Sicherheitsempfehlungen für Cloud Computing Anbieter
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
CLOUD COMPUTING | ID- UND RECHTEMANAGEMENT<br />
(z. B.Zwei-Faktor-Authentisierung)aufdieDienstezugreifenkönnen,wennder<br />
Zugang zum genutzten Dienst direkt über das Internet erfolgt. Greift ein<br />
Kunde über ein VPN aus dem abgesicherten Kundennetz auf die <strong>Cloud</strong>-<br />
Dienste zu, <strong>für</strong> das er sich mit zwei Faktoren authentisieren muss, ist eine<br />
zusätzliche Zwei-Faktor-Authentisierung zur Nutzung der <strong>Cloud</strong> Services<br />
nicht zwingend erforderlich.<br />
Bei verschlüsselter Kommunikation zwischen CSP und Servicekonsumenten,<br />
wie im Abschnitt 4.3 gefordert, kann zur Erhöhung der Sicherheit<br />
der Zugriff auf die Services auf bestimmte IP-Adressen oder Domains<br />
beschränkt werden.<br />
Ein weiteres Thema, das beim <strong>Cloud</strong> <strong>Computing</strong> eine Schlüsselrolle spielt,<br />
ist die Föderation von Identitäten bei der Authentisierung von Unternehmenskunden,<br />
bei der Bereitstellung von Single-Sign-On-Lösungen (SSO)<br />
und dem Austausch von Identitätsattributen zwischen dem Serviceanbieter<br />
und den Identitätsanbietern. Im Unternehmensumfeld sind SAML oder<br />
WS-Federationweitverbreitet,wobeiSAMLdeutlichhäufigereingesetztwird.<br />
Die Alternative zu SAML und WS-Federation ist eine SSO-Lösung, die<br />
über einen gesicherten VPN-Tunnel eingesetzt wird. Der weitverbreitete<br />
SAML-StandardwirdhäufigindenVersionen1.1und2.0eingesetzt.Nach<br />
Möglichkeit sollte SAML 2.0 unterstützt werden, da in diesem Standard<br />
verschiedene proprietäre Erweiterungen integriert wurden und damit eine<br />
breite Basis an Einsatzszenarien adressiert werden kann.<br />
Autorisierung<br />
Das Rechtemanagement muss gewährleisten, dass jede Rolle nur die<br />
Daten (auch Metadaten) sehen darf, die zur Erfüllung der Aufgabe notwendig<br />
sind. Die Zugriffskontrolle sollte rollenbasiert erfolgen und die<br />
eingerichteten Rollen und Berechtigungen sollten regelmäßig überprüft<br />
werden. Generell sollte das Least Privilege Model genutzt werden, Benutzer<br />
und CSP-Administratoren sollten nur die Rechte besitzen, die sie zur<br />
Erfüllung ihrer Aufgaben benötigen. Besonderes Augenmerk sollte dabei<br />
auf privilegierte Benutzer gerichtet werden. Handelt es sich bei einer<br />
44