Security-Analyse von Cloud-Computing Mathias Ardelt

Weitere Magazine

Empfehlungen

Info

Kapitel 3: Security-Analyse von Cloud-Computing 31 3. Security-Analyse von Cloud-Computing 3.1. Analyse der Gefahren des Cloud-Computing Nr. Titel Seite G1 Unbekannte Richtlinien zur Mitarbeiterüberprüfung 31 G2 Mangelhafte Informationspolitik 33 G3 Gefahr durch Zentralisierung 35 G4 Verlust der direkten Kontrolle 36 G5 Interne Angriffe 37 G6 Unzureichende Abgrenzung der virtuellen Ressourcen 38 G7 Missbrauch von Cloud-Ressourcen 39 G8 Unbekannte Laufzeitumgebung der virtuellen Maschinen 40 G9 Unbekannter Speicherort der Daten 42 G10 Physischer Zugang zu Rechenzentren wird nicht gewährt 42 G11 Unbekannte Sicherheitsmechanismen 43 G12 Fehlende Interoperabilität & Portabilität und fehlende Transparenz 43 über Datenverbleib bei Providerkündigung / -wechsel G13 Unzureichendes Sicherheits-Monitoring 44 G14 Unsichere API-Schnittstellen 45 Tabelle 2: Gefahren des Cloud-Computing im Überblick 3.1.1. Gefahrenverstärkung der bekannten Gefahren durch den Einsatz von Cloud-Computing G1 Unbekannte Richtlinien zur Mitarbeiterüberprüfung Eine Auslagerung der Systeme bedeutet auch immer ein Vertrauen in den Provider und seine Mitarbeiter. Bei einem Outsourcing-Projekt haben die Administratoren Zugang auf die Systeme um Wartungsarbeiten durchzuführen. Wartungsarbeiten wären beispielsweise die Installation von Softwareupdates oder die Ressourcenänderungen aufgrund von Anforderungsänderungen. Bei Cloud- Computing sind diese Wartungsarbeiten ebenfalls von Mitarbeitern des Providers durchzuführen. Hier können virtuelle Maschinen als Managed Root-Server betrieben werden und die Administratoren sind für die Administration der unterliegenden Hostmaschinen zuständig. Obwohl ein Administrator nicht unbedingt direkt
32 Kapitel 3: Security-Analyse von Cloud-Computing Zugriff auf die virtuelle Maschine hat, so hat er trotzdem Zugriff auf den Hypervisor, was auch immer einen Zugriff auf laufende virtuelle Maschinen des Hostsystems bedeutet. Dieser Zugang kann unter Umständen missbraucht werden. Insbesondere wird diese Gefahr aufgrund der Tatsache verstärkt, dass ein Administrator aufgrund der Größe der Cloud Zugang zu einer Vielzahl von Daten hat. Es muss eine klare Transparenz für den Cloud-Kunden erreicht werden indem klargestellt wird, welche Einstellungsanforderungen Cloud-Provider an ihre Administratoren stellen. Ebenfalls muss klargestellt werden, welche Zugriffe erlaubt, protokolliert 36 37 und kontrolliert werden. Eine weitere Gefahr für das Gesamtsystem ist die Kompetenz der Administratoren des Cloud-Providers. Aufgrund der Größe der Cloud und der Vielzahl von Cloud-Kunden kann hier ein einfacher Fehler eines Administrators sehr schwerwiegende Folgen haben. Im Rahmen der Studie „IT Security in Deutschland 2011“ hat das Marktforschungsunternehmen IDC (International Data Corporation) im Juni 2011 ermittelt, dass Mitarbeiter das größte Sicherheitsrisiko in der IT- Security-Kette darstellen. 38 Die besten Sicherheitsmechanismen sind immer von der korrekten Konfiguration und von der fehlerfreien Arbeit der Administratoren abhängig. Es gibt viele Bereiche wo das fehlerfreie Arbeiten eine absolute Notwendigkeit ist, wie zum Beispiel bei der Reparatur von Flugzeugen bei Fluggesellschaften. Um dies zu bewerkstelligen werden Techniken eingesetzt wie z.B. das 4-Augen-Prinzip, bei welchem jeweils zwei Mitarbeiter zusammen Arbeiten durchführen müssen, anstatt diese alleine durchzuführen. Es kann nicht verhindert werden, dass neue und noch unerfahrene Mitarbeiter in einem Betrieb arbeiten. Ein Cloud-Provider kann jedoch sicherstellen, dass die Arbeit eines solchen Mitarbeiters von einem erfahrenen Kollegen überprüft werden muss. Ein Beispiel für die Auswirkung eines Fehlers im Bereich des Cloud- Computing, ist der Vorfall vom 21. April 2011 bei dem Cloud-Provider Amazon 39 : Um die Kapazitäten der Cloud zu erhöhen, wurden routinemäßige Änderungen an dem Netzwerk durchgeführt. Ziel war es die Kapazität des primären 36 Vgl. ENISA – Catteddu, Daniele: Security & Resilience in Governmental Clouds, S. 18 37 Vgl. Network World – Brodkin, Jon: Gartner: Seven cloud-computing security risks, S. 1 38 Vgl. Elektroniknet.de – Kuppinger, Stefan: Mitarbeiter sind die gefährlichsten Trojaner 39 Vgl. Amazon Web Services: Summary of the Amazon EC2 and Amazon RDS Service Disruption in the US East Region
Seite 1: Security-Analyse von Cloud-Computin
Seite 6: Abstract V Abstract Cloud-Computing
Seite 9 und 10: VIII Inhaltsverzeichnis 3.1.1. Gefa
Seite 12: Abbildungsverzeichnis XI Abbildungs
Seite 16 und 17: Kapitel 1: Einführung 1 1. Einfüh
Seite 18: Kapitel 1: Einführung 3 (ENISA) Fr
Seite 21 und 22: 6 Kapitel 2: Grundlagen Partitionie
Seite 23 und 24: 8 Kapitel 2: Grundlagen und keine p
Seite 25 und 26: 10 Kapitel 2: Grundlagen sowie das
Seite 27 und 28: 12 Kapitel 2: Grundlagen wurde, st
Seite 29 und 30: 14 Kapitel 2: Grundlagen Netzanbind
Seite 31 und 32: 16 Kapitel 2: Grundlagen 2.2.2. Vir
Seite 33 und 34: 18 Kapitel 2: Grundlagen PC-Archite
Seite 35 und 36: 20 Kapitel 2: Grundlagen der Inform
Seite 37 und 38: 22 Kapitel 2: Grundlagen 2.3.2. Ser
Seite 39 und 40: 24 Kapitel 2: Grundlagen ter Ind
Seite 41 und 42: 26 Kapitel 2: Grundlagen Nachteile
Seite 43 und 44: 28 Kapitel 2: Grundlagen Microsoft
Seite 48 und 49: Kapitel 3: Security-Analyse von Clo
Seite 76: Kapitel 3: Security-Analyse von Clo
Seite 79 und 80: 64 Kapitel 4: Architektur zur Lösu
Seite 91 und 92: 76 Kapitel 5: Fazit kann, dass die
Seite 93 und 94: 78 Literaturverzeichnis Thorns, Fab
Seite 95 und 96:
80 Internetquellen CBS Interactive
Seite 97 und 98:
82 Internetquellen Entnommen am 22.
Seite 100:
Anhang B 85 Anhang B Kontaktdaten M
Alle anzeigen

Security-Analyse von Cloud-Computing Mathias Ardelt

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?