Mehr Sicherheit in der Cloud - Cloud-Security - Daten und Infrastruktur schützen - Heise Partnerzones Cloud-Security - Daten und Infrastruktur schützen . cloud computing, cloud security, security technology, enterprise security, Intel xeon processors, it managers . Security technologies built into Intel® Xeon® processor-based servers give cloud solution providers tools for security challenges. /styles/zones/basis.css

Herausforderung IT-Security

Mehr Sicherheit in der Cloud

Unternehmen, die Cloud-Services in großem Stil und in kritischen Bereichen einsetzen wollen, werden mit einigen neuen Sicherheitsfragen konfrontiert. Die Cloud ändert nicht alles: Viele bekannte Ansätze haben auch in der Wolken-IT ihre Berechtigung und müssen nur an die veränderten Bedingungen angepasst werden.

 - Die eigenen Mitarbeiter stellen die größte Gefahrenquelle in der IT dar.

Die eigenen Mitarbeiter stellen die größte Gefahrenquelle in der IT dar.

Beim herkömmlichen Rechenzentrumsbetrieb sind die Daten eines Unternehmens zahlreichen Bedrohungen ausgesetzt. Der Aufwand, alle wertvollen Informationen zu schützen und die Betriebsbereitschaft  des Unternehmens sicherzustellen, ist immens. Zumal IT-Sicherheit ein fortlaufender Prozess ist, der stets an neue Bedrohungen angepasst werden muss, will man das Hase-und-Igel-Rennen gegen den gut organisierten Cyber-Crime gewinnen. Die positive Nachricht: Mit Cloud Computing ändern sich die Bedrohungsszenarien nicht grundsätzlich. Die schlechte Nachricht allerdings ist: Die Cloud bietet mehr Angriffsfläche als das interne Rechenzentrum.

Denn Cloud-Dienste werden langfristig nur in seltenen Fällen im eigenen RZ erbracht werden – auch wenn das in der aktuellen Testphase dieser Technologie noch häufig anzutreffen ist. Es steht zu erwarten, dass die künftige IT-Landschaft eine heterogene Mischung aus klassischen, lokal bereitgestellten Services sowie Diensten auf privaten und öffentlichen Clouds sein wird. Somit verlassen Daten in deutlich mehr Fällen als bislang die sicheren Mauern des Rechenzentrums. Ob Anwendungen aus der Cloud oder Infrastruktur-Services aus der Cloud – alle Dienste, die von externen Cloud-Providern bezogen werden, halten Unternehmensdaten vor, transportieren oder verarbeiten diese.

Mit der Verbreitung kommt die Gefahr

In dem Rahmen, in dem Cloud Computing in den Mainstream übergeht, wird diese Form der IT-Bereitstellung auch in den Fokus der Kriminellen gelangen. So warnt zum Beispiel der Virenschutzanbieter Kaspersky in einem Thesenpapier: „Sobald Cloud Computing eine ausreichende Verbreitung hat, wird es mit Sicherheit auch genau auf diese Systeme spezialisierte Hacker geben. Auch hier wird es deren Ziel sein, Daten zu stehlen oder zu manipulieren – immer vor dem Hintergrund des finanziellen Vorteils.“ Damit sollten sich Unternehmen bei der Cloud genauso wie im herkömmlichen RZ-Betrieb auf den Schutz von Daten und geistigem Eigentum konzentrieren.

Der Schutz eines Public-Cloud-Dienstes ist eine enorme Herausforderung, deren Aufwand dem Nutzen wohl wenig gerecht wird. Der Anwender hat hier keinen oder bestenfalls wenig Einfluss und muss sich vollständig auf den Anbieter verlassen. Nicht zuletzt deswegen sind Public Clouds für alle Anwendungsszenarien eher ungeeignet, in denen sensible Daten verarbeitet oder gespeichert werden. Hierfür kommen nur private Clouds in Frage, bei denen der Anwender einen gewissen Einfluss auf die Server ausüben kann.

Beim Schutz der Server sind zwei Varianten zu unterscheiden: Die selbst im eigenen RZ implementierte Private Cloud sowie die extern gehosteten Cloud-Services. Für die interne Cloud gelten dieselben Sicherheitsgrundregeln wie für alle virtualisierten Systeme: Hier muss ein besonderes Augenmerk auf den Hypervisor gelegt werden, der zwischen Hardware, Host-Betriebssystem und Gast-Instanzen vermittelt. Denn ist erst einmal der Hypervisor kompromittiert, kann ein Angreifer leicht die produktiven, virtuellen Instanzen unter seine Kontrolle zwingen. Ein Schutz vor den möglichen Angriffsvektoren auf dieser Ebene muss sehr früh innerhalb der Boot-Sequenz implementiert werden, am besten direkt auf Hardware-Ebene. So ermöglicht zum Beispiel der Prozessor-Hersteller Intel mit TXT (Trusted Execution Technology) eine Überprüfung der gesamten Startsequenz. Dabei werden alle relevanten Komponenten gegen eine vorgegebene, als fehlerfrei bekannte Konfiguration abgeglichen. Veränderungen, die durch Malware oder andere Angriffsarten in das System eingebracht wurden, lassen sich so erkennen, bevor die kompromittierte Komponente geladen wird.

1 | 2 | 3