Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | SICHERHEITSARCHITEKTUR einzukaufen und deren Nutzung in Verträgen zu regeln. Darüber hinaus sollten auch Maßnahmen implementiert werden, um interne DDoS-Angriffe von Cloud-Kunden auf andere Cloud-Kunden erkennen zu können. DieFehlkonfigurationeinesSystemsisthäufigdieUrsachefürerfolgreiche Angriffe. Da Cloud Computing Plattformen aus vielen verschiedenen Komponenten bestehen, ergibt sich eine hohe Komplexität der Gesamt konfiguration.DasÄnderneinesKonfigurationsparametersbeieiner Komponente(z. B.Virtualisierungsserver)kannimZusammenspielmitdenanderenKomponenten(z. B.NetzoderStorage)zuSicherheitslücken, Fehlfunktionenund/oderAusfällenführen.Dahermüssendieeingesetzten Komponentensicherundsorgfältigkonfiguriertwerden.Auchsolltejeder CSP auf eine geeignete Netzsegmentierung achten, damit Fehler sich nicht beliebig ausbreiten können. Hier bietet es sich an, abhängig vom Schutzbedarf unterschiedliche Sicherheitszonen innerhalb des Provider-Netzes zu definierenundeinzurichten.Beispielehierfürsind: » Sicherheitszone für das Management der Cloud » Sicherheitszone für die Live Migration, falls Servervirtualisierung eingesetzt wird » Sicherheitszone für das Storage-Netz » Eigene Sicherheitszonen für die virtuellen Maschinen eines Kunden bei IaaS Das Management-Netz des CSP sollte vom Datennetz isoliert sein. Wird die Cloud-Infrastruktur bzw. werden die Cloud Services fernadministriert,somussdiesübereinensicherenKommunikationskanal(z. B. SSH,IPSec,TLS/SSL,VPN)erfolgen. Hat ein Servicekonsument besonders hohe Anforderungen an die Verfügbarkeit der in Anspruch genommenen Dienste, sollten die Standorte des CSP redundant untereinander vernetzt sein. 33
CLOUD COMPUTING | SICHERHEITSARCHITEKTUR Netzsicherheit Sicherheitsmaßnahmen gegen Malware (Virenschutz, Trojaner-Detektion, Spam-Schutz, etc.) Private B C+ A+ Public B C+ A+ Sicherheitsmaßnahmen gegen netzbasierte Angrif fe(IPS/IDS-Systeme,Firewall,ApplicationLayer Gateway, etc.) DDoS-Mitigation (Abwehr von DDoS-Angriffen) Geeignete Netzsegmentierung (Isolierung des Management-Netzs vom Datennetz) SichereKonfigurationallerKomponentender Cloud-Architektur Fernadministration durch einen sicheren Kommunikationskanal(z. B.SSH,IPSec,TLS/SSL,VPN) Verschlüsselte Kommunikation zwischen Cloud Computing Anbieter und Cloud Computing Nutzer (z. B.TLS/SSL) Verschlüsselte Kommunikation zwischen Cloud Computing Standorten Verschlüsselte Kommunikation mit Drittdienstleistern, falls diese für das eigene Angebot notwendig sind Redundante Vernetzung der Cloud-Rechenzentren 4.4 Anwendungs- und Plattformsicherheit Bei Angeboten im Bereich PaaS müssen sich die Kunden nicht mehr explizit um Datenbankzugriffe, Skalierbarkeit, Zugriffskontrolle, etc. kümmern, sondern diese Funktionalitäten werden von der Plattform bereitgestellt. Aufgrund der Tatsache, dass die Kunden zur Entwicklung eigener Software auf Kernfunktionalitäten der Plattform zurückgreifen, kann eine sichere Software-Entwicklung auf Seiten der Kunden allerdings nur 34
Seite 1 und 2: Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4: CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6: CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8: CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10: CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12: CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14: CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 33: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69 und 70: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74: 72 13 Datenschutz und Compliance
Seite 75 und 76: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80: 78 14 Ausblick
Seite 81 und 82: CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84: CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86:
CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88:
CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90:
88 17 Dankesworte
Seite 91 und 92:
CLOUD COMPUTING | DANKESWORT » Pir
Seite 93:
www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?