München, Starnberg, 10. Sept. 2014 – Red Hat liefert sechs Best-Practices für sichere Cloud-Umgebungen als Entscheidungshilfe bei der Anbieterauswahl...
Zum Hintergrund: Unternehmen setzen tendenziell weniger auf komplettes Outsourcing, sondern vielmehr auf selektives Outtasking einzelner IT-Bereiche. Weiter verfolgen sie meist eine Multi-Sourcing-Strategie, entscheiden sich also nicht nur für einen Provider, sondern lagern einzelne IT-Segmente an unterschiedliche externe Partner aus, die sich auf bestimmte Services spezialisiert haben. Für diese Unternehmen kommen Cloud-Provider in Frage, die dem Kunden keinen "Vendor-Lock-in" anbieten, sondern auf offene, standardbasierte IT-Lösungen aufbauen. Dadurch wird es auch möglich, im Rahmen eines Open Hybrid Cloud Modells die IT-Infrastruktur zum Teil im eigenen Rechenzentrum und zum Teil in der Cloud zu betreiben. Aber somit stellt sich natürlich die Frage, inwieweit die Sicherheit der bereitgestellten Services gewährleistet ist.
Zentral Punkte sind: "Ist die Cloud so sicher wie die eigene IT-Infrastruktur?" oder "Gibt es Sicherheitszertifikate, die bei der Entscheidung für einen passenden Cloud-Anbieter-/Dienstleister helfen?". Red Hat hat dazu einen aktuellen Best-Practices-Leitfaden zusammengestellt. Er zeigt in sechs Punkten, worauf Unternehmen nach Ansicht des Herstellers achten müssen, damit ihre Daten bei einem Provider sicher untergebracht und vor Missbrauch geschützt sind – auch wenn sie sich für ein Open-Source-basiertes Hybrid-Cloud-Modell entscheiden, das heute für viele Unternehmen der geeignete Einstieg ist, um die Potenziale privater und öffentlicher Clouds zu nutzen.
Im Hinblick auf die geschilderten Fragestellungen sollten auslagernde Unternehmen demnach generell die folgenden Best-Practices beachten:
1. Bestandsaufnahme der eigenen IT-Infrastruktur
Vor jedem Outsourcing ist zu überprüfen, welche Bereiche der IT an einen externen Dienstleister übergeben werden können. Nur auf Basis einer eingehenden Ist-Analyse können Unternehmen entscheiden, welche ihrer Applikationen für eine Migration in die Cloud in Frage kommen und welche weiterhin im eigenen Rechenzentrum betrieben werden. In der Regel verbleibt zumindest ein Teil der Applikationen in der internen Infrastruktur, zum einen, weil die Applikationen nicht für den Cloud-Einsatz geeignet sind, und zum anderen, weil aus Compliance- oder datenschutzrechtlichen Gründen ein Einsatz in der Cloud nicht möglich ist. Bei der Bestandsaufnahme sollten auch die eigenen Sicherheitsmaßnahmen genau überprüft werden. Der hier erreichte Status quo muss schon einmal die erste Messlatte für die Security-Maßnahmen des externen Providers sein.
2. Überprüfung der Zertifizierungen des Providers
Auslagernde Unternehmen müssen vom Provider den Nachweis relevanter Zertifizierungen einfordern. Das betrifft zum Beispiel die Einhaltung des Sicherheitsstandards ISO 27001, der Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheits-Managementsystems festlegt, und ISO 27002, in dem sich Empfehlungen für Kontrollmechanismen für die Informationssicherheit finden.
Auch SAS70 (Statement on Auditing Standard 70: Service Organizations) beziehungsweise SSAE16 (Statement on Standards for Attestation Engagements 16) vom American Institute of Certified Public Accountants (AICPA) sind hier zu nennen. Sie haben sich in der Vergangenheit im internationalen Umfeld als Nachweis dafür bewährt, dass Outsourcing-Dienstleister alle Anforderungen hinsichtlich Datensicherheit und Risikomanagement sowie im Hinblick auf die internen Kontrollsysteme erfüllen. Eine vergleichbare neuere Richtlinie gibt es in Deutschland mit dem Standard IDW PS 951, der vom Institut der Wirtschaftsprüfer veröffentlicht wurde.
3. Kontrolle der IT-Security-Lösungen des Providers
Wer die IT im eigenen Haus betreibt, kann in der Regel den Bereich IT-Sicherheit sehr gut beurteilen: zum Beispiel im Hinblick auf die konkret implementierten Lösungen, regelmäßige Updates oder die Schulungsmaßnahmen für Administratoren. Das alles entfällt zunächst, wenn ein Cloud-Provider die Security-Aufgaben übernimmt. Der größte Fehler, den ein Unternehmen bei der Auslagerung von IT-Bereichen machen kann: Man vertraut dem Cloud-Provider blind und geht davon aus, dass hohe Sicherheit gewährleistet ist. Ein richtiger Ansatz ist hingegen die Ausarbeitung eines Kriterienkatalogs, auf dessen Basis die IT-Security des Providers beurteilt wird, und zwar im Hinblick auf die konkreten Sicherheitsstrategien, -konzepte und -lösungen.
Eine umfassende Zusammenstellung von Sicherheitsaspekten, die ein Unternehmen bei der Auswahl eines Providers unbedingt beachten sollte, findet sich beispielsweise im vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter". Hier wird unter anderem das Thema Sicherheitsarchitektur von der Rechenzentrumssicherheit über Server-, Netz- und Datensicherheit bis zur Verschlüsselung und zum Schlüsselmanagement detailliert beleuchtet. Auch auf Aspekte wie ID- und Rechtemanagement, Notfallmanagement sowie Sicherheitsprüfungen und -nachweise wird eingegangen. Die Grundlage für zuverlässige Sicherheitsvorkehrungen bei Providern ist deshalb auch eine regelmäßige Überprüfung einmal festgelegter Prozesse und Maßnahmen sowie die permanente Aktualisierung im Hinblick auf sich ändernde Rahmenbedingungen oder Aufgabenstellungen.
4. Überprüfung der Einhaltung von Datenschutzgesetzen und -richtlinien
Von besonderer Bedeutung ist auch die Einhaltung aller datenschutzrechtlichen Bestimmungen. Das betrifft zum Beispiel die Erfassung, Speicherung und Nutzung personenbezogener Daten, die im Bundesdatenschutzgesetz geregelt sind. Aber Provider müssen natürlich auch branchenspezifische Standards und Compliance-Vorgaben abdecken. So gilt beispielsweise für Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern und übermitteln, der Payment Card Industry Data Security Standard (PCI-DSS). Das Regelwerk umfasst eine Liste von zwölf konkreten Sicherheitsanforderungen an die Rechnernetze der Provider. Auch im Finanzsektor oder Gesundheitswesen finden sich klare branchenspezifische Vorschriften, die ebenfalls von allen externen Dienstleistern wie Cloud-Providern zu beachten sind.
5. Überprüfung der Konsistenz hybrider Infrastrukturen
Ein Unternehmen, das eine Sourcing-Strategie verfolgt, sollte überprüfen, ob das Management und die Upgrades von Workloads beim Provider in einer Weise erfolgen, die mit Workloads an anderen Orten übereinstimmt und integrierbar ist. Red Hat beispielsweise unterstützt seine Kunden bei der Wahl einer geeigneten, sicheren Public-Cloud-Umgebung. Im Rahmen des Certified Cloud Provider Program (CCP) wird überprüft, ob ein Provider zertifizierte Hardware und Hypervisoren nutzt und von Red Hat zertifizierte Red Hat Enterprise Linux Images bietet. Außerdem müssen die Provider dieselben Updates und Patches bereitstellen, die man auch direkt von Red Hat erhält, und einen klar definierten Software-Support anbieten. Damit wird sichergestellt, dass auch bei Images in einer Public Cloud aktuelle Security-Patches installiert sind und dass Workloads beliebig zwischen Public Clouds und der eigenen Infrastruktur verlagert werden können.
6. Festlegung von Richtlinien zur Überwachung, Steuerung und Risikokontrolle
Cloud Computing ist deutlich mehr als nur eine technische Art der Bereitstellung von Computerleistung. Benötigt werden klare Zuständigkeiten, Prozesse (Governance) und Sicherheitsrichtlinien beim Cloud-Provider. In vielen Unternehmen gibt es bereits eindeutig dokumentierte Richtlinien zur Risikokontrolle, Überwachung und Steuerung, die natürlich auch allen national geltenden Gesetzen und Vorschriften entsprechen müssen. Für deren Einhaltung ist zum Beispiel ein eigener IT-Sicherheitsbeauftragter zuständig, den es auch beim Cloud-Provider geben muss. Darauf sollte ein Nutzer von Cloud-Services auch achten, denn eines darf nicht vergessen werden: Auch bei einem Outsourcing von IT oder Geschäftsprozessen ist ein Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Und deshalb ist es zwingend erforderlich, den Ort der Datenhaltung, die Art der Datensicherung und Datenzugriffsmöglichkeiten durch den Provider exakt unter die Lupe zu nehmen.
Zitat: "Entscheidet sich ein Unternehmen für einen Cloud-Anbieter, spielen vertrauensbildende Maßnahmen eine zentrale Rolle. Sind die Kontrollmechanismen zwischen dem Cloud-Provider und dem Kunden eindeutig geregelt und verlässlich, entsteht auch Vertrauen", erklärt Frederik Bijlsma, EMEA Business Unit Manager Cloud bei Red Hat. "Cloud-Provider können hier ihren Teil zum Beispiel durch klar definierte Sicherheitsrichtlinien und Zertifizierungen beitragen."
Weitere Quellenangaben:
http://www.redhat.com/de/technologies/cloud-computing
https://www.redhat.com/de/technologies/cloud-computing/openshift
https://www.bsi.bund.de/DE/Themen/CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html