Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | SICHERHEITSARCHITEKTUR gelingen, wenn der gesamte Software-Stack der Plattform professionell und sicher entwickelt bzw. weiterentwickelt wird. Typischerweise setzen CSPs nicht nur eine Vielzahl verschiedener Software-Komponenten ein, sondern entwickeln diese auch weiter, um die Dienste der Laufzeit-Umgebung ihren Kunden optimal bereitstellen zu können. Bei der Software- Entwicklung muss jeder CSP Sicherheit als festen Bestandteil des Software Development Life Cycle Prozess (SDLC-Prozess) etabliert haben. Sicherheitsaspekte müssen in allen Phasen des Software-Entwicklungsprozesses berücksichtigt werden und es dürfen nur Programme bzw. Module zum Einsatz kommen, die ordnungsgemäß getestet und auch seitens der Sicherheitsverantwortlichen des CSP freigegeben wurden. Software, die von den Kunden entwickelt wird, benötigt nicht nur eine sichere Basis (die vom CSP zu stellen ist), sondern auch dabei müssen Sicherheitsaspekte beachtet werden. Es ist zu empfehlen, dass der CSP entsprechende Anwenderrichtlinien für Kunden zur Erstellung von sicheren Anwendungen bereitstellt, damit durch die von Kunden selbstentwickelten Programme gewisse Mindestanforderungen an Sicherheit, Dokumentation und Qualität erfüllt werden. Dies ist nicht nur hilfreich für die Kunden, sondern unterstreicht auch die Kompetenz des Providers und reduziert die Gefahr, dass Sicherheitslücken in Kundensoftware andere Kunden beeinträchtigen. Wenn der CSP zur Bereitstellung der Plattform-Dienste auch Drittdienstleister hinzuzieht, so gelten diese Anforderungen gleichermaßen auch für sie. Neben Code Reviews sollten zusätzlich auch automatische Review-Tools eingesetzt sowie Vulnerability Tests durchgeführt werden. Automatische Review-ToolskönnenbeispielsweisehäufigvorkommendeProgrammierfehler, wie Endlosschleifen oder Null-Pointer-Exceptions, erkennen. Bei höherem Schutzbedarf sollte der CSP auch den von den Kunden selbstentwickelten Code automatisch auf Schwachstellen überprüfen. Bei PaaS teilen sich mehrere Kunden eine gemeinsame Plattform, um Software auszuführen. Eine sichere Isolierung der Kunden-Anwendungen sollte gewährleistet werden, beispielsweise unter Anwendung von Sandboxing Technologien. Eine strikte Isolierung der Kundenbereiche trägt 35
CLOUD COMPUTING | SICHERHEITSARCHITEKTUR unter anderem dazu bei, dass von einer Anwendung nicht unberechtigt auf die Daten einer anderen Anwendung zugegriffen werden kann. Da die Cloud-Kommunikation im Kern ausschließlich auf Web-Technologienberuht,z. B.WebinterfacesfürCloud-NutzerundAnwendungs- Administrationen, Application Frameworks wie Java und .NET, Kommunikation über HTTP(S), kommt der Sicherheit der Cloud-Anwendungen gegen Angriffe auf Applikationsebene eine noch höhere Bedeutung zu als bei traditionellen Web-Anwendungen. Daher sollte jeder CSP sicherstellen können, dass bei ihm die Prinzipien zur sicheren Software-Entwicklung des Open Web Application Security Project bei der Erstellung der Anwendungen eingehalten werden, die gegen die wichtigsten Sicherheitsrisiken bei Webanwendungen (OWASP Top 10) wirken [10]. Anwendungs- und Plattformsicherheit Sicherheit muss Bestandteil des Software Development Life Cycle-Prozesses sein (Reviews, Automatisierte Tests, Vulnerability Tests, etc.) Private B C+ A+ Public B C+ A+ Sichere Isolierung der Anwendungen (PaaS) Einhaltung von Sicherheits-Mindeststandards der zur Verfügung gestellten Webanwendungen (z. B. Prinzipien zur sicheren Software-Entwicklung nach OWASP) Richtlinien für Kunden zur Erstellung von sicheren Anwendungen (PaaS) Automatische Überprüfung von Kunden-Anwendungen auf Anwendungs-Schwachstellen, insbesondere vor Inbetriebnahme (PaaS) Patch- und Änderungsmanagement (zügiges Einspielen von Patches, Updates, Service Packs) sowie Release Management Sicherstellung der Patchverträglichkeit auf Testsystemen vor Einspielen in Wirkbetrieb 36
Seite 1 und 2: Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4: CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6: CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8: CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10: CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12: CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14: CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 35: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69 und 70: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74: 72 13 Datenschutz und Compliance
Seite 75 und 76: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80: 78 14 Ausblick
Seite 81 und 82: CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84: CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86: CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88:
CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90:
88 17 Dankesworte
Seite 91 und 92:
CLOUD COMPUTING | DANKESWORT » Pir
Seite 93:
www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?