Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | SICHERHEITSARCHITEKTUR gehärtete Hypervisoren zurückgreifen. Zur Härtung der Hypervisoren sollten dieEmpfehlungenzursicherenKonfigurationvonVirtualisierungsservern,dievon den Herstellern veröffentlicht werden, herangezogen werden. Grundlage derZertifizierungsolltendieweltweitabgestimmten„GemeinsamenKriterienfür die Prüfung und Bewertung der Sicherheit von Informationstechnik“ oder kurzCommonCriteriasein.AlsPrüftiefesolltebeiderZertifizierungmindestensVertrauenswürdigkeitsstufeEAL 4erreichtwordensein. Bei Angeboten der Form „IaaS-Compute“ werden den Kunden virtuelle MaschinenzurVerfügunggestellt,z. B.übereineWebschnittstelle.Zur Absicherung der virtuellen Maschinen ist es hilfreich, wenn der Iaas-Anbieter seinen Kunden Richtlinien zur Härtung der virtuellen Maschinen an die Hand gibt. Außerdem sollte es den Kunden möglich sein, eigene Images für die virtuellen Maschinen hochzuladen oder qualitätsgesicherte Images vom Provider zu beziehen. Server-Sicherheit Technische Maßnahmen zum Schutz des Hosts (Host Firewalls, regelmäßige Integritätsüberprüfungen, Host-based Intrusion Detection Systems) SichereGrund-KonfigurationdesHosts(z. B. Einsatz gehärteter Betriebssysteme, Deaktivierung unnötiger Dienste, etc.) Möglichkeit, für Kunden eigene Images für virtuelle Maschinen einzusetzen oder qualitätsgesicherte Images des Providers zu nutzen (nur bei IaaS) SichereDefault-KonfigurationdesGastbetriebssystems durch den Einsatz gehärteter Betriebssysteme, Deaktivierung unnötiger Dienste, etc. (nur bei PaaS/SaaS) Private B C+ A+ Public B C+ A+ EinsatzzertifizierterHypervisoren(Common Criteria mindestens EAL 4) 31
CLOUD COMPUTING | SICHERHEITSARCHITEKTUR PaaS- oder SaaS-Anbieter, die auf Servervirtualisierung zurückgreifen, wie z. B.MicrosoftmitderWindowsAzurePlattform,solltenauchdieSicherheit der Gastbetriebssysteme gewährleisten. 4.3 Netzsicherheit In der Vergangenheit sind Cloud Computing Plattformen vielfach missbraucht worden, um dort Schadprogramme abzulegen, um über diese Spam zu versenden, um deren Rechenleistung zu nutzen, um Passwörter durch Brute-Force-Angriffe zu knacken oder um auf diesen Command and Control Server (C&C Server) zur Steuerung von Bots zu verstecken. Um solche und ähnliche Angriffe bzw. den Missbrauch der Ressourcen zu verhindern, sollte jeder CSP wirksame Sicherheitsmaßnahmen zur Abwehr netzbasierter Angriffe umsetzen. Zusätzlich zu gängigen IT-Sicherheitsmaßnahmen wie Virenschutz, Trojaner-Detektion, Spam-Schutz, Firewalls,ApplicationLayerGateway,IDS/IPS-Systeme,sollteinsbesondere auch darauf geachtet werden, dass jegliche Kommunikation zwischen CSP und Kunden sowie zwischen den Standorten des Anbieters verschlüsselt ist. Sind zur Erbringung der Services Drittdienstleister notwendig, dann ist die Kommunikation mit ihnen auch zu verschlüsseln. Aufgrund der Konzentration der Ressourcen in zentralisierten Rechenzentren ist ein besonders für Public Cloud Computing Plattformen gefährlicher Angriff die Ausführung von Distributed Denial of Service-Angriffen (DDoS- Angriffen). Nach einem Bericht von Arbor Networks, einem Anbieter von Sicherheitslösungen, erreichen DDoS-Angriffe (wie beispielsweise die DNS Amplification/ReflectionAttack)mittlerweileenormeBitraten(über100 Gbps) [9]. Ein Standard-Backbone ist für eine weit geringere Datenrate ausgelegt. Folglich können viele CSPs DDoS-Angriffe mit hohen Datenraten kaum abwehren. Dies kann gravierende Folgen sowohl für das eigentliche Opfer als auch andere angeschlossene Kunden haben. Vor diesem Hintergrund sollte jeder Public CSP über geeignete Maßnahmen zur Abwehr von DDoS (DDoS-Mitigation) verfügen. Aufgrund der Tatsache, dass viele CSPs DDoS- Angriffe mit hohen Datenraten selbst kaum abwehren können, bietet es sich an, solche Mitigation-Dienste über größere Internet Service Provider (ISPs) 32
Seite 1 und 2: Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4: CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6: CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8: CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10: CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12: CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14: CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 31: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69 und 70: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74: 72 13 Datenschutz und Compliance
Seite 75 und 76: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80: 78 14 Ausblick
Seite 81 und 82: CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84:
CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86:
CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88:
CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90:
88 17 Dankesworte
Seite 91 und 92:
CLOUD COMPUTING | DANKESWORT » Pir
Seite 93:
www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?