Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | SICHERHEITSARCHITEKTUR Wichtig ist weiterhin ein gut eingespieltes und effektives Patch- und Änderungsmanagement, damit Störungen im Betrieb vermieden sowie Sicherheitslücken minimiert und zeitnah beseitigt werden können. Zur Qualitätssicherung und um Fehler erkennen beziehungsweise zukünftigen Fehlern vorbeugen zu können, sollte jeder Patch und jede Änderung, bevor sie aufgespielt werden, ausreichend getestet und ihre Wirksamkeit bewertet werden. 4.5 Datensicherheit Der Lebenszyklus von Daten umfasst ihre Erzeugung, die Datenspeicherung, die Datennutzung und -weitergabe und die Zerstörung der Daten. Alle diese Phasen im Daten-Lebenszyklus sollte jeder CSP mit entsprechenden Sicherheitsmechanismen unterstützen. Zur Speicherung der Daten werden eine Vielzahl von Speichertechniken wiez. B.NAS,SAN,ObjectStorage,etc.eingesetzt.AllenSpeichertechnikenist gemeinsam, dass sich viele Kunden einen gemeinsamen Datenspeicher teilen. In einer solchen Konstellation ist eine sichere Trennung von Kundendaten essentiell und sollte daher gewährleistet sein. Bei SaaS beispielsweise werden Kundendaten meist in einer gemeinsamen Tabelle gespeichert. Die Unterscheidung der Kunden untereinander erfolgt dann anhand einer sogenannten Tenant-ID. Ist die Webanwendung (geteilteApplikation)unsicherprogrammiert,dannkönnteeinKundez. B. über eine SQL-Injection unerlaubt auf die Daten eines anderen Kunden zugreifen, diese löschen oder manipulieren. Um dies zu verhindern, müssen entsprechende Sicherheitsmechanismen umgesetzt werden. Ähnlich wie bei der traditionellen IT sind Datenverluste auch beim Cloud Computing eine ernst zu nehmende Gefahr. Zur Vermeidung von Datenverlusten sollte jeder CSP regelmäßige Datensicherungen basierend auf einem Datensicherungskonzept durchführen. Durch technische Defekte, falsche Parametrisierung, einer Überalterung der Medien, einer unzureichenden Datenträgerverwaltung oder der Nichteinhaltung von Regeln, die in einem 37
CLOUD COMPUTING | SICHERHEITSARCHITEKTUR Datensicherungskonzept gefordert werden, kann es vorkommen, dass sich Backups nicht wieder einspielen lassen und eine Rekonstruktion des Datenbestandes nicht möglich ist. Daher ist es notwendig, dass sporadisch überprüft wird, ob die erzeugten Datensicherungen zur Wiederherstellung verlorener Daten genutzt werden können. Je nachdem, wie lange der Zeitraum zwischen Datensicherung und Wiedereinspielen der Daten aufgrund von Datenverlusten oder anderer Zwischenfälle war, können die letzten Änderungen an den Daten verloren sein. Daher muss ein CSP seine Kunden sofort informieren, wenn Datensicherungen wieder eingespielt werden müssen, insbesondere über deren Stand. Die Datensicherung (Umfang, Speicherintervalle, Speicherzeitpunkte, Speicherdauer, etc.) muss transparent und nachvollziehbar für den Kunden erfolgen. Hilfreich für die Kunden kann es außerdem sein, wenn Cloud-Anbieter ihnen die Möglichkeit bieten, selbst Datensicherungen anzufertigen. Aufgrund der zugrunde liegenden Multi-Tenant-Architektur ist eine dauerhafte, also vollständige und zuverlässige Löschung von Kundendaten auf Wunsch eines Servicekonsumenten, beispielsweise nach Beendigung eines Vertragsverhältnisses, oft nur nach einer gewissen Zeitspanne möglich. Dieser Wert sollte in den SLAs kenntlich gemacht werden. Nach Ablauf der definiertenZeitspannemüssenalleKundendatendannvonallenSpeichermedien vollständig und zuverlässig gelöscht worden sein. Um Daten selektiv zu löschen, muss darauf geachtet werden, dass nicht nur die aktuelle Version, sondern auch alle Vorgängerversionen, temporäre Dateien und Dateifragmente gelöscht werden. Daher muss jeder CSP eine effektive Vorgehensweise zum sicheren Löschen bzw. Vernichten von Daten und Datenträgern haben. Kunden sollten darauf achten, dass vertraglich geregelt ist, zu welchem Zeitpunkt und in welcher Weise der CSP Daten bzw. Datenträger vollständig löschen oder vernichten muss. 38
Seite 1 und 2: Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4: CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6: CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8: CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10: CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12: CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14: CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 37: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69 und 70: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74: 72 13 Datenschutz und Compliance
Seite 75 und 76: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80: 78 14 Ausblick
Seite 81 und 82: CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84: CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86: CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88: CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90:
88 17 Dankesworte
Seite 91 und 92:
CLOUD COMPUTING | DANKESWORT » Pir
Seite 93:
www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?