Sicherheitsempfehlung für Cloud Computing Anbieter
Sicherheitsempfehlung für Cloud Computing Anbieter
Sicherheitsempfehlung für Cloud Computing Anbieter
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
CLOUD COMPUTING | SICHERHEITSARCHITEKTUR<br />
gelingen, wenn der gesamte Software-Stack der Plattform professionell<br />
und sicher entwickelt bzw. weiterentwickelt wird. Typischerweise setzen<br />
CSPs nicht nur eine Vielzahl verschiedener Software-Komponenten ein,<br />
sondern entwickeln diese auch weiter, um die Dienste der Laufzeit-Umgebung<br />
ihren Kunden optimal bereitstellen zu können. Bei der Software-<br />
Entwicklung muss jeder CSP Sicherheit als festen Bestandteil des Software<br />
Development Life Cycle Prozess (SDLC-Prozess) etabliert haben. Sicherheitsaspekte<br />
müssen in allen Phasen des Software-Entwicklungsprozesses<br />
berücksichtigt werden und es dürfen nur Programme bzw. Module zum<br />
Einsatz kommen, die ordnungsgemäß getestet und auch seitens der<br />
Sicherheitsverantwortlichen des CSP freigegeben wurden.<br />
Software, die von den Kunden entwickelt wird, benötigt nicht nur eine<br />
sichere Basis (die vom CSP zu stellen ist), sondern auch dabei müssen<br />
Sicherheitsaspekte beachtet werden. Es ist zu empfehlen, dass der CSP<br />
entsprechende Anwenderrichtlinien <strong>für</strong> Kunden zur Erstellung von<br />
sicheren Anwendungen bereitstellt, damit durch die von Kunden selbstentwickelten<br />
Programme gewisse Mindestanforderungen an Sicherheit,<br />
Dokumentation und Qualität erfüllt werden. Dies ist nicht nur hilfreich<br />
<strong>für</strong> die Kunden, sondern unterstreicht auch die Kompetenz des Providers<br />
und reduziert die Gefahr, dass Sicherheitslücken in Kundensoftware andere<br />
Kunden beeinträchtigen.<br />
Wenn der CSP zur Bereitstellung der Plattform-Dienste auch Drittdienstleister<br />
hinzuzieht, so gelten diese Anforderungen gleichermaßen auch <strong>für</strong><br />
sie. Neben Code Reviews sollten zusätzlich auch automatische Review-Tools<br />
eingesetzt sowie Vulnerability Tests durchgeführt werden. Automatische<br />
Review-ToolskönnenbeispielsweisehäufgvorkommendeProgrammierfehler,<br />
wie Endlosschleifen oder Null-Pointer-Exceptions, erkennen. Bei<br />
höherem Schutzbedarf sollte der CSP auch den von den Kunden selbstentwickelten<br />
Code automatisch auf Schwachstellen überprüfen.<br />
Bei PaaS teilen sich mehrere Kunden eine gemeinsame Plattform, um<br />
Software auszuführen. Eine sichere Isolierung der Kunden-Anwendungen<br />
sollte gewährleistet werden, beispielsweise unter Anwendung von Sandboxing<br />
Technologien. Eine strikte Isolierung der Kundenbereiche trägt<br />
35