Wie Management-Konsolen bei der Cloud-Sicherheit in Unternehmen helfen

Management-Konsolen für Cloud-Umgebungen sind ein elementares Werkzeug für die Verwaltung von Cloud-Ressourcen und tragen auch zur Sicherheit bei.

Sicherheitsmaßnahmen in der Cloud unterscheiden sich zum größten Teil nicht von Sicherheitsmaßnahmen in jeder anderen IT-Umgebung. Allerdings können die bei Cloud-Computing verwendeten Dienst-Modelle (also die Betriebsmodelle und die dafür verwendeten Technologien) zu anderen Risiken für Organisationen führen. Die Cloud erfordert zudem einen anderen Satz an Werkzeugen, um die Sicherheitslage in einem Unternehmen genau im Auge behalten zu können.

Unter Umständen müssen Organisationen mehrere Werkzeuge integrieren oder das Produkt ihrer Wahl individuell anpassen, um ihre Anforderungen für Cloud- und Sicherheitsmanagement zu erfüllen.

Bei unterschiedlichen Modellen für Cloud-Dienste gibt es für die Anbieter und ihre Kunden höchst unterschiedliche Verantwortlichkeiten im Bereich Sicherheit. Amazon Elastic Compute Cloud (Amazon EC2) etwa, ein Dienst für Infrastructure as a Service (IaaS), sieht sich für Sicherheit nur bis zum Hypervisor verantwortlich. Amazon hat damit nur mit Maßnahmen wie physischer Sicherheit, Umwelt-Sicherheit und Sicherheit seiner Plattform für Virtualisierung zu tun. In der Verantwortung des Kunden liegen Sicherheitsmaßnahmen für sein eigenes IT-System einschließlich Betriebssystem, Anwendungen und Daten.

Beim SaaS-Angebot (Software as a Service) zur Kunden-Pflege von Salesforce.com dagegen ist Sicherheit ganz anders geregelt. Weil Salesforce.com den gesamten "Stack" zur Verfügung stellt, ist das Unternehmen nicht nur für die physische und Umwelt-Sicherheit verantwortlich, sondern auch für Sicherheitsmaßnahmen in Bezug auf Infrastruktur, Anwendungen und Daten.

Wie Zuständigkeiten für Sicherheit aufgeteilt werden, ist bei fast jedem Cloud-Anbieter ganz speziell geregelt. Angesichts solcher Unterschiede ist es kein Wunder, dass Unternehmen oft Probleme damit haben, die Sicherheit der von ihnen genutzten Cloud-Dienste angemessen zu gestalten. An diesem Punkt kommen Management-Konsolen für Cloud-Computing ins Spiel.

Was Konsolen für Cloud-Management leisten

Eine Konsole für Cloud-Management ist ein einfaches und intuitives Web-Interface (oder eine Anwendung für Mobilgeräte), mit dem IT-Teams schnellen und mobilen Zugang zu ihren Cloud-Ressourcen haben. Ein Administrator kann sich dort anmelden und sich so einen Überblick über die aktuelle Cloud-Nutzung einschließlich der laufenden Instanzen und Anwendungen sowie des Bandbreiten-Verbrauchs verschaffen.

Über die Management-Konsole für Amazon Web Services können Nutzer beispielsweise via Web-Interface ihre AWS-Nutzung einsehen und verwalten. Mit der Konsole lassen sich Anwendungen in der AWS-Cloud schnell einrichten und steuern, ohne dabei die Kontrolle über die zugrundeliegenden Cloud-Ressourcen abzugeben. Zudem übernimmt sie automatisch die Details zu Provisionierung, Load-Balancing, Auto-Scaling und Überwachung des Zustands von Anwendungen.

Die meisten dieser Cloud-Konsolen vereinen eine Palette an Daten und Informationen mit Management-Möglichkeiten für den Cloud-Betrieb. Dadurch können Teams für IT-Management und für IT-Sicherheit gleichermaßen profitieren, weil die Konsolen-Daten auch für Sicherheitsfragen herangezogen werden können. Dazu gehören zum Beispiel das Definieren von konkreten Schwellenwerten zu Anwendungsgesundheit, Risiken und Kapazität. Außerdem beinhaltet es das Einrichten von Warnungen und Benachrichtigungen. Dazu kommen noch viele weitere Einstellungen, etwa Änderungen am Dateisystem oder an Systemparametern auf Ebenen wie Netzwerk, Betriebssystem oder Anwendungen zur Priorisierung von geschäftskritischen Anwendungen. Mit diesen Daten lässt sich eine schnelle Vorstellung vom aktuellen Sicherheitszustand gewinnen; gleichzeitig werden Bemühungen um die Einhaltung von Compliance-Vorgaben unterstützt.

Viele Cloud-Konsolen bieten Detailinformationen zur Sicherheit für jede einzelne Instanz. Das vCenter von VMware wird zum Beispiel mit Vorlagen geliefert, die bei der durchgängigen Einhaltung von Best Practices und Standards für Sicherheit, Richtlinien zur System-Härtung und regulatorischen Vorgaben helfen sollen.

Cloud-Konsolen: Bauen oder kaufen?

Die Mehrzahl der Cloud-Konsolen wird derzeit von den Providern selbst zur Verfügung gestellt, weshalb sie auch nur für die Dienste des jeweiligen Providers geeignet sind. Allerdings bringen Anbieter traditioneller Systeme für System-Management und Rechenzenten-Monitoring wie RightScale, enStratus, Nimbula und andere zunehmend eigene Werkzeuge für Cloud-Management heraus.

Ein Teil davon enthält auch Sicherheitsfunktionen. Nimbula etwa verkauft Tools, mit denen sich aus lokalen Ressourcen-Pools für Virtualized Computing, Netzwerke und Storage-Cloud-Umgebungen aufbauen, verwalten, skalieren und absichern lassen. Gleichzeitig können damit auch Ressourcen in öffentlichen Clouds wie Amazon EC2 verwaltet werden.

Wer sich für eine Cloud-Konsole interessiert, sollte darauf achten, dass ihre Funktionen zu den eigenen Anforderungen und dem eigenen Markt-Segment passen. Bevor sie sich für einen Anbieter entscheiden, sollten Unternehmen ihre Anforderungen an eine Cloud-Architektur festlegen,. Dadurch vermeiden sie die Schaffung von mehreren Cloud-Silos, die Probleme hinsichtlich Integration und Komplexität mit sich bringen. Unbedingt sollten Käufer ihre wichtigsten allgemeinen Kriterien – z.B. Heterogenität und Unterstützung für öffentliche und/oder private Clouds – sowie Sicherheitskriterien kennen.

Die Zahl der Anbieter derartiger Dienste und Produkte steigt immer weiter. Doch ein komplettes Produkt, das zu den speziellen Anforderungen bei Cloud-Sicherheitsmanagement jedes Unternehmens passen würde, gibt es noch nicht. Unter Umständen müssen Organisationen deshalb mehrere Werkzeuge integrieren oder das Produkt ihrer Wahl individuell anpassen. Es ist zudem wichtig zu wissen, dass es nicht einfach ist, eine eigene Konsole für Cloud-Management zu entwickeln: Man muss dafür erhebliche Kompetenzen und Ressourcen investieren. Zudem entwickeln sich Cloud-Technologien immer weiter, so dass es hier schon kurzfristig bedeutende Änderungen geben kann. Deshalb kann es Zeit und Geld sparen, stattdessen lieber zum Produkt eines Anbieters zu greifen, das parallel zur Cloud immer weiterentwickelt wird.

Cloud-Konsolen verwalten und anlegen

Sicherheitsdaten von Konsolen für Cloud-Management mit bestehenden Werkzeugen und dem Gesamtkonzept für Sicherheitsmanagement zu integrieren, kann sehr aufwändig sein. Organisationen müssen dazu ein Framework oder eine Architektur entwickeln, in der die Visionen und Standards für Einrichtung, Betrieb und Prozesse der Cloud-Managementplattform sowie dazugehörige Integrationsarbeiten festgehalten sind.

Konkreter: Organisationen, die eine Konsole für Cloud-Management einführen wollen, brauchen eine Methode für die Entwicklung einer auf Risiken und Chancen fokussierten Architektur für Sicherheit und Informationsschutz, die auf wichtige Geschäftsinitiativen abgestimmt ist. In Frage kommt dafür zum Beispiel das Framework Sherwood Applied Business Security Architecture (SABSA), eine Methodik für die Entwicklung risikobasierter Architekturen und die Realisierung von sicheren Infrastruktur-Diensten.

Das SABSA-Framework liefert eine 6x6-Matrix mit Spalten für die Fragen was, warum, wie, wer, wo und wann. Jede Zelle in der Tabelle enthält dann eine Komponente der Sicherheitsarchitektur, die Zeilen beschreiben jeweils eine Perspektive wie "geschäftlicher Blick" (die Kontext-Ebene), "IT-Spezialist" oder "Blick des Fachmanns" (die Komponenten-Ebene). Alles zusammen beschreibt umfassend die Sicherheitsarchitektur für ein Unternehmen.

Ein entscheidender Faktor im Bereich Sicherheitsmanagement ist mittlerweile "Big Data" – also riesige Mengen an einzelnen Daten, die korreliert, analysiert und nach sinnvollen Mustern durchsucht werden. Damit lassen sich manchmal sogar raffinierte Angriffe von staatlichen Akteuren  identifizieren, so genannte Advanced Persistent Threats. Das Potenzial von Big Data ist also enorm, allerdings steckt das Feld noch in den Kinderschuhen. Jedoch können Unternehmen schon einmal überlegen, welche sicherheitsrelevanten Big-Data-Projekte sie in den nächsten drei bis fünf Jahren angehen wollen. So lässt sich einplanen, wie die Integration mit der von der Organisation gewählten Konsole für Cloud-Management aussehen soll.

Schlussbemerkung

Letztlich muss eine Konsole für Cloud-Management eine Reihe von Features bieten, die schnellen, einfachen und intuitiven Zugang zu Informationen gewähren. Ebenfalls sollte sie wertvolle Daten für Eigentümer, IT-Leiter, Sicherheitschefs und ähnliche Personen liefern, mit deren Hilfe schnelle geschäftliche Entscheidungen getroffen und Risiken berücksichtigt werden können. Die Konsole sollte eine individualisierbare und grafisch ansprechende Darstellung bieten, die mit maßgeschneiderten Ansichten unterschiedliche geschäftliche und technische Nutzer bei ihren Aufgaben unterstützt. Außerdem ist ein Gesamtüberblick über die Sicherheitslage auf der Grundlage von validierten Angriffen und Geschäftsrisiken erforderlich. Geografische und Netzwerk-Ansichten wiederum helfen dabei, das Bewusstsein der Nutzer für ihre Verantwortung in der Organisation und den Compliance-Status aufrechtzuerhalten.

Über den Autor: Ajay Kumar ist arbeitet als IT-Sicherheitsmanager seit einem Jahrzehnt im Bereich Informationssicherheit und Risiko-Management. Er hat Erfahrungen mit Infrastruktur-Sicherheit, Identitäts- und Zugangsmanagement, Bedrohungs- und Schwachstellen-Management, Daten-Sicherung und Datenschutz, Cloud-Sicherheit sowie mobiler Sicherheit. Sein Spezialgebiet ist Planung, Design und Implementation von Diensten und Systemen, die gebraucht werden, um Vertraulichkeit, Integrität, Schutz und Authentizität von Daten in Enterprise-Umgebungen sicherzustellen. Erreichen können Sie ihn unter akumar_net2002@yahoo.com.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de

Close