Die wichtigsten Maßnahmen für sicheres Cloud Computing
Der erste Schritt hin zum sicheren Cloud Computing heißt IT-Risiko-Management. Man muss die Risiken kennen, um entscheiden zu können, welche Services unter welchen Voraussetzungen wo ausgeführt werden können. Das setzt eine Risikobewertung von Diensten und der von diesen verarbeiteten Daten voraus.
Es setzt aber auch eine konsistente Service-Beschreibung voraus, zu der neben diesen Risiken auch die Ausführungsbedingungen gehören. Dort muss beispielsweise festgehalten sein, welche Sicherheitsanforderungen gestellt werden und wo die Verarbeitung erfolgen soll - wie beispielsweise bei personenbezogenen Daten. Auch spezifische Anforderungen wie eine verschlüsselte Übertragung und Speicherung sind hier zu nennen. Das muss auch in SLAs (Service Level Agreements) gefasst werden. Service-Beschreibungen können mit den vorgegebenen SLAs von Anbietern abgeglichen werden, um zu erkennen, ob die Voraussetzungen beispielsweise für eine Externalisierung gegeben sind. Und falls ein (interner oder externer) Anbieter keine geeigneten SLAs anbietet, ist das auch ein Ausschlusskriterium.
Der Autor
Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.
Kuppinger Cole ist Ausrichter der European Identity Conference 2010, die sich als Leitveranstaltung rund um diese Themenbereiche etabliert hat. Martin Kuppinger hat darüber hinaus eine Vielzahl von IT-Fachbüchern und -Fachartikeln veröffentlicht. Weitere Informationen unter www.kuppingercole.com
Wichtig sind aber auch Überwachungsmechanismen, mit denen man die Einhaltung von SLAs überwachen kann. Das ist oft noch eine Herausforderung, da viele Cloud-Anbieter den Standpunkt vertreten, dass sie ihre Leistung erbringen und die Details den Kunden wenig oder nichts angehen. Natürlich ist es aber zwingend, dass man Informationen über relevante Ereignisse beim Provider erhält.
Unverzichtbar sind bei der Cloud auch durchgängige Konzepte für die Administration, Authentifizierung, Autorisierung und eben das Auditing. Ein Identity und Access Management muss auch die Cloud-Angebote mit erfassen und sicherstellen, dass interne Sicherheitsanforderungen und Richtlinien eingehalten und bei externen Cloud Services umgesetzt werden können. Hier liegt allerdings bei den externen Cloud-Anbietern noch vieles im Argen. Schnittstellen für ein externes Management dieser Themen fehlen oft noch oder sind sehr rudimentär, obwohl es in fast allen Bereichen geeignete Standards gibt. Die Unterstützung von Standards wie SAML, SPML oder XACML muss daher bei der Service-Beschreibung zu zwingenden Anforderungen führen und die Anbieterauswahl beeinflussen.
Schließlich muss man sich auch mit den speziellen Sicherheitsrisiken beschäftigen, die sich durch die Virtualisierung als einer der Basistechnologien des Cloud Computings ergeben. Wenn nicht mehr wie bisher mit physischen Maschinen, sondern mit virtuellen Systemen gearbeitet wird, müssen sich manche Konzepte, die bisher auf festgelegte physische Systeme ausgerichtet waren, auch entsprechend ändern.
Ein weiteres Thema, das häufig im Zusammenhang mit der Sicherheit angesprochen wird, ist das Risiko, das entsteht, wenn die Service-Erbringung durch eine Kombination von Diensten verschiedener (interner und externer) Anbieter entsteht. Das ist eher ein Verfügbarkeits- als ein Sicherheitsproblem, wenn man die Herausforderung "IAM für die Cloud" gelöst hat.