausfallsicherheit und Backup
HMD 281 67Cloud-Computing-Sicherheit
! Wer hat Zugriff auf Daten, Konfigurationen, operabilität unterschiedlicher Provider wichtig.
Logdateien etc.? Bei Housing-Providern ist dies kein Problem, da
! Welche Informationen werden bei einem der Kunde Eigentümer der Systeme ist und die-
Sicherheitszwischenfall übermittelt? se selbst betreibt (Installation, Administration).
Betroffene Schutzziele: Verbindlichkeit, Bei Outsourcing-Modellen müssen meist nur
Verfügbarkeit, Datenschutz, Vertraulichkeit. providerspezifische Monitoring-Schnittstellen
beachtet werden. Aktuelle Cloud-Computing-
G10 Verwendung unsicherer APIs Angebote unterschiedlicher Provider sind je-
Cloud-Provider bieten ihren Kunden Cloud doch inkompatibel zueinander. Eine Migration
Application Programming Interfaces (APIs) zur einer Cloud-Instanz von einem Anbieter zu ei-
Steuerung der Cloud-Ressourcen (VMs, Soft- nem anderen (Portabilität) ist ebenfalls nicht
warekomponenten) an. Diese werden zur Provi- möglich. Dies birgt das Risiko der Anbieterab-
sionierung neuer Instanzen sowie zum Ma- hängigkeit (Vendor Lock-in). Die Nutzung bei-
nagement, zur Orchestrierung und Überwa- spielsweise eines Microsoft Azure-Datenbank-
chung laufender Instanzen eingesetzt. Dadurch dienstes durch einen auf Google App Engine
hängt die Sicherheit eines Cloud-Systems nicht entwickelten Cloud-Dienst ist derzeit nicht
mehr nur von der Absicherung und dem siche- möglich [BSI 2011, S. 49].
ren Betrieb der gemieteten Instanzen (VMs, Die Verabschiedung und Einhaltung von
Software) ab, sondern ebenfalls von der Sicher- Standards für Cloud-Komponenten könnte eine
heit der angebotenen APIs. Authentizität, Zu- Lösung sein. Erste Anstrengungen in diese Rich-
gangskontrolle, Verschlüsselungs- und Moni- tung verfolgen die nachstehenden Projekte:
torfunktionen müssen robust gegen (un-)ab- ! Open Cloud Computing Interface
sichtlichen Missbrauch gestaltet sein, um die ! Open Virtualization Format (OVF)
Einhaltung von Sicherheitsrichtlinien zu unter- ! Open Stack Cloud Software – Rackspace
stützen [CSA 2010]. Da vor allem Drittanbieter Hosting, NASA
zusätzliche Cloud-Funktionen auf diesen APIs
aufbauen, z.B. Loadbalancing-Systeme, ent- Weiterhin ist eine eindeutige Exit-Vereinbarung
steht so eine weitere, teils komplexe Architek- zwischen Cloud-Provider und -Kunde notwen-
turschicht zwischen Cloud-Instanz und angebo- dig, die eindeutige Formate, Beibehaltung logi-
tenem Service, die kritisch zu untersuchen ist. scher Relationen und ggf. Offenlegung aller ver-
Der Einsatz von standardisierten Protokollen bundenen Kosten beinhaltet [BSI 2011, S. 50].
sowie Maßnahmen zur sicheren Softwareent- Betroffene Schutzziele:
wicklung (Microsoft Secure Development Life- Verfügbarkeit.
cycle (SDL) oder Software Assurance Maturity
Model (SAMM) des Open Web Application Pro- 2.4 Sicherheitsprobleme auf einen Blick:
ject (OWASP)) adressieren dieses Problem. Cloud vs. IT-Outsourcing
Betroffene Schutzziele: Tabelle 2 liefert einen zusammenfassenden
Vertraulichkeit, Integrität, Verfügbarkeit, Zu- Überblick über aktuelle Cloud-Sicherheitspro-
rechenbarkeit, Verbindlichkeit, Datenschutz. bleme und ordnet sie den betroffenen Schutz-
zielen sowie ihrer ursprünglichen Eigenschaft
G11 Fehlende Interoperabilität und Portabilität (IT-Outsourcing, Virtualisierung, Cloud Compu-
von Cloud-Providern ting) zu. Falls bekannt, werden Beispiele aufge-
Um Hochverfügbarkeitsszenarien abzubilden führt, ob ein Sicherheitsproblem schon einmal
oder im Falle eines Providerwechsels ist Inter- ausgenutzt wurde.
68 HMD 281Cloud-Computing-Sicherheit
Ur- Betroffene
Nr. Gefahr Bekannte Vorfälle Gegenmaßnahmen
sache Schutzziele
G1 Missbrauch von OC – Vertraulichkeit, • Detaillierte Monitoring-
Administrator- Integrität, Umgebung
rechten Verfügbarkeit, • Datenschutzbestimmungen
Authentizität, für CSP-Mitarbeiter einsehen
Autorisierung,
Zurechenbarkeit,
Verbindlichkeit,
Datenschutz
G2 Fehlende OC, V • Heartland Data Datenschutz, • Offenlegung von Sicherheits-
Transparenz Breach in 2009 Integrität, prozessabläufen des CSP,
eingesetzter Verfügbarkeit z.B. Patchmanagement,
Sicherheits- Logdateien
maßnahmen
G3 Fehlende OC • Amazon Service Datenschutz, • Feste Regelungen bei
Transparenz Health Dashboard Integrität, Sicherheitsvorfällen, z.B.
bei Sicherheits- History Verfügbarkeit, Offenlegung von Logdateien
vorfällen Zurechenbarkeit
G4 Bedrohung des OC, V • Amazon: BitBucket Verfügbarkeit, • Detaillierte Monitoring-
Gesamtsystems UDP-Flood-Attacke Integrität, Umgebung
durch unzurei- in 2009 Datenschutz
chende Sicher-
heitskonfiguration
einzelner Kunden-
instanzen
G5 Fehlende OC – Datenschutz, • Detailliert definierte Exit-
Transparenz über Vertraulichkeit Strategien
Datenverbleib bei • Nachweis über Prozeduren
Providerkündigung/ zum sicheren Löschen von
-wechsel Ressourcen
G6 Fehlende C – Datenschutz,
Transparenz der Vertraulichkeit,
Datenlokalität Verfügbarkeit
G7 Missbrauch von C • Zeus-Botnetz, Verfügbarkeit • Strengere Registrierungs-
Cloud- Trojaner und mani- kriterien bei Cloud-Angeboten
Ressourcen pulierte Office-Doku- • Bessere Verifizierung von
mente in Amazon neuen Cloud-Nutzern
EC2 (2010)
G8 Fehlerhafte C • Red- & Blue-Pill Vertraulichkeit, • Verpflichtende SLAs bezüg-
Isolation der Exploits durch Integrität, lich Patchmanagement und
geteilten J. Rutkowska (2008) Verfügbarkeit, Schwachstellenvermeidung
Ressourcen • Cloud Burst durch Authentizität, • Berücksichtigung von Best
Kortchinsky (2009) Zurechenbarkeit, Practices bei Installation und
Verbindlichkeit, Konfigurationen
Datenschutz
G9 Fehlendes C – Verbindlichkeit, • Detaillierte Monitoring-
Sicherheits- Verfügbarkeit, Daten- Umgebung
monitoring schutz, Vertraulichkeit
G10 Verwendung C • Angriff auf Amazon Vertraulichkeit, • Einsatz nur über
unsicherer APIs SOAP API durch Nils Integrität, Verfügbar- verschlüsselte
Gruschka (2009) keit, Zurechenbarkeit, Kommunikationspfade
Verbindlichkeit, • Verwendung starker Authen-
Datenschutz tizität und Zugangskontrollen
G11 Fehlende Inter- C • EMC Storage-Cloud- Verfügbarkeit • Einsatz von standardisierten
operabilität und Angebot schließt Formaten, Protokollen und
Portabilität von (2010) Schnittstellen
Cloud-Providern • Iron Mountain • Eindeutige Definition von
beendet Cloud-Sto- Exit-Kriterien
rage-Angebot (2010)
Legende:
V: Gefahr durch Einsatz von Virtualisierungslösung bekannt
OC: Gefahr ist sowohl bei IT-Outsourcing als auch bei Cloud-Systemen vorhanden, Auswirkungen werden allerdings
durch den Einsatz von Cloud Computing vergrößert.
C: Cloud-spezifische Bedrohung
Tab. 2: Übersicht Cloud-Sicherheitsprobleme
HMD 281 69Cloud-Computing-Sicherheit
3 Transparenz ist gefordert [CSA 2009] Cloud Security Alliance (CSA): Security
Guidance for Critical Areas of Focus in Cloud
Bei der Migration von Anwendungen in eine Computing v2.1. 12/2009.
Cloud-Umgebung sind deren spezielle Umge- [CSA 2010] Cloud Security Alliance (CSA): Top Threats
bungseigenschaften ebenfalls zu beachten. to Cloud Computing V1.0. 03/2010.
Eine einfache Adaption an eine entfernte Lauf- [ENISA 2009] European Network and Information
zeitumgebung oder beispielsweise die Umstel- Security Agency (ENISA): Cloud Computing Secu-
lung des Datenbank-Backends hin zu No-SQL- rity Risk Assessment. 11/2009.
Systemen ist nicht ausreichend. Da standardi- [Vaquero et al. 2011] Vaquero, L.; Rodero-Merino, L.;
sierte Cloud-Audits noch fehlen, müssen Cloud- Moran, D.: Locking the sky: a survey on iaas
Provider vor allem für mehr Transparenz in ih- cloud security. Computing 91(2011), 1, pp. 93-118.
ren Prozessen und ihrer Infrastruktur sorgen,
um ein Vertrauen in die Technologie aufzubau-
en. Cloud-Kunden benötigen ein Monitoring-
Werkzeug, um die Qualität der vertraglichen
Vereinbarungen überprüfen zu können. Im Falle
eines Sicherheitsvorfalls muss eine zeitnahe
Neubewertung des Risikos ermöglicht werden,
um eine Verletzung hoch priorisierter Schutz-
ziele zu vermeiden.
Mathias Ardelt B.Sc.
4 Literatur
Frank Dölitzscher M.Sc.
[AWS 2011] Amazon Web Services Discussion Fo- Hochschule Furtwangen
rums: Thread: Life of our patients is at stake – Cloud Research Lab
I am desperately asking you to contact, https:// Robert-Gerwig-Platz 1
forums.aws.amazon.com/thread.jspa?threadID 78120 Furtwangen
=65649&tstart=0; Zugriff am 30.05.2011. m.ardelt@gmx.de
[BSI 2011] Bundesamt für Sicherheit in der Informa- frank.doelitzscher@hs-furtwangen.de
tionstechnik (BSI): Eckpunktepapier Sicherheits- www.wolke.hs-furtwangen.de
empfehlungen für Cloud Computing Anbieter,
05/2011. Prof. Dr. Martin Knahl
[Business Insider 2011] Business Insider: Amazon's Hochschule Furtwangen
Cloud Crash Disaster Permanently Destroyed Fakultät Wirtschaftsinformatik
Many Customers' Data, www.businessinsider.com/ Prof. Dr. Christoph Reich
amazon-lost-data-2011-4; Zugriff am 25.05.2011. Hochschule Furtwangen
[Chen et al. 2010] Chen, Y.; Paxson, V.; Katz, R. H.: Fakultät Informatik
What's New About Cloud Computing Security? Robert-Gerwig-Platz 1
Technical Report UCB/EECS-2010-5, EECS De- 78120 Furtwangen
partment, University of California, Berkeley, {knahl, rch}@hs-furtwangen.de
2010; Zugriff am 25.05.2011. www.hs-furtwangen.de
70 HMD 281Sie können auch lesen
