Diese Story ist aus der Kategorie Innovation und dem Dossier CloudInfrastrukturservices

Gibt es Sicherheit in der Cloud?

Jedermann spricht darüber. Aber wie sicher ist Cloud-Computing wirklich?

Text: Rüdiger Rissmann, publiziert am 17.07.2014

Bei SWITCH begannen wir 2012 mit unserem Pilotprojekt Cloud-Computing. Heute haben wir den Punkt erreicht, an dem wir unsere Cloud-Infrastruktur auf Produktionsniveau im SCALE-Projekt aufbauen und der Community erste Dienste wie SWITCHdrive anbieten. Cloud-Sicherheit ist nur eines der Hauptthemen, die wir beim Aufbau der Cloud-Architektur behandeln.

Bezüglich meiner Erfahrungen mit der Cloud-Sicherheit ist für mich die interessanteste Frage, wie sicher Clouds sein können und was die Benutzer unter Sicherheit verstehen. Die Antwort auf diese Frage lässt sich in zwei Bereiche aufteilen: die technischen Aspekte und die nicht technischen Aspekte.

Technische Aspekte

Im technischen Bereich müssen wir die Bereitstellung von Cloud-Diensten mit den "hardwarebasierten" Bereitstellungsmodellen vergleichen. Die unten stehende Tabelle zeigt, dass die Angriffsfläche mit jeder hinzugefügten Schicht ansteigt. Reine hardwarebasierte Anwendungen bieten eine kleinere Angriffsfläche als virtualisierte Anwendungen und Cloud-Anwendungen. Jede dieser Schichten bringt ihre eigenen Probleme und Risiken mit; daher können wir sagen, dass wir mit jeder hinzugefügten Schicht unsicherer werden. Das ist jedoch nicht alles. Gleichzeitig kann jede dieser Schichten zur Sicherheit der Cloud-Umgebung beitragen.

Angriffsfläche/ Virtualisierungsgrad Bare Metal
Virtualisierung Cloud
Cloud-Frontend     X
Cloud Infrastruktur     X
Virtualisierungsschicht
  X X
Hypervisor-OS   X X
Hypervisor-Management   X X
Anwendung X X X
Middleware X X X
Betriebssystem X X X
Hardware X X X
  Angriffsflächen. Kreuze stehen für mögliche Schwachstellen

Wie oben erwähnt, bietet das Cloud-Computing neue Sicherheitsmerkmale und Cloud-Ressourcen lassen sich bis zu ihrem Besitzer zurückverfolgen. So kann zum Beispiel auf der Virtualisierungsschicht jede virtuelle Maschine zu einem Benutzerkonto zurückverfolgt werden und die Cloud verfügt über eine eingebaute Inventarliste der virtuellen Maschinen, die auf dem Host laufen. Diese virtuellen Maschinen können durch virtuelle Firewalls und andere Cloud-Sicherheitsmerkmale gesichert werden.

Ein Beweis dafür sind spezielle Cloud-Angebote für regulierte Wirtschaftszweige wie die Medizin und das Bankwesen, in denen die Sicherheitsanforderung extrem hoch sind.

Nicht technische Aspekte

Im nicht technischen Bereich bietet die Benutzung von Cloud-Diensten zunehmend komplexere Herausforderungen (zum Beispiel in den Bereichen Recht, Organisationen und Prozesse). Gleichzeitig wird oft gesagt, dass die Sicherheitsanforderungen für die IT-Infrastruktur unabhängig von der technischen Umsetzung gleich bleiben. Es spielt keine Rolle, ob die Dienste von der internen IT oder von externen Anbietern stammen, die normalerweise global standardisierte Service Level Agreements (SLAs) bereitstellen.
Im letzteren Fall müssen wir sicherstellen, dass der Vertrag mit dem externen Anbieter all unsere Sicherheitsanforderungen abdeckt. Wie uns viele Mitglieder unserer Community gesagt haben, geht die Sicherheit rasch über die Filter einer Firewall, Speicherauszüge, Redundanz usw. hinaus. Heute sind verschiedene Angriffsformen möglich, die den Datenschutz gefährden, ohne die grundlegenden Formen der technischen Sicherheit zu berühren. Es wird immer wichtiger zu wissen, welche Gesetze bei einem Anbieter und seinen Angeboten gelten, was wiederum abhängt von den Ländern, in denen er tätig ist.

In diesem Bereich kann SWITCH neben dem technischen Know-how viel Mehrwert und Fachwissen in seinen Cloud-Angeboten bieten. Das Betriebsmodell von SWITCH ermöglicht es für seine Interessengruppen, sich an der Ausgestaltung des Cloud-Angebots zu beteiligen. In diesem Sinn zielt es darauf ab, eine Erweiterung der Infrastruktur einer Institution zu werden. Dies ist im Vergleich zu einem externen Anbieter eine ganz andere Rolle. Sie erlaubt der SWITCH-Community an der Governance der SWITCH-Cloud und ihrem Betrieb teilzunehmen

Cloud für die akademische Nutzergemeinschaft der Schweiz

Hier bei SWITCH bauen wir eine Cloud-Infrastruktur für die Zielgruppe der akademischen Community der Schweiz auf. In dieser Anfangsphase wird unsere Zielgruppe aus Forschungsprojekten und Forschern bestehen. Abhängig von den Rückmeldungen aus der Nutzergemeinschaft und unseren Erfahrungen mit der Cloud-Infrastruktur werden wir in der Lage sein, die Dienste der Cloud-Infrastruktur an die zukünftigen Sicherheitsbedürfnisse unserer Nutzergemeinschaft anzupassen. Wir werden uns speziell auf eine integrierte Sicht der Sicherheit fokussieren, die sowohl die technischen als auch die noch wichtigeren nicht technischen Aspekte des Cloud-Betriebs umfasst, zu denen spezielle rechtliche und betriebliche Anforderungen der Schweizer Hochschulen gehören.

Kontaktperson: ruediger.rissmann@switch.ch
Über den Autor
Rüdiger   Rissmann

Rüdiger Rissmann

Nach dem Erwerb des Physikdiploms an der Universität Heidelberg im Jahr 1999 war Rüdiger Rissmann als IT-Architekt und Sicherheitsspezialist für die IBM-Forschung tätig, bevor er 2013 zu SWITCH wechselte. Er arbeitet nun für das SCALE-Projekt zum Aufbau der Cloud-Infrastruktur von SWITCH.

E-Mail

Weiterführende Links

Das SCALE-Projekt:

https://www.switch.ch/uni/projects/cloud/

https://www.switch.ch/drive/

Rechtliche Aspekte der Cloud:

http://stories.switch.ch/de/stories/cloud_legal/

Wichtige externe Quellen zur Sicherheit in der Cloud:

Cloud Security Alliance (CSA): https://cloudsecurityalliance.org/

European Network and Information Security Agency (ENISA): Report

Zdnet.com: Hypervisors: Die potenzielle Achillesferse der Sicherheit in der Cloud

The Guardian: Yahoo, Google und Apple beanspruchen ebenfalls das Recht, E-Mails der Nutzer zu lesen

Weitere Beiträge