Datenschutz und Einhaltung von Compliance-Vorgaben
Tipps zur Cloud-Security von Verizon
Mit der steigenden Nutzung von Cloud Computing wächst mehr denn je die Notwendigkeit, wirksame Security- und Compliance-Praktiken einzuführen und diese auf dem neusten Stand zu halten. Der Netzbetreiber Verizon hat deshalb Best Practices und Tipps für sicheres Cloud Computing zusammengestellt.
Loglogic will Datenschutz in der Cloud verbessern
Security-Consulting für Unternehmen
IDC: IT-Security-Lücken bleiben häufig unentdeckt
„Die Absicherung einer Cloud-basierten Rechnerumgebung ist entscheidend für die Erstellung eines robusten Compliance-Programms”, so Bart Vansevenant, Executive Director, Global Security Solutions bei Verizon. „Die grundlegenden Elemente – Planung, Design und Betrieb – sind für traditionelle wie für Cloud-Plattformen identisch. Mit bewährten Best Practices für Security sowie besonderem Augenmerk auf den speziellen Eigenarten und Merkmalen der Cloud sind Unternehmen in der Lage, Compliance-Programme zu entwickeln und aufrechtzuerhalten. Gleichzeit machen sie sich die Agilität, Flexibilität und Wirtschaftlichkeit der Cloud zunutze.”
Verizon hat deshalb die folgenden Best Practices und Tipps zusammengestellt, damit Unternehmen, die sich die Vorteile der Cloud zunutze machen, Compliance-konform agieren und gleichzeitig für die Sicherheit ihrer Netzwerke, Anwendungen und Daten sorgen können:
Sicherheit der Cloud-Infrastruktur – der Dreh- und Angelpunkt
· Physische Sicherheit. Die technischen Einrichtungen sollten mit Klimaanlage sowie Rauchmelde- und Brandschutzequipment ausgerüstet werden, ergänzt durch eine unterbrechungsfreie Stromversorgung und Sicherheitspersonal rund um die Uhr. Wählen Sie einen Provider, der mit Biometriedaten umgehen kann, also Fingerabdruck- und Gesichtserkennung beherrscht und diese auch zur Zugangskontrolle einsetzt. Die gesamte Einrichtung sollten Videokameras überwachen.
· Netzwerksicherheit und logische Trennung. Es sollten virtualisierte Versionen von Firewalls und Intrusion-Prevention-Systemen zum Einsatz kommen. Die Teile der Cloud-Umgebung, in denen sich sensible Systeme und Daten befinden, sollten isoliert sein. Regelmäßig sollten Audits stattfinden, die sich branchenweit anerkannter Methoden und Standards bedienen wie etwa SAS 70 Type II, Payment Card Industry Data Security Standard, ISO 27001/27002 und Cloud Security Alliance Cloud Controls Matrix.
· Inspektion. An den Gateways sollten Antivirus- und Anti-Malware-Anwendungen sowie Content Filtering zum Einsatz kommen. Wo mit sensiblen Informationen wie etwa finanz- und personenbezogenen Daten und geistigem Eigentum umgegangen wird, sollte man Data-Loss-Prevention-Vorkehrungen in Betracht ziehen.
· Administration. Besondere Aufmerksamkeit sollte man den Cloud-Hypervisoren widmen, also jenen Servern, auf denen mehrere Betriebssysteme gleichzeitig laufen. Sie bieten die Möglichkeit, eine komplette Cloud-Umgebung zu verwalten. Zahlreiche Sicherheits- und Compliance-Anforderungen sehen verschiedene Netzwerk- und Cloud-Administratoren vor, um so für eine Trennung der Pflichten und zusätzlichen Schutz zu sorgen. Der Zugang zu virtuellen Umgebungsmanagement-Interfaces sollte stark eingeschränkt sein und Application Programming Interfaces (APIs) sollten komplett unzugänglich oder deaktiviert sein.
· Umfassendes Überwachen und Protokollieren. Nahezu sämtliche Standards fordern die Fähigkeit zur Überwachung und Kontrolle von Zugängen zu Netzwerken, Systemen, Anwendungen und Daten. Eine Cloud-Umgebung, ganz gleich ob inhouse oder ausgelagert, muss diese Möglichkeit ebenfalls bieten.
Cloud Application Security – ein Muss
· Systemsicherheit. Virtual Machines (VMs) sollten durch Cloud-spezifische Firewalls, Intrusion-Prevention-Systeme und Antivirenprogramme geschützt sein, ergänzt um durchgängige und in Programmen organisierte Patch-Management-Prozesse.
· Anwendungs- und Datensicherheit. Wo immer möglich, sollten die Anwendungen dedizierte Datenbanken nutzen; auch sollte der Zugriff von Anwendungen auf Datenbanken Beschränkungen unterliegen. Zahlreiche Security-Compliance-Standards fordern, dass Anwendungen und damit verbundene Datenbanken überwacht und Vorgänge protokolliert werden.
· Authentifizierung und Autorisierung. Für Benutzernamen und Passwörter sollte Zwei-Faktor-Authentifizierung wie etwa digitale Authentifizierung Verwendung finden; sie sind für den Remote-Zugriff und jede Art von Zugangsprivilegien unverzichtbar. Dabei sollten die Rollen autorisierter Benutzer klar umrissen und auf dem Minimum gehalten sein, das zur Erfüllung der zugewiesenen Aufgaben erforderlich ist. Passwortverschlüsselung ist ebenfalls ratsam. Darüber hinaus sollten Authentifizierungs-, Autorisierungs- und Accounting-Pakete nicht zu sehr individualisiert sein, da dies häufig zu einer Schwächung der Sicherheitsmaßnahmen führt.
· Vulnerability-Management. Anwendungen sollten so konzipiert sein, dass sie gegenüber verbreiteten Exploits, wie sie in der Open Web Application Security Project (OWASP) Top 10 aufgelistet sind, keine Schwachstellen aufweisen. Anwendungen, die in der Cloud laufen, müssen regelmäßig gepatcht werden, ebenso sind Vulnerability Scans, unabhängige Sicherheitstests und kontinuierliche Überwachung erforderlich.
· Datenspeicherung. Ein Unternehmen sollte die Arten von Daten kennen, die es in einer Cloud-Umgebung speichert, und je nach Erfordernis nach Datentypen trennen. Zusätzlich sollte mit Blick auf Sicherheits- und Datenschutzerwägungen der physische und logische Speicherort bekannt sein.
· Change-Management. Es ist dringend ratsam, die Change-Management-Richtlinien für Netzwerk-, System-, Anwendungs- und Datenadministratoren explizit zu dokumentieren und zu vermitteln, um so Probleme und Datenverluste zu vermeiden.
· Verschlüsselung. In einer Cloud-Umgebung kann die Verschlüsselung von Daten komplex ausfallen. Sie erfordert daher besondere Aufmerksamkeit. In zahlreichen Standards wird gesonderte Behandlung von im Umlauf befindlichen und abgelegten Daten gefordert. Beispielsweise sollte mann Finanzdaten und persönliche Gesundheitsinformationen immer verschlüsseln.
Public, Private und Hybrid Clouds: Das sollten Sie wissen
· Gemeinsam genutzte virtualisierte Umgebung. Public Clouds, von denen viele eine gemeinsam genutzte virtualisierte Umgebung verwenden, bieten grundlegende Sicherheitsvorkehrungen. Die korrekte Segmentierung und Isolation von Verarbeitungsressourcen sollte deshalb im Mittelpunkt stehen. Zur Erfüllung der Security- und Compliance-Anforderungen eines Unternehmens sollte man bei der Wahl der angemessenen Cloud-Umgebung größte Sorgfalt walten lassen.
· Provider von Public Clouds. Public Clouds mögen zwar aus wirtschaftlicher Sicht interessant sein, doch kann es durchaus vorkommen, dass manche Provider nicht hinlänglich die Arten von Kontrollmechanismen unterstützen, die die Unternehmen verlangen, damit ihren Security- und Compliance-Anforderungen Genüge getan wird. Stellen Sie auf jeden Fall viele Fragen.
· Sicherheitsmaßnahmen. Unabhängig vom Cloud-Modell sollten Unternehmen auf Segmentierung, Firewalls, Intrusion-Protection-Systemen, Überwachung, Protokollierung, Zugangskontrollen und Datenverschlüsselung bestehen.
· Private Clouds – ein zweischneidiges Schwert. Private Clouds können vor Ort oder in den Einrichtungen des Service-Providers gehostet sein. Wie bei herkömmlichen Umgebungen auch sind Sicherheitskonzept und -kontrollmechanismen von entscheidender Bedeutung. Wenn man das Angebot eines Service-Providers wahrnimmt, kommt es darauf an, die richtige Form der Cloud zu wählen, die den eigenen Anforderungen entspricht. Nur weil es sich um eine Private Cloud handelt, muss sie nicht zwangsläufig sicher sein.
· Hybride Clouds. Hybride Clouds können das Beste aus beiden Welten bedeuten; sie ermöglichen Unternehmen, ein breites Spektrum von IT-bezogenen und geschäftlichen Zielen zu erreichen. Hybride Clouds bieten die Möglichkeit, bestimmte Anwendungen in der am besten dafür geeigneten Umgebung zu betreiben. Gleichzeitig profitiert man von den Vorteilen und Merkmalen gemeinsam genutzter Cloud-Umgebungen und der vor Ort vorhandenen IT-Umgebung sowie von der Möglichkeit, Anwendungen und Daten zwischen beiden Optionen hin und her zu schieben.
Über das Tochterunternehmen Terremark stellt Verizon weltweit Unternehmens-IT-, Cloud- und Sicherheits-Services bereit. Weitere Informationen finden sich unter www.terremark.com und www.verizonbusiness.com.
Lesen Sie mehr zum Thema
