Lesezeit
2 Minuten
Sicherheit beim Cloud Computing
Cloud Computing ist derzeit in aller Munde – manche Unternehmen stehen der Wolke aufgrund von Sicherheitsbedenken jedoch noch immer skeptisch gegenüber. Zweifellos sind der Sicherheitsstatus in der Cloud und die Security-Verfahren, durch die sich SaaS-Dienstleister unterscheiden, für IT-Entscheider grundlegende Themen. In unserem Fachbeitrag helfen wir Ihnen mit einer Checkliste dabei, die besten Sicherheitskonzepte für die Cloud zu finden.
Aktuelle Cloud-Lösungen decken eine breite Palette von Geschäftsbedürfnissen ab, darunter Anwendungen für On-Demand-Collaboration, Webkonferenzen, IT-Service-Management, Online Backup oder Customer Relationship Management. Die Folge: Immer mehr kritische Informationen befinden sich in der Cloud. Doch trotz umfassender Kenntnisse über die Funktionsweise des On-Demand-Modells und seiner Vorteile, wie Kosteneffizienz, schnelle Anwendung, Flexibilität und Skalierbarkeit, fasst diese Technologie bei vielen Unternehmen nur langsam Fuß.
Ein Grund für die Zurückhaltung in puncto Umstellung auf SaaS sind Sicherheitsbedenken. Übermittelt ein Unternehmen sensible Daten über das Internet, sind strenge Kontrollen nötig, um die Sicherheit, Vertraulichkeit, Verlässlichkeit und Integrität sowie die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Solche Kontrollen müssen sämtliche Organisationen umfassen, an die Dienste ausgelagert werden. Denn auch hier ist das Einhalten von rechtlichen, ethischen und gesetzlichen Vorschriften zum Schutz von Informationen essenziell. Cloud-basierte Systeme beziehen sich auf vier Hauptbereiche – Anwendungs-, Infrastruktur-, Prozess- und Personalsicherheit –, die jeweils eigenen Sicherheitsregeln unterliegen.
Bild 1: Die Sicherheitsregeln für Cloud-basierte Dienste lassen sich in vier Teilbereich untergliedern
Anwendungssicherheit
Der Sicherheitsbedarf beginnt bereits bei der zugrunde liegenden Anwendung und sobald sich der Endbenutzer ins System einloggt. Die besten SaaS-Anbieter schützen ihr Angebot durch starke Authentifizierungs- und Autorisierungssysteme. Die Authentifizierung stellt sicher, dass nur Benutzer mit einem gültigen Berechtigungsnachweis Zugriff erhalten. Die Autorisierung steuert, auf welche Dienste und Daten der einzelne zugelassene Benutzer zugreifen kann.
Um zu verhindern, dass Passwörter geteilt werden, sollte die Anwendung nicht zulassen, dass das Einloggen mit einer einzelnen User-ID an mehreren Orten gleichzeitig möglich ist. Zusätzlich zur Verwendung eines Passwortes – einer Form der einfachen Authentifizierung – wird die Identität des Benutzers durch mehrfache Authentifizierung nochmals bestätigt. Diese dient als Schutzschild, um Benutzer und Kunden vor unbefugtem Zugriff auf ihre Inhalte und Daten zu bewahren. Die mehrfache Authentifizierung bietet ein höheres Sicherheitsniveau, wie es häufig bei staatlichen oder Finanzinstitutionen erforderlich ist. Elektronische Systeme verwenden die von den Benutzern angegebenen Informationen, um zu überprüfen, ob der User auch tatsächlich die autorisierte Person ist.
Diese Informationen beruhen auf einer Kombination von Tokens, die sich in die folgenden drei Kategorien einordnen lassen:
Außerdem ist es klug, den Zugriff auf die Anwendung durch eine wirksame Verschlüsselung abzusichern, um unbefugtes Sniffing (Schnüffeln) oder Snooping (Ausspionieren) von Online-Aktivitäten zu verhindern. Um Datenübertragungen von Kunden jederzeit zu schützen, muss eine Kodierung vorhanden sein. Des Weiteren sollten bei der Entwicklung und Verwendung der Anwendung SDL-Prozesse (SDL = Security Development Lifecycle) eingehalten werden.
Infrastruktursicherheit
Cloud-Dienste sind nur so gut wie ihre Verfügbarkeit. Die Anbieter müssen eine hochverfügbare, redundante Infrastruktur besitzen, um ihren Kunden unterbrechungsfreie Dienste bieten zu können. Die Infrastruktur sollte zudem Echtzeit-Replikation, mehrere Anschlüsse, wechselnde Energiequellen und moderne Notfallsysteme beinhalten, um umfassenden Datenschutz zu gewährleisten. Netzwerk- und Peripheriesicherheit haben für die Infrastrukturelemente oberste Priorität. Daher bedarf es moderner Technologien für Firewall, Load Balancer sowie Zugriffsicherungs-/Präventionssysteme, die permanent durch erfahrenes Sicherheitspersonal überwacht werden. Zudem sollten die Anbieter im Falle einer Störung stabile Wiederherstellungsverfahren zum Schutz ihrer Daten bieten und regelmäßig Disaster-Recovery-Tests durchführen.
ln/Peter Leichsenring, Sales Direktor Zentraleuropa bei IntraLinks
Ein Grund für die Zurückhaltung in puncto Umstellung auf SaaS sind Sicherheitsbedenken. Übermittelt ein Unternehmen sensible Daten über das Internet, sind strenge Kontrollen nötig, um die Sicherheit, Vertraulichkeit, Verlässlichkeit und Integrität sowie die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Solche Kontrollen müssen sämtliche Organisationen umfassen, an die Dienste ausgelagert werden. Denn auch hier ist das Einhalten von rechtlichen, ethischen und gesetzlichen Vorschriften zum Schutz von Informationen essenziell. Cloud-basierte Systeme beziehen sich auf vier Hauptbereiche – Anwendungs-, Infrastruktur-, Prozess- und Personalsicherheit –, die jeweils eigenen Sicherheitsregeln unterliegen.
Bild 1: Die Sicherheitsregeln für Cloud-basierte Dienste lassen sich in vier Teilbereich untergliedern
Anwendungssicherheit
Der Sicherheitsbedarf beginnt bereits bei der zugrunde liegenden Anwendung und sobald sich der Endbenutzer ins System einloggt. Die besten SaaS-Anbieter schützen ihr Angebot durch starke Authentifizierungs- und Autorisierungssysteme. Die Authentifizierung stellt sicher, dass nur Benutzer mit einem gültigen Berechtigungsnachweis Zugriff erhalten. Die Autorisierung steuert, auf welche Dienste und Daten der einzelne zugelassene Benutzer zugreifen kann.
Um zu verhindern, dass Passwörter geteilt werden, sollte die Anwendung nicht zulassen, dass das Einloggen mit einer einzelnen User-ID an mehreren Orten gleichzeitig möglich ist. Zusätzlich zur Verwendung eines Passwortes – einer Form der einfachen Authentifizierung – wird die Identität des Benutzers durch mehrfache Authentifizierung nochmals bestätigt. Diese dient als Schutzschild, um Benutzer und Kunden vor unbefugtem Zugriff auf ihre Inhalte und Daten zu bewahren. Die mehrfache Authentifizierung bietet ein höheres Sicherheitsniveau, wie es häufig bei staatlichen oder Finanzinstitutionen erforderlich ist. Elektronische Systeme verwenden die von den Benutzern angegebenen Informationen, um zu überprüfen, ob der User auch tatsächlich die autorisierte Person ist.
Diese Informationen beruhen auf einer Kombination von Tokens, die sich in die folgenden drei Kategorien einordnen lassen:
- Was sie wissen – User-IDs, Passwörter, Passphrases persönliche Daten, et cetera
- Was sie haben – PCs, Laptops, Hardware-Tokens (zum Beispiel SecurID), Smart Phones et cetera
- Wer sie sind – Fingerabdruck, Iris- oder Netzhautscans et cetera
Außerdem ist es klug, den Zugriff auf die Anwendung durch eine wirksame Verschlüsselung abzusichern, um unbefugtes Sniffing (Schnüffeln) oder Snooping (Ausspionieren) von Online-Aktivitäten zu verhindern. Um Datenübertragungen von Kunden jederzeit zu schützen, muss eine Kodierung vorhanden sein. Des Weiteren sollten bei der Entwicklung und Verwendung der Anwendung SDL-Prozesse (SDL = Security Development Lifecycle) eingehalten werden.
Infrastruktursicherheit
Cloud-Dienste sind nur so gut wie ihre Verfügbarkeit. Die Anbieter müssen eine hochverfügbare, redundante Infrastruktur besitzen, um ihren Kunden unterbrechungsfreie Dienste bieten zu können. Die Infrastruktur sollte zudem Echtzeit-Replikation, mehrere Anschlüsse, wechselnde Energiequellen und moderne Notfallsysteme beinhalten, um umfassenden Datenschutz zu gewährleisten. Netzwerk- und Peripheriesicherheit haben für die Infrastrukturelemente oberste Priorität. Daher bedarf es moderner Technologien für Firewall, Load Balancer sowie Zugriffsicherungs-/Präventionssysteme, die permanent durch erfahrenes Sicherheitspersonal überwacht werden. Zudem sollten die Anbieter im Falle einer Störung stabile Wiederherstellungsverfahren zum Schutz ihrer Daten bieten und regelmäßig Disaster-Recovery-Tests durchführen.
Seite 1 von 2 Nächste Seite>>
ln/Peter Leichsenring, Sales Direktor Zentraleuropa bei IntraLinks