Newsfeed abonnieren
Thema: Infrastruktur

CA: Anwender- und Cloud-Unternehmen brauchen Management-Software

Cloud-Computing und Sicherheit

Aus MONITOR 6/2010
Drucken | Versenden | Feedback

Das Cloud Computing bietet Best-of-Breed-Lösungen schnell und kostengünstig auf Abruf. Es kann diese Stärken aber nur ausspielen, wenn vorher durch ein umfassendes und koordiniertes Sicherheitsmanagement alle Risiken ausgegrenzt sind.

Christofer Muhm

Christofer Muhm ist Senior Consultant Technical Sales bei CA Technologies in Österreich.

Die Delegierung der Datenverarbeitung und -speicherung an einen Cloud-Anbieter enthebt das jeweilige Anwenderunternehmen nicht von seiner Sorgfaltspflicht, Gesetze, rechtliche Vorgaben und Branchenstandards durchzusetzen. Für Datenintegrität, Datenschutz, Compliance und die Auditierungs-Fähigkeit haften letztlich die Unternehmen als Cloud-Kunden und nicht der Cloud-Anbieter.

Risikofaktor: Verteilte Umgebung

Daten in einer Cloud befinden sich in einer verteilten Umgebung. Das macht sie von vornherein unsicherer als beispielsweise in einer abgeschlossenen monolithischen Mainframe-Welt. Der Versand der Daten zum und vom Cloud-Rechenzentrum geschieht verschlüsselt über gesicherte Verbindungen, wie sie beispielsweise auch beim Online-Banking genutzt werden.

Die erste Station, die die verschlüsselten Daten des Anwenders in Richtung Cloud-Rechenzentrum erreichen, ist ein Rechner, der quasi im "Vorzimmer" des Rechenzentrums steht. Dieser Rechner kontrolliert den gesamten Datenverkehr und filtert alle Daten aus, die nicht den vorher festgelegten Sicherheitsregeln entsprechen.

Dabei ist es eine Selbstverständlichkeit, dass Cloud-Anbieter bewährte Werkzeuge wie verschlüsselte Verbindungen, Antivirenlösungen und Firewalls einsetzen. Genauso wichtig ist außerdem das Management der Zugriffsrechte.

Risikofaktor: Zugriffsrechte

Die Verwaltung der Hardware-, Betriebssystem- und Applikations-Plattformen erfordert Zugriffe von Administratoren, welche als privilegierte Anwender (Privileged Users) besondere Rechte genießen. Diese Rechte müssen deshalb auch besonders verwaltet werden - beim Cloud-Anwender wie beim Cloud-Kunden.

Denn Zugriffsrechte der privilegierten Anwender bedeuten potenzielle Sicherheitsrisiken. Wenn sich ein nicht-autorisierter User in den Besitz eines solchen Accounts bringt, kann er viele Zugriffskontrollen umgehen, Anwendungsdaten einsehen oder Einträge in den Systemdateien ändern oder löschen.

Deshalb ist zu prüfen, ob der Cloud-Anbieter beispielsweise Standards und Best Practices wie ISO 27001/2 einsetzt, um die Sicherheit der ihm anvertrauten Daten zu gewährleisten. ISO 27001/2 fordert beispielsweise das Management der Zugriffsrechte: Danach ist sicherzustellen, dass nur autorisierte Nutzer Zugang haben und nur auf Daten zugreifen, die sie für ihre jeweilige Arbeit benötigen. Ein nicht-autorisierter Zugriff muss ausgeschlossen sein. Diese Vorgaben setzen zum Beispiel Sicherheitslösungen wie CA Identity Management und CA Access Control um.

Risikofaktor: Virtualisierung

Technologischer Kern der Cloud ist die bereits seit Großrechnerzeiten bekannte Virtualisierung: Sie stellt dem Nutzer eine Abstraktionsschicht zur Verfügung, die ihn von der eigentlichen Hardware wie Rechner und Plattenspeicherplatz isoliert. Möglicher Nachteil unter Sicherheitsaspekten: Zwei oder mehr Anwendungen auch von unterschiedlichen Anwenderunternehmen laufen auf ein und demselben Server.

Sind Administratoren-Accounts nicht restriktiv ausgelegt, arbeitet ein Administrator oft mit Root-Rechten des Betriebssystems, um das Host-System zu managen. Damit könnte er auch die angebundenen virtuellen Systeme manipulieren. Abhilfe schaffen Zugriffskontrollsysteme, die sich vor das Betriebssystem schalten (z. B. CA Access Control).

Risikofaktor: Kopien auf externen Medien

Cloud-Computing-Anbieter müssen darüber hinaus sicherstellen, dass ihre Mitarbeiter Daten nicht unberechtigt auf externe Medien wie beispielsweise USB-Sticks oder CDs kopieren können. Ebenso sind sensitive Daten, die sich zwischen E-Mail-Server, Anwendung und Groupware in der Cloud und dem Unternehmensnetz bewegen, vor Angriffen und Missbrauch zu schützen. Die besten Cloud-Anbieter simulieren regelmäßig Hackerangriffe, um die Sicherheit zu testen. Schließlich sorgen auch Audits von unabhängigen Auditoren für Risikoschutz.

Das heißt, Anwenderunternehmen sollten vom Cloud-Anbieter einen Sicherheitsnachweis von einer neutralen Stelle einfordern, bevor sie eine Entscheidung treffen. Dabei sollten sie nicht vergessen, dass auch sie die Cloud-Services und ihre Sicherheit aktiv managen müssen.

weitersagen: drucken
Termine

18. Juni - 22. Juni

In ganz Österreich

SAP Mittelstandstage

Print-Archiv
Folgen Sie uns
Leser empfehlen
MONITOR-Newsletter

Abonnieren Sie unseren Newsletter!

E-Mail:
Die von Ihnen angegebene E-Mail Adresse wird von MONITOR Online weder an Dritte weitergegeben noch zu anderen Zwecken verwendet.
MONITOR-Autoren

© Copyright 1983-2012 by MONITOR / Bohmann Druck und Verlag Gesellschaft m.b.H. & Co. KG (www.bohmann.at)

Add to Google  | Abo | Themenvorschau | Mediadaten | Inserate buchen | Kontakt | Impressum