Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | CLOUD COMPUTING GRUNDLAGEN die genutzten Services hat, überträgt der Nutzer bei einer Public Cloud die Kontrolle an den Cloud Computing Anbieter. Im Weiteren wird in diesem Dokument nur zwischen Private Cloud und PublicCloudunterschieden,diegemäßderobigenDefinitiondieganze Spannbreite der Cloud-Bereitstellungsmodellen darstellen. Bei allen Modellen, die „zwischen“ diesen beiden Extremen liegen, muss hinterfragt werden,obdieGefährdungenz. B.durchgemeinsamgenutzteInfrastrukturen eher denen einer Private Cloud oder einer Public Cloud ähneln. 2.3 Welche verschiedenen Servicemodelle werden im Cloud Computing angeboten? Grundsätzlich können drei verschiedene Kategorien von Servicemodellen unterschieden werden: 1. Infrastructure as a Service (IaaS) BeiIaaSwerdenIT-Ressourcenwiez. B.Rechenleistung,Datenspeicheroder Netze als Dienst angeboten. Ein Cloud-Kunde kauft diese virtualisierten und in hohem Maß standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Kundez. B.Rechenleistung,ArbeitsspeicherundDatenspeicheranmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen. 2. Platform as a Service (PaaS) Ein PaaS-Provider stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf der Plattform standardisierte Schnittstellen an, die von DienstendesKundengenutztwerden.SokanndiePlattformz. B.Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe, etc. als Service zur Verfügung stellen. Der Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der CSP in der Regel eigene Werkzeuge anbietet. 17
CLOUD COMPUTING | CLOUD COMPUTING GRUNDLAGEN 3. Software as a Service (SaaS) Sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt. DerBegriff„as a Service“wirdnochfüreineVielzahlweitererAngebotebenutzt,wiez. B.fürSecurity as a Service,BP as a Service(Business Process),Storage as a Service,sodasshäufigauchvon„XaaS“geredetwird, also „irgendwas als Dienstleistung“. Dabei lassen sich die meisten dieser Angebote zumindest grob einer der obigen Kategorien zuordnen. DieServicemodelleunterscheidensichauchimEinflussdesKundenaufdie Sicherheit der angebotenen Dienste. Bei IaaS hat der Kunde die volle Kontrolle über das IT-System vom Betriebssystem aufwärts, da alles innerhalb seines Verantwortungsbereichs betrieben wird, bei PaaS hat er nur noch Kontrolle über seine Anwendungen, die auf der Plattform laufen, und bei SaaS übergibt er praktisch die ganze Kontrolle an den CSP. 2.4 Was unterscheidet Cloud Computing vom klassischen IT-Outsourcing? Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Dies ist ein etablierter Bestandteil heutiger Organisationsstrategien. Das klassische IT-Outsourcing ist meist so gestaltet, dass die komplette gemietete Infrastruktur exklusiv von einem Kunden genutzt wird (Single Tenant Architektur), auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. Zudem werden Outsourcing-Verträge meistens über längere Laufzeiten abgeschlossen. Die Nutzung von Cloud Services gleicht in vielem dem klassischen Outsourcing, aber es kommen noch einige Unterschiede hinzu, die zu berücksichtigen sind: 18
Seite 1 und 2: Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4: CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6: CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8: CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10: CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12: CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14: CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 17: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 21 und 22: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69 und 70:
CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72:
CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74:
72 13 Datenschutz und Compliance
Seite 75 und 76:
CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78:
CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80:
78 14 Ausblick
Seite 81 und 82:
CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84:
CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86:
CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88:
CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90:
88 17 Dankesworte
Seite 91 und 92:
CLOUD COMPUTING | DANKESWORT » Pir
Seite 93:
www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?