Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | CLOUD COMPUTING GRUNDLAGEN » Aus wirtschaftlichen Gründen teilen sich in einer Cloud mehrere Nutzer eine gemeinsame Infrastruktur. » Cloud Services sind dynamisch und dadurch innerhalb viel kürzerer Zeiträume nach oben und unten skalierbar. So können Cloud-basierte Angebote rascher an den tatsächlichen Bedarf des Kunden angepasst werden. » Die Steuerung der in Anspruch genommenen Cloud-Dienste erfolgt in der Regel mittels einer Webschnittstelle durch den Cloud-Nutzer selbst. So kann der Nutzer automatisiert die genutzten Dienste auf seine Bedürfnisse zuschneiden. » Durch die beim Cloud Computing genutzten Techniken ist es möglich, die IT-Leistung dynamisch über mehrere Standorte zu verteilen, die geographisch weit verstreut sein können (Inland ebenso wie Ausland). » Der Kunde kann die genutzten Dienste und seine Ressourcen einfach überWeb-OberflächenoderpassendeSchnittstellenadministrieren, wobei wenig Interaktion mit dem Provider erforderlich ist. 2.5 Strategische Planung der Cloud Computing Services durch den Nutzer Bevor geschäftskritische Informationen oder Anwendungen in die Cloud ausgelagert werden, muss vorher eine Cloud-Strategie festgelegt werden, in der die wesentlichen Rahmenbedingungen geklärt werden. Dazu muss immer eine individuelle Sicherheitsanalyse für die auszulagernden Informationen oder Anwendungen durchgeführt werden. In der Cloud- Strategie ist unter anderem festzuhalten, wie die IT-Struktur aussieht (z. B. bei IaaS), wie bestehende IT-Systeme oder Geschäftsprozesse abgegrenzt und getrennt werden können, wie alle betrieblichen und rechtlichen Rahmenbedingungen aussehen und wie der Schutzbedarf der auszulagernden Informationen oder Anwendungen ist. 19
CLOUD COMPUTING | CLOUD COMPUTING GRUNDLAGEN Typischerweise haben CSPs zwar ihre Angebote auf bestimmte Arten von Informationen oder Anwendungen zugeschnitten. Dabei stehen sie aber vorderHerausforderung,dasssiedenspezifischenSchutzbedarfderKundendaten nicht kennen. Sie könnten für alle Kundendaten ein hohes oder sehr hohes Schutzniveau anbieten, aber das dürfte für Daten mit einem normalen Schutzbedarf zu teuer sein. Um jedem Cloud-Kunden einen Service anbieten zu können, der KundenausverschiedenenBereichensowohlfunktionalalsauchfinanziellüberzeugt, sollten CSPs frühzeitig Informationssicherheit gegenüber den Cloud-Kunden thematisieren. CSPs sollten ihren Kunden darlegen, welche Sicherheitsmaßnahmen bei ihren Angeboten zum Standardumfang gehören, welche zusätzlich zugekauft werden können und für welche Sicherheitsmaßnahmen die Kunden selbst verantwortlich sind. Dies hilft auch, Missverständnissen vorzubeugen. So werden hohe Schäden, die von Zwischenfällen wie Datenverlusten verursacht werden, oft dem CSP angelastet, obwohl es der Cloud-Kunde war, der nicht für ausreichende Sicherheit seiner Daten gesorgt hatte, weil er ein zu niedriges Schutzniveau gewählt hat bzw. ein zu hohes Risiko eingegangen ist. Deshalb ist es auch für den CSP essentiell, dass der Cloud-Kunde den Schutzbedarf der ausgelagerten Informationen oder Anwendungen kennt bzw. sich im Klaren über das gebotene Schutzniveau ist. So kann der CSP dem Kunden auch mögliche Sicherheitsvorteile deutlich machen, die sich durch die Nutzung von Cloud-Diensten ergeben können. Schon im Rahmen der strategischen Entscheidung, ob und in welcher Form ein Cloud Service eingesetzt wird, müssen daher die sicherheitsrelevanten Rahmenbedingungen vom Nutzer vorher herausgearbeitet werden. Dies gilt ebenso für Public wie für Private Clouds, und dort genauso jeweilsfürIaaS,PaaSundSaaS.Hierzugehörenu. a.folgendeSchritte: » StrukturanalysevonIT-Systemen(z. B.beiIaaS)undAnwendungen,umeineAbgrenzungzuermöglichenundalleSchnittstellenzuidentifizieren 20
Seite 1 und 2: Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4: CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6: CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8: CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10: CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12: CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14: CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 17 und 18: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 19: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69 und 70: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72:
CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74:
72 13 Datenschutz und Compliance
Seite 75 und 76:
CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78:
CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80:
78 14 Ausblick
Seite 81 und 82:
CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84:
CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86:
CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88:
CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90:
88 17 Dankesworte
Seite 91 und 92:
CLOUD COMPUTING | DANKESWORT » Pir
Seite 93:
www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?