Schlagwort-Archive: Cloud

Kein unternehmensinterner Konsens über Cloud-Sicherheit

Originalartikel von Simply Security, Trend Micro

Quelle: flickr

Ein neuer Report des Ponemon Institutes zeigt den Graben, der sich zwischen den IT-Sicherheits- und Compliance-Verantwortlichen auftut, wenn es um das Management von Clouds geht. Für ihre Studie hatten die Analysten in den USA 1000 Verantwortliche dieser beiden Gruppen zu den möglichen Herausforderungen bezüglich der Wolkensicherheit befragt, wobei weniger als die Hälfte der Ansicht ist, in ihren Unternehmen sei adäquate Sicherheitstechnologie für ihre Cloud-Infrastrukturen vorhanden.

Doch bei den Fragen, ob die Cloud genauso sicher ist wie das Onpremise-Datacenter, wer für die Cloud-Sicherheit die Verantwortung tragen sollte sowie welche Sicherheitsmaßnahmen erforderlich sind, gehen die Meinungen der beiden Gruppen von Verantwortlichen deutlich auseinander. Lediglich ein Drittel der IT-Sicherheitsfachleute glaubt, Cloud-Infrastrukturumgebungen seien genauso sicher wie das traditionelle Datacenter. Die Hälfte der Compliance Officer dagegen glaubt an die Sicherheit der IaaS (Infrastructure as a Service)-Umgebungen.

Auch bezüglich der Sicherheitsverantwortlichkeiten gibt es unterschiedliche Ansichten: 21 Prozent der Compliance-Manager sehen sich selbst in der Rolle derer, die die Security-Anforderungen definieren. Demgegenüber stehen 22 Prozent der IT-Fachleute, die diese Aufgabe bei sich sehen.

Für die wichtigste Sicherheitsmaßnahme bezüglich der Cloud halten die IT-Verantwortlichen den Einsatz von Verschlüsselung, sodass die Daten für Service Provider nicht lesbar sind. Compliance-Fachleute wiederum sehen die Verwendung von Verschlüsselung eher bei der Trennung der unterschiedlichen Aufgaben, um etwa IT-Administratoren den Zugang zu Daten, die sie nicht für ihre Jobs benötigen, zu verwehren. Insgesamt ist es jedoch nur einem Drittel der Unternehmen wichtig, ihre Daten, die in der Cloud gespeichert sind und auf die dort zugegriffen wird, über Verschlüsselung zu schützen.

„Uns hat die unterschiedliche Haltung zur Cloud-Sicherheit bei den IT-Sicherheits- und Compliance-Verantwortlichen überrascht“, stellte Ponemon Institute Vorsitzender und Gründer Larry Ponemon fest. „Doch zeigt die Befragung, dass die Security-Belange beide Gruppen betrifft, auch wenn es Besorgnis erregend ist, dass die Verantwortlichkeiten für die Cloud-Sicherheit über das gesamte Unternehmen verteilt sind.“

Ganz gleich, welche Abteilung schließlich die Verantwortung für den Schutz der Cloud übernimmt, wichtig ist, dass Unternehmen schnell handeln und eine Sicherheitsstrategie entwickeln.

Amazons Verschlüsselungsfunktion greift zu kurz: Verwaltung muss in die Hände des Benutzers

Originalartikel Udo Schneider, Solution Architect

Quelle: flickr

Viele Medien bekundeten ihre Zustimmung für die Ankündigung von AWS‘ (Amazon Webservices) Verschlüsselungsfunktion für S3 (Simple Storage Services). Dabei werden Daten in den S3 Buckets optional verschlüsselt abgelegt. Die Daten werden mittels SSE (Server Side Encryption) auf Seiten des Servers verschlüsselt. Hierbei übernimmt Amazon die gesamte Schlüsselverwaltung automatisch. Der Nutzer braucht nur noch beim Hochladen der Daten zu entscheiden, ob sie verschlüsselt abgelegt werden sollen.

Verschlüsselung ist sicherlich sinnvoll, denn bei einem unberechtigten Zugriff auf die (physikalischen) Platten, auf denen die S3 Daten liegen, kann niemand die Daten verwenden. Doch schützt diese Funktion nicht vor dem Entwenden der Daten, sofern sie über dafür gedachte Kanäle passieren (e.g. Zugriff via https). Da die Ver-/Entschlüsselung transparent auf dem Server passiert, kann jeder, der die Rechte oder Zugangsdaten (berechtigter- oder unberechtigterweise) besitzt, diese Daten von S3 /ent/schlüsselt herunterladen.

Deshalb geht Trend Micro mit Secure Cloud einen anderen Weg und fügt weitere Security-Mechanismen für Kontrolle des Benutzers hinzu.

  • Trennung von Schlüsselverwaltung und Ressourcen: Die Schlüsselverwaltung ist getrennt von den verschlüsselten Ressourcen. Ein potenzieller Angreifer kann also mit den Daten allein nichts anfangen — Er benötigt (unberechtigen) Zugriff auf zwei disjunkte Systeme.
  • Schlüsselverwaltung/-generierung befindet sich unter Kontrolle des Nutzers: Gibt dieser die Keys nicht frei, so können die Daten nicht entschlüsselt werden.
  •  Richtlinienbasierte Identitäts- und Integritätsüberprüfung: S3 ist ein reiner Storage Dienst. SecureCloud geht weiter und adressiert (u.a.) auch Amazon EC2/EBS (Elastic Block Store). In diesem Kontext gilt es, nicht nur Daten zu schützen, sondern auch Instanzen/VMs, die auf diese zugreifen. SecureCloud kann also auch die Identität (etwa Lokation/Rechenzentrum) und Integrität (Welche Netzwerkdienste sind konfiguriert?) mit in die Entscheidung, ob Schlüssel bereitgestellt werden, einbeziehen.

Im Gegensatz zu S3 SSE geht das Trend Micro-Produkt viel weiter und bezieht deutlich mehr Risiken ein. Dies soll aber nicht heißen, dass S3 SSE nichts taugt. Jedes Feature, dass die Sicherheit erhöht, verbessert die Gesamtsicherheit des Systems. Zumal in diesem Fall die zusätzliche Verschlüsselung „nichts kostet“ – weder preislich noch in Form von User Ressourcen.

 

Hier könnte ihre Werbung stehen – mit Bild

Bilder sagen mehr als Worte – dachte sich wohl auch LinkedIn und hat bei den Standardeinstellungen Änderungen vorgenommen. Sie führen dazu, dass die persönlichen Daten der Mitglieder an Dritte weitergegeben werden dürfen – inklusive ihrer Bilder.

Wer nicht will, dass sein Foto auf der nächsten Produktwerbung erscheint, sollte folgende Änderungen vornehmen: Nach dem Einloggen ins Netzwerk erscheint rechts oben der eigene Name. Wer mit der Maus darauf hält, bekommt ein Drop-down-Menü mit dem Eintrag „Settings“ zu sehen. Einmal anklicken und die Oberfläche mit den Einstellungen öffnet sich. Nach dem Anklicken des Reiters „Account“ links unten erscheinen etwa in der Bildschirmmitte unter der Überschrift „Privacy Controls“ zwei Links mit den Bezeichnungen „Manage Social Advertising“ und „Turn on/off enhanced advertising“. Beim Anklicken des ersten Links öffnet sich ein Fenster mit Angaben zur Verwendung persönlicher Informationen von LinkedIn-Mitgliedern im Rahmen von Werbung durch Dritte. Gleichzeitig ist die Zustimmung dazu voreingestellt. Ein Klick auf das Kästchen mit dem Haken, und die Zustimmung ist entfernt. Bitte nicht vergessen, anschließend die Einstellungsänderung zu speichern.

Nach Anklicken des zweiten Links wird der Anwender darüber informiert, dass LinkedIn sich im Standard das Recht gibt, Werbung von Partnern auf den Profilseiten der Mitglieder anzuzeigen, die nach Analyse der Mitgliederinformationen auf das jeweilige Profil zu passen scheint. Wer solche Werbung nicht erhalten möchte, muss den Zustimmungshaken entfernen.

Generell sollten Nutzer sozialer Netzwerke ihre Profileinstellungen regelmäßig überprüfen und eher zu restriktiv mit der Weitergabe ihrer persönlichen Informationen umgehen. Zudem sollten sie stets sorgsam überlegen, welche Informationen sie in soziale Netzwerke einstellen.

Weitere Informationen sind in Rik Fergusons „Countermeasures-Blog“ erhältlich.

Definition von „Cloud“

Original Artikel von Todd Thiemann (Senior Director, Trend Micro)

Cloud-Computing ist das Schlagwort der Computerbranche, aber es scheint für jeden etwas anderes zu bedeuten. Trend Micro steht vor der Herausforderung, die verschiedenen Ausprägungen des webbasierten Datenaustauschs mit gängigen Bezeichnungen zu beschreiben. Dieser Beitrag erläutert die verschiedenen Aspekte des Cloud-Computings, damit wir alle wissen, wovon die Rede ist. Dabei soll es eher pragmatisch als doktrinär sein und wiedergeben, wie Kunden sich in Gesprächen rund um das Cloud-Computing und die verschiedenen Formationen der „Web-Wolke“ ausdrücken.

Viele clevere Leute beschäftigen sich mit dem Thema „sicheres Cloud-Computing“ und damit, wie wir den webbasierten Datenaustausch nutzen. Die unten stehenden Bereitstellungsmodelle sind, zusammen mit einer Arbeitsdefinition von „Cloud“, elegant in einer Präsentation beschrieben (http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2008-12/cloud-computing-standards_ISPAB-Dec2008_P-Mell.pdf), die von Peter Mell und Tim Grance vom US National Institutes of Standards & Technology Information Technology Lab (www.nist.gov) verfasst wurde.

Bereitstellungsmodell des öffentlichen Cloud-Computings

Bereitstellungsmodell des öffentlichen Cloud-Computings

Software-as-a-Service (SaaS) bezieht sich auf den webbasierten Zugriff auf Anwendungen (Beispiele: Salesforce.com, Trend Micro HouseCall).

Platform-as-a-Service (SaaS) bezeichnet Services, mit denen von Kunden erstellte Anwendungen im Internet verteilt werden (Beispiele: Google AppEngine und Microsoft Azure).

Infrastructure-as-a-Service (IaaS) wird manchmal auch „Utility-Computing“ genannt und beschreibt das Mieten von Ressourcen für Rechenleistung, Speicher, Netzwerk und andere Aufgaben (Beispiele: EC2 von Amazon, Rackspace und GoGrid). Der Kunde verwaltet die zugrundeliegende Cloud-Infrastruktur nicht selbst, steuert aber die Betriebssysteme, die Speicherung, das Netzwerk, verteilte Anwendungen und ausgewählte Netzwerkkomponenten (Firewall).

Man kann das unsichtbare Netzwerk über uns auch anders beschreiben. Organisationen, wie z. B. das Jericho-Forum (http://www.opengroup.org/jericho/) (verknüpft mit der Open Group, Haftungsausschluss: Trend Micro ist ein Mitglied des Jericho-Forums), haben eine Definition des Cloud-Computing erstellt sowie das Jericho-Würfelmodell der Web-Wolke entworfen, die die verschiedenen Cloud-Formationen und ihre Merkmale beschreiben.

CloudCubeModel Jericho

CloudCubeModel Jericho

Das Jericho-Forum ist auch ein Tochtermitglied der Cloud Security Alliance (CSA), die das Dokument „Security Guidance for Critical Areas of Focus in Cloud Computing“ (Sicherheitsleitfaden für kritische Schwerpunktbereiche des webbasierten Datenaustauschs (, Haftungsausschluss: Trend Micro ist ein Mitglied der CSA) veröffentlicht hat. Das CSA-Dokument wartet zwar nicht mit hübschen Bildern auf, bietet aber einen ansprechenden Überblick und eine Zusammenfassung 15 verschiedener Sicherheitsbereiche, die für den Betrieb in öffentlichen Cloud-Umgebungen extrem wichtig sind.

Wir führten vor Kurzem einige Kundenumfragen durch und fanden heraus, dass die so genannten Cloud-Experten das als SaaS bezeichnen, was bei den meisten IT-Profis unter „hosted“ geläufig ist. Während die Terminologie im Wandel begriffen ist und sich mit der Zeit weiter entwickelt, sind ein konzeptuelles System und eine gemeinsame Terminologie beim Vermitteln von Cloud-Begriffen hilfreich. Sie ermöglichen die konzeptuelle Zuordnung von Begriffen wie webbasierte und gehostete Sicherheit (können SaaS-Produkte sein), Cloud-Schutz (Schutz einer SaaS-/PaaS-/IaaS-Infrastruktur), Hosting (kann eine Form von SaaS/IaaS sein) und das Erfassen von Dingen wie „Architektur mit webbasiertem Client“ (einer Mischform aus SaaS-/PaaS-/IaaS-Services im Internet, kombiniert mit Client-Software). Mein Spezialgebiet ist das Marketing und ich lebe davon, Ideen an den Mann/die Frau zu bringen. Wenn meine Kollegen und ich die gleiche Sprache sprechen, verstehen wir uns besser und müssen uns kaum fragende Blicke zuwerfen.

Cloud-Computing bedeutet für IT-Mitarbeiter eine Reihe von Veränderungen bezüglich ihrer Arbeitsweise, wenn Unternehmen sich überlegen, geschäftskritische Anwendungen ins Internet zu verlagern. Die Bedrohungen werden sich ändern. Die Frage, wie die Sicherheitsbranche auf sie reagieren wird, bleibt weitherhin spannend. Bleiben Sie dran!