nobeastsofierce - Fotolia

Vorsicht bei der Anbieterwahl: Das Sicherheitsniveau von PaaS-Anbietern einschätzen

Beim Wechsel in die Cloud wird oft vergessen, die Sicherheit des Angebots ausreichend zu überprüfen. Wir bieten Hinweise und Tipps für die Migration.

Eigentlich spräche der gesunde Menschenverstand dafür, sich vor dem Wechsel in die Cloud – quasi als Absicherungsmaßnahme – eine Cloud-Sicherheitsstrategie zurechtzulegen. Doch in der Eile, das Cloud-Computing einzuführen, lassen manche Unternehmen diesen wichtigen Schritt einfach weg.

Laut einer Umfrage der Marktforschungs- und Beratungsfirma Ponemon Institute haben 36 Prozent der Unternehmen keine zentralisierte Cloud-Sicherheits-Policy. Darüber hinaus versäumen es 45 Protent, die Mitarbeiteraktivität in privaten Clouds zu überwachen, wie die Umfrage mit 675 IT- und Sicherheitsverantwortlichen ergab. Bei Platform-as-a-Service (PaaS) und in anderen Cloud-Umgebungen kann das Fehlen einer solchen Kontrolle katastrophale Datenpannen zur Folge haben.

Was muss man also bei der Ausarbeitung einer Cloud Security Policy, besonders im Zusammenhang mit einem PaaS-Anbieter, beachten? Überlegen Sie sich zunächst, welche Assets Sie in die Cloud migrieren wollen und warum. Das empfiehlt Scott Hazdra, leitender Sicherheitsberater bei Neophapsis Inc., einer Beratungsfirma aus Chicago, die sich auf mobile und Cloud-Sicherheitsdienste spezialisiert hat. Auch sei es wichtig, Ihre Unternehmenskultur zu kennen, zu wissen, welcher PaaS-Anbieter zu Ihnen passen könnte, die Meinungen von Kollegen einzuholen und eventuell bestehende Cloud-Standards oder -Policies zu prüfen.

 „Als Letztes geben Sie den verschiedenen Anspruchsgruppen in Ihrer Organisation die Möglichkeit, Ihre ausgearbeitete Strategie zu kommentieren“, so Hazdra. „Wenn Sie sich an diese Richtlinien halten, sind Sie umso besser vorbereitet, wenn das erste Datenpaket Ihre heimischen Server in Richtung der Cloud eines vertrauenswürdigen Anbieters verlässt.“

Die üblichen Risiken - und ein paar neue Sorgen

Die Bedrohungen und Risiken bei der Arbeit mit einem PaaS-Anbieter unterscheiden sich nicht groß von denen, die Ihnen beim hausinternen Hosting begegnen. Ihre Anwendungen sind genauso im Internet und daher ständigen Versuchen ausgesetzt, dass Schwachstellen ausgenutzt werden. Auch mit Denial-of-Service-Angriffen (DoS) müssen Sie rechnen. An der Absicherung Ihrer Anwendungen kommen Sie auch hier nicht vorbei – lassen Sie keine unnötigen Ports offen.

Vergessen Sie nicht, konsequente Code-Sicherheitsprüfungen in Ihre Softwareentwicklungsroutine aufzunehmen. Achten Sie auf Schwachstellen in der Software, die Patches benötigen oder anderweitig unschädlich gemacht werden müssen. Darüber hinaus empfiehlt Hazdra, für jede Anwendung einen Test der Anwendungssicherheit durchzuführen oder einen Sicherheitsexperten damit zu beauftragen. So decken Sie Schwachstellen auf, bevor jemand sie ausnutzen kann.

Auch sollten Sie sich genau ansehen, was Sie als Mandant in den Diensten der verschiedenen PaaS-Anbieter kontrollieren können und wie viel Kontrolle der Anbieter hat. In der Regel kontrolliert der PaaS-Anbieter einen Großteil des Stacks – von Hardware und Netzwerk bis Hypervisor, Datenbank, Storage und Anwendungs-Framework - und übernimmt die Risiken für diese Systeme.

Bei PaaS werden Mandanten nicht immer auf Hypervisor-Ebene segmentiert. Doch ungeachtet dessen, wie die Segmentierung erfolgt, ist die Möglichkeit des Zugriffs durch andere Mandanten ein Risiko, mit dem man sich im eigenen Rechenzentrum so nicht konfrontiert sieht. Die allen Cloud-Anbietern gemeine Insider-Bedrohung stellt jedoch ein größeres Risiko für den PaaS-Anbieter als für den Mandanten dar.

Trotzdem sollten Sie als Mandant wissen, dass Sie unter Umständen vertragliche Verpflichtungen in Bezug auf Datenpannen, Angriffe oder Sicherheitsvorfälle im Zusammenhang mit den Anwendungen des Anbieters haben. Informieren Sie sich über diese Anforderungen und die potenziellen Folgen, wenn Sie es versäumen, den PaaS-Anbieter entsprechend zu informieren.

PaaS-Sicherheit beurteilen

In Sachen Plattformverfügbarkeit, Sicherheitsarchitektur, Design und Offenheit bezüglich des Plattform-Stacks sind die Angebote der PaaS-Anbieter unterschiedlich weit ausgereift. Die größte Herausforderung liege laut Hazdra darin, genug Informationen zu bekommen, um alle Beteiligten in Ihrem Unternehmen zufriedenzustellen und dafür zu sorgen, dass die Bedürfnisse und Anforderungen aller Abteilungen erfüllt würden.

Folgende Zusatztipps helfen Ihnen bei der Einschätzung der Sicherheitskompetenz eines PaaS-Anbieters:

  • Wissen, wer verantwortlich ist. Klären Sie, ob Sie, der PaaS-Anbieter oder Dritte für bestimmte Aktivitäten oder Funktionen zuständig sind.
  • Die Abgrenzungen kennen. Gehen Sie sicher, dass Sie wissen, wo die Grenze zwischen Ihrer Software und der des PaaS-Anbieters gezogen wird.
  • Die Geschäftsbedingungen kennen. Vergewissern Sie sich, dass Sie das Service-Level Agreement (SLA) genau verstanden haben. Verhandeln Sie ruhig die Bedingungen in Bereichen, die nicht Ihren Anforderungen entsprechen. SLAs begünstigen in der Regel den PaaS-Anbieter. Damit die Geschäftsbeziehung funktioniert, muss die SLA zu Ihren Anforderungen und Ihrem Entwicklungsstil passen.
  • Den Ruf des PaaS-Anbieters in Erfahrung bringen. Sie können natürlich um Referenzen bitten – und diese dann auch anrufen. Auf jeden Fall sollten Sie dort nachfragen, ob der Anbieter seine Versprechen hält. Vertrauen ist bei der Arbeit mit Clouds unverzichtbar.

Eine weitere Hürde: In der Regel sehen PaaS-Anbieter es nicht gern, wenn man Penetrationstests, Schwachstellen-Scans etc. mit ihren Umgebungen durchführen möchte, weil das zu Störungen bei anderen Mandanten führen könnte. Suchen Sie sich einen PaaS-Anbieter, der bereit ist, auf Ihre Bedenken einzugehen, und der Ihnen idealerweise dabei hilft, die erforderlichen Tests einzuplanen.

Die richtigen Fragen stellen

Eine Best Practice bei der Einschätzung der PaaS-Sicherheit: Eine Fragenliste aufstellen, auf die Sie klare Antworten erhalten müssen. Danach können Sie Fragen zu Dingen stellen, die zwar ein Plus, aber kein Muss sind.

Bei der Zusammenstellung Ihrer Fragen können Ihnen die Publikationen des Bundesamt für Sicherheit in der Informationstechnik (BSI) nützlich sein. Vom BSI gibt es das Cloud Computing Eckpunktepapier, das auch auf deutsche Datenschutzvorgaben eingeht. Ebenfalls vom BSI stammt die Publikation Sichere Nutzung von Cloud-Diensten, die Cloud-Anwendern Schritt für Schritt von der Strategie bis zum Vertragsende helfen soll. Nicht zuletzt sollten deutsche Unternehmen die Cloud-Computing-Bausteine des IT-Grundschutz beachten.

Auch die die Leitfäden zweier unabhängiger US-Organisationen können helfen: Die Cloud Controls Matrix von der Cloud Security Alliance und die Guidelines on Security and Privacy in Public Cloud Computing der US-Bundesbehörde National Institute of Standards and Technology (NIST).

Sobald Sie eine engere Auswahl der PaaS-Anbieter getroffen haben, die Ihren geschäftlichen Anforderungen entsprechen, können Sie Ihre Sicherheitsfragen stellen und die Antworten auf Vollständigkeit und Effektivität hin auswerten. Sind die schriftlichen Antworten nicht ausreichend, sprechen Sie mit einem technischen Mitarbeiter des PaaS-Anbieters – nicht mit einem Vertriebsmitarbeiter – um die fehlenden Auskünfte einzuholen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Cloud-Sicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close