Server, Storage und Netzwerk via Cloud

IaaS-Sicherheitsfragen und Schutzmaßnahmen

von - 09.06.2015
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer „Orientierungshilfe Cloud Computing“ zusammengefasst, worauf Nutzer von Cloud-Services in puncto Datenschutz und Datensicherheit achten sollten. So müssen sich Nutzer von IaaS-Diensten darüber im Klaren sein, dass ein direkter Zugriff auf die genutzten Systemkomponenten nicht möglich ist. Denn alle Kernkomponenten lägen ausschließlich im Einflussbereich des Anbieters, so das BSI.
Cloud-Services und Datenschutz: Anbieter von Cloud-Services wie Amazon haben mehrschichtige Sicherheitsarchitekturen implementiert, um die Daten von Kunden vor unberechtigtem Zugriff zu schützen.
Cloud-Services und Datenschutz: Anbieter von Cloud-Services wie Amazon haben mehrschichtige Sicherheitsarchitekturen implementiert, um die Daten von Kunden vor unberechtigtem Zugriff zu schützen. Das Problem dabei: US-Behörden können sich dennoch Zugang zu Kundendaten von amerikanischen Providern verschaffen.
Dennoch muss sich der Cloud-Anwender als Auftraggeber für die Datenverarbeitung vom Stand der Informationssicherheit selbst überzeugen können. Das schreiben das Bundesdatenschutzgesetz und die EU-Datenschutzregelungen vor. Der Anwender sollte daher die Seriosität eines IaaS-Anbieters überprüfen. Das kann durch Besuche vor Ort in den Rechenzentren des Providers erfolgen oder indem der Nutzer einen Provider wählt, der sich regelmäßig zertifizieren lässt. Solche Zertifikate sind etwa ISO 27001, EuroCloud Star Audit oder SAS 70. Auch der TÜV bietet eine Zertifizierung von Cloud-Diensten und deren Rechenzentren an.
Zu den Schutzmaßnahmen zählt die Absicherung der „infrastrukturellen Gegebenheiten“, wie es das BSI formuliert. Das umfasst – vereinfacht gesagt – sämtliche technischen und organisatorischen Maßnahmen, die auf den Schutz von Gebäuden und Räumen ausgerichtet sind, in denen IT-Komponenten aufgestellt sind.
Neben einer sicheren Stromversorgung (Einsatz von unterbrechungsfreien Stromversorgungen und von Notstromaggregaten) betrifft dies den Brandschutz und die Klimatisierung sowie die Zugangskontrolle und die doppelte Auslegung kritischer Systemkomponenten.
Um den Diebstahl von Kundendaten zu vermeiden, müssen die Prozesse in der Cloud angemessen abgesichert werden. Maßnahmen sind beispielsweise Zugangsbeschränkungen, ein Patch-Management, eine sichere Grundkonfiguration, das Erarbeiten und Umsetzen von Sicherheitsrichtlinien sowie der Einsatz von IT-Sicherheitssystemen wie Intrusion-Detection-Lösungen (IDS), Firewalls und Virenschutz.

Fazit

Zusammenfassend lässt sich feststellen, dass die Abgrenzung zwischen IaaS, PaaS und SaaS im Bereich Cloud-Computing an Bedeutung verliert. Zwar wird es immer Spezialanbieter geben, die sich auf einen oder zwei Bereiche konzentrieren. Die Entwicklung geht jedoch zu „Alles aus einer Hand“. Das beste Beispiel dafür ist Microsoft, das seine Plattform Azure in Richtung Infrastruktur-Dienste erweitert hat.
Vergleichbares ist bei anderen Anbietern zu beobachten, etwa beim SaaS-Pionier Salesforce, aber auch bei Software-Anbietern wie SAP und Oracle. Hinzu kommt, dass klassische Service-Provider und Hosting-Firmen nicht mehr an der Cloud vorbeikommen. Dies wird dazu führen, dass sich auf dem Markt eine Fülle von Providern tummeln, die häufig vergleichbare Cloud-Dienstleistungen anbieten. Letztlich kann dies zu einer Konsolidierung des Markts führen.
Ein weiterer Trend: Es werden Multi-Clouds entstehen. Unternehmen werden mehrere Cloud-Service-Provider und deren Dienste parallel einsetzen, etwa um eine Redundanz und höhere Ausfallsicherheit zu erreichen. T-Systems beispielsweise forciert das Konzept von Cloud-Brokern, die je nach Bedarf der Kunden aus den IaaS-Cloud-Diensten der unterschiedlichen Anbieter den passenden oder günstigsten auswählen.
Verwandte Themen