Sicherheitsempfehlungen für Cloud Computing Anbieter
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
CLOUD COMPUTING | SICHERHEITSARCHITEKTUR<br />
einzukaufen und deren Nutzung in Verträgen zu regeln. Darüber hinaus<br />
sollten auch Maßnahmen implementiert werden, um interne DDoS-Angriffe<br />
von <strong>Cloud</strong>-Kunden auf andere <strong>Cloud</strong>-Kunden erkennen zu können.<br />
DieFehlkonfigurationeinesSystemsisthäufigdieUrsache<strong>für</strong>erfolgreiche<br />
Angriffe. Da <strong>Cloud</strong> <strong>Computing</strong> Plattformen aus vielen verschiedenen<br />
Komponenten bestehen, ergibt sich eine hohe Komplexität der Gesamt<br />
konfiguration.DasÄnderneinesKonfigurationsparametersbeieiner<br />
Komponente(z. B.Virtualisierungsserver)kannimZusammenspielmitdenanderenKomponenten(z.<br />
B.NetzoderStorage)zuSicherheitslücken,<br />
Fehlfunktionenund/oderAusfällenführen.Dahermüssendieeingesetzten<br />
Komponentensicherundsorgfältigkonfiguriertwerden.Auchsolltejeder<br />
CSP auf eine geeignete Netzsegmentierung achten, damit Fehler sich nicht<br />
beliebig ausbreiten können. Hier bietet es sich an, abhängig vom Schutzbedarf<br />
unterschiedliche Sicherheitszonen innerhalb des Provider-Netzes zu<br />
definierenundeinzurichten.Beispielehier<strong>für</strong>sind:<br />
» Sicherheitszone <strong>für</strong> das Management der <strong>Cloud</strong><br />
» Sicherheitszone <strong>für</strong> die Live Migration, falls Servervirtualisierung<br />
eingesetzt wird<br />
» Sicherheitszone <strong>für</strong> das Storage-Netz<br />
» Eigene Sicherheitszonen <strong>für</strong> die virtuellen Maschinen eines Kunden bei<br />
IaaS<br />
Das Management-Netz des CSP sollte vom Datennetz isoliert sein.<br />
Wird die <strong>Cloud</strong>-Infrastruktur bzw. werden die <strong>Cloud</strong> Services fernadministriert,somussdiesübereinensicherenKommunikationskanal(z.<br />
B.<br />
SSH,IPSec,TLS/SSL,VPN)erfolgen.<br />
Hat ein Servicekonsument besonders hohe Anforderungen an die Verfügbarkeit<br />
der in Anspruch genommenen Dienste, sollten die Standorte des<br />
CSP redundant untereinander vernetzt sein.<br />
33