Sicherheit in der Wolke

Cloud-basierende Services versprechen eine Reihe von wichtigen Vorteilen, nicht zuletzt die der konsequenten Kostensenkung. Dies haben zahllose Beispiele vor allem großer Unternehmen mit IT-Outsourcing in der Vergangenheit bewiesen. Nun soll jedes Unternehmen davon profitieren können, auch kleine und mittlere. Die technischen Voraussetzungen für dezentrale IT-Services in der Cloud sind zumindest in Bezug auf Bandbreite und Zuverlässigkeit inzwischen auch gegeben, doch hat das Konzept nach wie vor mit dem Misstrauen der Anwender zu kämpfen. Die Frage nach der Sicherheit mit all ihren Aspekten wartet noch auf eine zufriedenstellende Antwort.
Konventionelle Security-Ansätze auf der Basis von Perimeterschutz greifen Cole zufolge in einer total verteilten IT-Welt einfach zu kurz, denn die Cloud hat keinen Perimeter. Stattdessen sitzt potenziell jeder User – eigene Mitarbeiter, externe Partner und vor allem der Kunde – irgendwo draußen in der „Wolke“. Herkömmliche Security-Lösungen werden nicht verschwinden, aber ohne Identity-Management geht es auch nicht – und beide müssen zusammenarbeiten.
Leider setzen noch immer die meisten Anbieter auf Bewährtes wie Firewalls oder Virenbibliotheken und sehen in der Cloud allenfalls ein Skalierungsproblem, beklagt der Autor des Reports Tim Cole. Er sieht das Ziel der Security-Industrie vornehmlich darin, in Echtzeit auf den Stand der eigenen Labs zugreifen zu können, um verdächtig erscheinendes Verhalten auf einem Client-Rechner schneller zu identifizieren. Ein Teil der Erkennung lasse sich in die Cloud verlagern, was allerdings einen massiven Geschwindigkeitsvorteil bringe. Doch auch der schnellste Signatur-Service kann nur auf eine bereits eingetretene Bedrohung reagieren, gibt der Marktforscher zu bedenken. Im Zeitalter von Cloud Computing sei das nicht genug. Um das Problem an der Wurzel zu packen, ist es nötig zu wissen, wer was auf einem System machen darf und laufend sicherzustellen, dass keiner dort etwas tut, was er nicht darf, fordert Cole.
Identity- und Access-Management
Die Marktforscher gehen davon aus, dass Identity- und Access-Management (IAM) der Schlüssel zur kontrollierten und sicheren Bereitstellung und Nutzung von definierten Services externer oder interner Cloud Provider sein kann, wobei der Wechsel zwischen den Providern einfach sein muss. Ob es um DLP (Data Leakage Prevention), um Governance, Risk-Management und Compliance, um Attestierung von Zugriffsberechtigungen, um den Schutz vor Insider-Angriffen oder um das Verhindern von Missbrauch privilegierter Benutzerkonten („Evil Admins“) geht: Identity ist stets der Schlüssel. Dies ist bereits im Kontext eines geschlossenen Firmennetzwerks eine Herkulesaufgabe, wie die laufenden Bemühungen um IAM, um Provisioning-Lösungen und Single Sign-on zeigten. In der großen, weiten Welt der Wolke seien die Herausforderungen noch viel größer. Aus dieser Erkenntnis leitet der Autor Tim Cole die Forderungen ab: Kunden müssen ihre Security Policies mit Benutzer- und Rollen-Management sowie mit Businessprozessen in Einklang bringen, technische Lösungen müssen heute den Zugang und Identitäts-Management auf der Ebene der Netzwerkinfrastruktur, der Anwendungen und der Daten gewährleisten – und dies alles ist nur durch die Kombination von IAM und IT-Sicherheit möglich.
Als einen großen Mangel beklagt der Report das Fehlen einheitlicher und verbindlicher Standards für Identity und Security in der Cloud. Noch koche in der jungen Branche jeder sein eigenes Süppchen, auch wenn die aktuelle Version 3.0 des OASIS-Standards XACML (Extensible Access Control Markup Language) ein gewisses Maß an Hoffnung auf ein Ende des Durch- und Gegeneinanders der großen Akteure keimen lässt. Über XACML lassen sich gewisse Autorisierungsinformationen, Darstellungen und Regeln nach einem standardisierten Schema beschreiben. Eine wichtige Rolle spielt auch SAML (Security Assertion Markup Language), eine XML-basierende Sprache zur Übermittlung von Identitätsinformationen, mit der identitätsbezogene Sicherheitsinformationen wie Benutzerattribute und Authentifizierungsinformationen ausgetauscht werden können. Die Folge einer auf solchen Identitätsinformationen basierenden Autorisierungsentscheidung ist dabei entweder die Annahme oder Ablehnung der Anfrage, die über die Cloud hereinkommt.
Governance für die Cloud
In den Kinderschuhen steckt Kuppinger Cole zufolge auch das Thema Governance für die Cloud, also das Auditieren und Monitoring von erbrachten Services. Setzt sich jedoch der von den Marktforschern ausgemachte Trend zu übergreifenden Systemen durch, so ist dies ein Muss. „In Zukunft werden Kunden zunehmend die offene Nutzung unterschiedlicher Cloud-Angebote verschiedener Betreiber fordern“, stellt Tim Cole fest und fügt hinzu: „Die Identifizierung von Benutzern und die Steuerung von Berechtigungen über verschiedene Cloud Services hinweg ist bisher aber nur in den Grundzügen gelöst.“ Zwar gebe es eine wachsende Anzahl von SAML-Anwendungen, um die Authentifizierung von der Autorisierung zu trennen, der granulare Effekt der Autorisierung, also die Steuerung, wer wirklich was mit welchem System machen darf, ist dagegen ebenso ungelöst wie das Problem der Abrechnung über mehrere Betreiber hinweg.
Auf Dauer könnten sich Dienstleister herausbilden, mutmaßt der Autor, die einzelne oder mehrere Funktionen – etwa standardbasierte Bewertung von Risiken in der Cloud, Auditing über Systemgrenzen hinweg oder Identifizierung von Benutzung, Steuerung von Berechtigungen über verschiedene Cloud Services hinweg – im Kundenauftrag als „Governance as a Service“ erbringen werden. Ob und in wieweit die Cloud-Provider selbst diese Aufgabe übernehmen können und wollen, bleibt noch abzuwarten.
Es wäre fatal, wenn aufgrund fehlender Standards und mangelnder Governance das ohnehin von Misstrauen geprägte Verhältnis mittelständischer Kunden zum Thema Cloud auch noch durch Sicherheits-GAUs bestätigt und verstärkt werden würde.
Die Anbieterlandschaft in diesem noch jungen Markt ist zurzeit noch ausgesprochen heterogen – ein Zustand, der laut Report sicher über die nächsten zwölf bis 18 Monate anhalten wird. Denn noch versuchen die unterschiedlichen Anbieter, ihre „Nische“ zu finden und sich eine möglichst stabile Marktposition zu schaffen. Die Marktforscher von Kuppinger Cole gehen von drei verschiedenen Anbietergruppen im Markt aus, die jedoch teilweise überlappen.
Sie nennen in der ersten Gruppe Multi-Tenant Clouds: Diese Anbieter bieten in der Regel Hosting oder externe Speicherlösungen an, ohne den Kunden große Einfluss- oder Gestaltungsmöglichkeiten zu lassen. Amazon, Google und andere nennen sie hier als dominante Player. Diese Form von Cloud Computing eignet sich sehr gut für kleine und mittlere Unternehmen, für Startups oder ECommerce-Anbieter, denen IT-Services „von der Stange“ genügen, deren Infrastruktur- und Speicherplatzbedarf schnell wächst und deshalb schlecht vorherzusagen ist oder die starken saisonalen Schwankungen in der IT-Leistung ausgesetzt sind.
Enterprise-Cloud-Service-Provider sind üblicherweise kleinere Anbieter, die mit innovativen Angeboten im Bereich Cloud Computing, Cloud Storage, Hosted Computing, Private Clouds und Intranet-Lösungen auf die speziellen Bedürfnisse von Unternehmenskunden eingehen, so die Beschreibung durch Cole. Sie versprechen spürbare Kostenentlastung in der IT. Beispiele sind vertikal aufgestellte Anbieter, etwa im Gesundheitssektor, in denen strenge, aber einheitliche regulatorische Richtlinien (HIPAA etc.) alle Marktteilnehmer vor vergleichbare Anforderungen an die IT stellen.
Die dritte Gruppe schließlich bilden die Telcos. Die großen Telefongesellschaften wie Deutsche Telekom, AT&T, BT, NTT Data oder Verizon haben laut Cole alle Cloud-Angebote angekündigt oder bereits realisiert. Dies sind eine Reihe von Ma-naged-Services und Hosting-Lösungen. Häufig fehlt ihnen aber spezielles Branchen-Know-how.
Kuppinger Cole hat eine eigene Sicht des Markts entwickelt, die die Marktforscher als „ Cloud-Universum 2009“ bezeichnen und die eine Momentaufnahme darstellen soll. Als Unterscheidungskriterium gilt dabei einmal die Wiederverwendbarkeit des Angebots sowie die Anzahl der adressierten Kunden. „Während traditionelle Outsourcing-Anbieter meist sehr spezifische Anwendungen oder Services anbieten, die für eine kleine Zahl oder sogar nur für einzelne Kunden maßgeschneidert sind, versuchen die Anbieter im Segment SaaS („Software as a Service“), möglichst generische und/oder branchenspezifische Lösungen über das offene Internet oder über geschlossene Cloud-Infrastrukturen an viele Kunden zu verkaufen oder zu vermieten“, erläutert Tim Cole. Große Anbieter wie Google oder Microsoft wenden sich hingegen mit ihren Anwendungen an ein Massenpublikum, also sowohl an Firmen wie an Privatanwender. In der linken oberen Ecke des Diagramms sind Anbieter zu finden, die relativ spezifische Angebote für eine begrenzte und klar umrissene Zielgruppe vorhalten.