Schlagwort-Archive: SaaS

Wer haftet für den Schaden, wenn Daten in der Cloud missbraucht werden?

Original Artikel von Todd Thiemann (Senior Director, Data Protection, Trend Micro)

Es ist immer wieder erstaunlich zu hören, dass allgemein IaaS-Provider (Infrastructure-as-a-Service) irrtümlicherweise für diejenigen gehalten werden, die die Sicherheit in der öffentlichen Cloud gewährleisten. Sie sorgen sicherlich für eine ordentliche Grundsicherheit (physische Sicherheit, Perimeter-Firewalls, Load Balancing und möglicherweise Intrusion Detection bzw. Prevention). Manche IaaS-Anbieter streben danach, sich durch bessere Sicherheit von der Konkurrenz abzusetzen, doch die meisten konzentrieren sich auf eine aggressive Preispolitik und werben mit der Flexibilität, die das Konzept verspricht im Vergleich zu Onpremise-Datencenter.

Auch wenn IaaS-Anbieter versuchen, eine sichere Umgebung zu liefern, so liegt die Verantwortung für die Sicherheit bei den Unternehmen, die den Dienst nutzen. Diese Tatsache stellt übrigens Amazon Web Services in den Kundenvereinbarungen klar fest und weist jegliche Garantie für die Sicherheit der Inhalte in der eigenen Cloud von sich. Dies ist keine Ausnahme. Alle IaaS-Provider schließen die Gewährleistung der Sicherheit, die über die physische Security, des Sicherheitspersonals sowie Basis-Perimetersicherheit der genutzten Computerumgebung hinaus geht aus. Der Grund dafür liegt wahrscheinlich darin, dass die meisten IaaS-Anbieter (75 Prozent laut IDC) in den USA ansässig sind, wo Klagen an der Tagesordnung sind.

Bis dato ist noch kein IaaS-bezogener Datenmissbrauch bekannt geworden. Distributed Denial of Service (DDoS)  und verlorene Daten gab es, doch keinen Missbrauch von kritischen Informationen. Doch angesichts der bestechenden wirtschaftlichen und technischen Vorteile, die Anwender von Applikationen in der Cloud erwarten, kommen immer mehr geschäftskritische Daten in die Cloud, und ist es nur eine Frage der Zeit bis zum ersten Missbrauchsvorfall. Zwar können Unternehmen die Verantwortung für die Sicherheit abgeben, indem sie auf den Security-Maßnahmen des IaaS-Anbieters vertrauen oder einem Managed Security Service Provider (MSSP), doch wenn etwas schief geht, wird der Besitzer der Daten dafür zur Verantwortung gezogen.

Wie lassen sich die Risiken minimieren, wenn es um Anwendungen in der Cloud geht, die kritische Informationen beinhalten? Die Anwendungsentwickler werden wohl zu einem Deployment in der Cloud raten mit dem Zusatz, „sicher, solange Sie die folgenden Schritte unternehmen …“. Zu diesen Schritten gehört auch der Schutz der einzelnen Hosts innerhalb des IaaS-Perimeters mithilfe von Host-basierter Technik, die etwa Deep Packet Inspection für IDP/IPS und Firewalls umfasst, sowie Integritäts-Checking der Dateien und Log-Analysen. Ein für all diese Zwecke ideales Tool ist das neue, auf zahlreiche Cloud-Sicherheits- und Compliance-Fragen zugeschnittene Trend Micro Deep Security.

Abenteuer Internet – Vorsicht vor DDoS-Angriffen

Original Artikel von Todd Thiemann (Senior Director, Data Protection, Trend Micro)

Benutzer von Amazon EC2 sind kürzlich einem gezielten DDoS-Angriff (Distributed Denial of Service) zum Opfer gefallen, der beim webbasierten Code-Hosting-Service Bitbucket für Fassungslosigkeit sorgte (Nachricht mit freundlicher Genehmigung meiner Lieblings-IT-Zeitschrift The Register). Eine der Schattenseiten des Lebens ist, dass es bei massiven DDoS-Angriffen, wie Bitbucket ihn erlebte, nur eine Schutzmaßnahme gibt, wenn die eingehenden Netzwerkkanäle erst einmal überfüllt sind: das Abschotten des DDoS.

Trend Micro hat mit DDoS-Angriffen gleich an zwei Fronten zu kämpfen: im Antiviren-Geschäft und im Hosted-Security-Geschäft (schamlose Verkaufswerbung von meiner Seite: schauen Sie sich InterScan Messaging Hosted Security an, um mehr über unsere Angebote rund um gehostete/SaaS-Mail-Sicherheit zu erfahren). Ich habe einige unserer CTOs und Sicherheitsarchitekten nach ihrer Sicht der Dinge zur Bitbucket-Geschichte gefragt und dabei viel über das schwerwiegende Problem, das DDos-Angriffe darstellen, gelernt.

Anbieter und SaaS-/IaaS (Infrastructure as a Service)-Provider können zwar die Presse täuschen, um sich vor negativen Schlagzeilen zu schützen, vom technologischen Standpunkt aus aber gibt es kein Entkommen, wenn eingehende Netzwerkkanäle erst einmal aufgrund eines DDoS-Angriffs überfüllt ist. Es gibt zwar keine Architektur, die vor DDoS-Angriffen schützt, aber Sie können eine Netzwerkarchitektur implementieren, die diese Angriffe zumindest abschwächt. Mit der Haltung „Einmal konfigurieren und fertig“ kommen Sie hier allerdings nicht weit – Sie müssen eine gute Zusammenarbeit mit vorgelagerten Providern entwickeln und Informationen in Echtzeit austauschen, um Angriffe zu mildern.

Die wenigsten netzwerkbasierten Maßnahmen können Sie vor DDoS-Angriffen schützen, da sie weder den zunehmenden Verkehr aufhalten noch zwischen guten und bösen Inhalten unterscheiden können. Intrusion-Prevention-Systeme (IPS) sind wirksam, wenn die Angriffe bereits identifiziert wurden und bekannte Signaturen aufweisen. Geht es allerdings um rechtmäßige Inhalte mit bösartigen Absichten, sind auch diese Systeme unwirksam. Ähnlich ist es um Firewalls bestellt: Sie verwenden üblicherweise einfache Regeln, die Protokolle, Ports oder IP-Adressen zulassen oder verweigern. Für DDoS-Angriffe ist es ein Kinderspiel, Firewalls und IPS-Geräte zu umgehen, da sie so konzipiert sind, dass sie rechtmäßigen Verkehr wie HTTP-Anfragen an einen Webserver versenden. Angriffe generieren so viel Verkehr von so vielen unterschiedlichen Hosts, dass ein Server – bzw. meistens dessen Internet-Verbindung – den Verkehr nicht bewältigen kann.

Ich vermute zwar, dass diese Art von Angriffen recht selten bleiben wird, da die meisten Angriffe heutzutage auf unrechtmäßige Gewinne abzielen und DDoS-Angriffe im Allgemeinen „Ruhm“ oder „Rache“ zum Motiv haben; dennoch bleiben sie ein Grund zur Sorge für Kunden, IaaS-Anbieter und ISPs. Egal, welcher böse Hacker die bei diesem DDoS-Angriff benutzten Rechner infiziert hat – er hat sie natürlich auch identifiziert. Für ISPs hat das die unangenehme Aufgabe zur Folge, ihre Kunden über den Angriff zu informieren oder die betroffenen Rechner abzuschalten. Tausende von Kunden sind weder schnell noch einfach zu benachrichtigen.

All das ist irrelevant, wenn Sie eine nicht systemkritische Anwendung im Internet verteilen. Lehnen Sie sich entspannt bei einer Tasse Kaffee zurück, bis der DDoS-Angriff vorüber und Ihre Anwendung wieder zugänglich ist.

Anders verhält es sich jedoch, wenn Sie eine systemkritische Anwendung im Internet bereitstellen: Sie müssen die Anwendung so konzipieren, dass sie bereits ab dem 1. Tag des Angriffs ausfallsicher ist. Im Klartext: Sie müssen die Anwendung auf mehrere IaaS-Anbieter verteilen und die Daten zwischen diesen Anbietern replizieren. Und das bedeutet außerdem, dass Sie die Latenzzeiten zwischen den unterschiedlichen IaaS-Anbietern in den Griff bekommen müssen. Internet-Computing und SaaS/IaaS sind ohne Frage großartig, aber Unternehmens- und Anwendungsarchitekten müssen die Sicherheit sorgfältig überdenken, ehe sie sich in das Abenteuer Internet stürzen.

Warum werden Cloud-Computing-Services nicht wie ein Service geschützt?

Original Artikel von Justin Foster (Software Architect, Trend Micro)

Angebote zu webbasierter Sicherheit als ein Service werden aufgrund der Vorteile des Verteilungsmodells immer beliebter. Sicherheit als ein Service ermöglicht durch Echtzeit-Updates und Feedback von Benutzern eine sehr schnelle Bereitstellung, Kostensenkungen und verbesserte Sicherheit.

Mit der explosionsartigen Zunahme des öffentlichen Cloud-Computings ist es an der Zeit, die Techniken, die wir für die Sicherheit AUS der Cloud einsetzen, nun auch zum Schutz FÜR die Cloud verwenden.

In Umgebungen der public Clouds, wie z. B. Amazon Web Services (AWS), bieten Instanzen von Elastic Compute Cloud (EC2) nur eine Firewall als Service. Es liegt am Kunden, alle Schwachstellen des Betriebssystems und der auf der virtuellen Maschine ausgeführten Anwendungen zu schließen. Das regelmäßige Patching kann die Angriffsflächen reduzieren, reicht aber nicht als einzige Maßnahme aus, um eine sichere Umgebung zu gewährleisten. Die einzige zurzeit brauchbare Option zur Stärkung des Sicherheitsprofils ist, dass der Kunde Host-basierte Steuerelemente verteilt und verwaltet. Host-basierte Agenten können Anti-Malware, IDS/IPS, WAF, DLP, Integritätsüberwachung und andere Funktionen bereitstellen, doch liegt es am Endbenutzer, diese Gegenmaßnahmen zu erwerben, zu verteilen, zu konfigurieren und zu überwachen.

Dies ist eine Chance für Service Provider: Sie können Sicherheit als einen Service zum Schutz der Instanzen anbieten, die ihre Kunden erzeugen. Mit der Einführung hochwertiger Pay-per-Use-Sicherheitsservices könnten Kunden die Gegenmaßnahmen auswählen, die sie je nach Funktion benötigen. Es bedarf dann einfach nur der Aktivierung in einer Check Box, um ihre virtuellen Maschinen nach Malware durchsuchen zu lassen.

Während dies eine natürliche Weiterentwicklung zu sein scheint, setzt sich Sicherheit als ein Service im Bereich Infrastructure-as-a-Service (IaaS) nur langsam durch. Dies liegt teilweise an der erforderlichen Architektur. Um die Unabhängigkeit der Plattform sowie die Flexibilität der Umgebung zu bewahren und virtualisierungsspezifische Themen wie Rollback zu lösen, sollten die Sicherheitsservices transparent außerhalb der virtuellen Maschine bereitgestellt werden (Platform-as-a-Service- und SaaS-Angebote unterliegen nicht dieser Einschränkung, da der Service Provider das Betriebssystem verwaltet).

Externe Sicherheit hat sich bereits in Sicherheit als ein Service zum Schutz AUS der Cloud bewährt, beispielsweise E-Mail-Gateways zum Filtern von Spam und Malware. Es ist nicht gängige Praxis, externe Sicherheit FÜR virtuelle Maschinen bei Cloud Providern bereitzustellen, aber es ist heute möglich – und zwar mit virtuellen Gateways oder virtuellen Appliances, die Hypervisor-Sicherheits-APIs einsetzen, um den Prozessor, den Arbeitsspeicher, das Netzwerk und den Speicher der virtuellen Maschinen zu überprüfen. Was Virtualisierungsplattformen angeht, so ist VMware hier mit VMsafe führend bei der Bereitstellung von Sicherheits-APIs. Service Providern, die andere Virtualisierungstechnologien einsetzen, stehen mittlerweile jedoch auch andere Optionen zur Verfügung.

Damit Sicherheit als ein Service auch brauchbar ist, muss Benutzerfreundlichkeit oberste Priorität haben. Bei AWS allein werden JEDEN TAG schätzungsweise 50.000 neue Instanzen hinzugefügt. Um den Anforderungen, den Preisvorstellungen, dem Ausmaß an Selbstbedienungsfunktionen und der Fachkenntnis der Benutzerbasis gerecht zu werden, müssen die Sicherheitslösungen einfach zu verwalten sein. Die aktuelle Konfiguration von Firewall-ACLs in heutigen IaaS-Angeboten der public Cloud ist ein perfektes Beispiel für die erforderliche Einfachheit. Während einige Sicherheitsservices nur sehr wenig Konfiguration erfordern (wie z. B. Anti-Malware), ist bei anderen seit jeher mehr Konfigurationsaufwand nötig. Um Erfolg zu haben, müssen die Sicherheitsservices so weit wie möglich rationalisiert und automatisiert werden. Das kann bedeuten, dass Hypervisor-Sicherheits-APIs verwendet werden, um den Inhalt der virtuellen Maschinen zu überprüfen und sie gemäß der auf ihr ausgeführten Arbeitslast zu konfigurieren.

Diese Anforderungen sind eine ganz besondere Herausforderung für Anbieter von Sicherheitssoftware, die schnell bedarfsgerechte, Mehrmandanten-fähige Lösungen bereitstellen müssen. Die Anbieter müssen sich auch mit dem Mangel an Standards für die Integration mit den Service Providern auseinandersetzen, eine Herausforderung, die erst im Lauf der Zeit durch das Erstellen gemeinsamer Sicherheits-APIs bewältigt werden kann. Für Service Provider bedeutet Sicherheit als ein Service eine zusätzliche Einnahmequelle und Wertsteigerung ihrer Services. Höchstwahrscheinlich werden die Lösungen zunächst von kleineren Service Providern angeboten, um sich von der Konkurrenz abzuheben. Es gibt jedoch genug Marktchancen, so dass auch die dominierenden Provider zwangsläufig nachziehen werden.

Unter Verwendung des dynamisch bereitgestellten, externen Pay-per-Use-Sicherheitsmodells, das bei webbasierten Services zum Schutz AUS der Cloud sehr gängig ist, macht Cloud-Computing zum Schutz FÜR die Cloud absolut Sinn. Endbenutzer haben Zugriff auf die von ihnen benötigten Sicherheitsservices, ohne selbst Zeit und Aufwand zu investieren, und erhalten Sicherheit, die genau so dynamisch ist wie die von ihnen verwendeten webbasierten Services.

Das Sicherheit-als-Service-Modell

Orignal Artikel von John Maddison

Vor knapp vier Jahren habe ich damit begonnen, mich mit dem SaaS-Sicherheitsmodell (Software-as-a-Service) für Trend Micro zu beschäftigen. Ehrlich gesagt war es – da wir ein Softwareunternehmen sind – sehr schwer, irgendjemanden auf uns aufmerksam zu machen. Dennoch ließ das Team nicht locker und musste manchmal am eigenen Leib erfahren, was nötig ist, um hochverfügbare SaaS-Anwendungen bereitzustellen.  SaaS ist heute eine wohlbekannte, kosteneffiziente Möglichkeit, herkömmliche Softwareanwendungen ohne Investitionen in Infrastruktur und qualifiziertes Personal bereitzustellen. Am häufigsten werden Anwendungen aus dem Bereich Produktivität, wie z. B. CRM und ERP, in Form von SaaS eingesetzt. Es gibt jedoch einen weiteren SaaS-Markt, der schnell und mit einem weltweiten Umsatz von mehr als 500 Millionen Dollar wächst.

SaaS-Sicherheitsanwendungen, manchmal auch als Security-as-a-Service bezeichnet, bieten die gleichen Vorteile wie jede andere SaaS-Anwendung. Es ist sogar so, dass einige SaaS-Sicherheitsanwendungen zusätzliche Vorteile aufweisen. Gehostete E-Mail-Sicherheit bietet eine äußerst kosteneffiziente Möglichkeit, Ihre E-Mail-Systeme zu schützen UND das Team bezüglich der Feinabstimmung für die beste Spam-Erkennung zu entlasten. Solche Services sind für alle Kundentypen optimal geeignet. Die IMHS Hosted Email Services von Trend Micro hosten Kunden jeder Größe – ob mit 5 oder mit 50.000 Benutzerlizenzen. Mehrwert-SaaS-Anwendungen für E-Mail-Sicherheit, wie z. B. Verschlüsselung, können in kürzester Zeit verteilt werden.

Eine andere erfolgreiche SaaS-Sicherheitsanwendung ist die Suche nach und Bewertung von Schwachstellen. Diese gehört zu einem so genannten Hybrid-Modell, da der Großteil der Funktionalität im Internet ausgeführt wird, zusammen mit einigen Elementen, die sich innerhalb des Kundennetzwerks befinden.

Dennoch sind nicht alle Sicherheitsanwendungen für die Cloud geeignet. Es lässt sich darüber streiten, ob Ihr gesamter Internetverkehr über SaaS-Sicherheits-Gateways geleitet werden soll. Aufgrund der Datenmenge ist es vielelicht am besten, Firewall- und Internet-Proxy-Verkehr über lokal installierte Anwendungen zu übertragen. Endpunkt-Sicherheitsanwendungen, die eine permanente Interaktion mit internen Netzwerkelementen erfordern, oder größere Kunden mit sehr stark verteilten Netzwerken, sind möglicherweise für die Einheitsprodukte von SaaS-Sicherheitsanbietern zu komplex. In diesem Fall werden manchmal MSSPs (Managed Security Service Provider) eingesetzt, um interne Ressourcen zu ergänzen.

Unternehmen sollten heute wahrscheinlich eine Kombination aus reiner SaaS-Sicherheit, SaaS-Hybridsicherheit, verwalteten Sicherheitsservices und lokal installierten (oder Private-Cloud-) Lösungen wählen. Welche Lösung im einzelnen eingesetzt wird, hängt von den Anwendungen und der Netzwerkgröße oder -architektur ab.

Definition von „Cloud“

Original Artikel von Todd Thiemann (Senior Director, Trend Micro)

Cloud-Computing ist das Schlagwort der Computerbranche, aber es scheint für jeden etwas anderes zu bedeuten. Trend Micro steht vor der Herausforderung, die verschiedenen Ausprägungen des webbasierten Datenaustauschs mit gängigen Bezeichnungen zu beschreiben. Dieser Beitrag erläutert die verschiedenen Aspekte des Cloud-Computings, damit wir alle wissen, wovon die Rede ist. Dabei soll es eher pragmatisch als doktrinär sein und wiedergeben, wie Kunden sich in Gesprächen rund um das Cloud-Computing und die verschiedenen Formationen der „Web-Wolke“ ausdrücken.

Viele clevere Leute beschäftigen sich mit dem Thema „sicheres Cloud-Computing“ und damit, wie wir den webbasierten Datenaustausch nutzen. Die unten stehenden Bereitstellungsmodelle sind, zusammen mit einer Arbeitsdefinition von „Cloud“, elegant in einer Präsentation beschrieben (http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2008-12/cloud-computing-standards_ISPAB-Dec2008_P-Mell.pdf), die von Peter Mell und Tim Grance vom US National Institutes of Standards & Technology Information Technology Lab (www.nist.gov) verfasst wurde.

Bereitstellungsmodell des öffentlichen Cloud-Computings

Bereitstellungsmodell des öffentlichen Cloud-Computings

Software-as-a-Service (SaaS) bezieht sich auf den webbasierten Zugriff auf Anwendungen (Beispiele: Salesforce.com, Trend Micro HouseCall).

Platform-as-a-Service (SaaS) bezeichnet Services, mit denen von Kunden erstellte Anwendungen im Internet verteilt werden (Beispiele: Google AppEngine und Microsoft Azure).

Infrastructure-as-a-Service (IaaS) wird manchmal auch „Utility-Computing“ genannt und beschreibt das Mieten von Ressourcen für Rechenleistung, Speicher, Netzwerk und andere Aufgaben (Beispiele: EC2 von Amazon, Rackspace und GoGrid). Der Kunde verwaltet die zugrundeliegende Cloud-Infrastruktur nicht selbst, steuert aber die Betriebssysteme, die Speicherung, das Netzwerk, verteilte Anwendungen und ausgewählte Netzwerkkomponenten (Firewall).

Man kann das unsichtbare Netzwerk über uns auch anders beschreiben. Organisationen, wie z. B. das Jericho-Forum (http://www.opengroup.org/jericho/) (verknüpft mit der Open Group, Haftungsausschluss: Trend Micro ist ein Mitglied des Jericho-Forums), haben eine Definition des Cloud-Computing erstellt sowie das Jericho-Würfelmodell der Web-Wolke entworfen, die die verschiedenen Cloud-Formationen und ihre Merkmale beschreiben.

CloudCubeModel Jericho

CloudCubeModel Jericho

Das Jericho-Forum ist auch ein Tochtermitglied der Cloud Security Alliance (CSA), die das Dokument „Security Guidance for Critical Areas of Focus in Cloud Computing“ (Sicherheitsleitfaden für kritische Schwerpunktbereiche des webbasierten Datenaustauschs (, Haftungsausschluss: Trend Micro ist ein Mitglied der CSA) veröffentlicht hat. Das CSA-Dokument wartet zwar nicht mit hübschen Bildern auf, bietet aber einen ansprechenden Überblick und eine Zusammenfassung 15 verschiedener Sicherheitsbereiche, die für den Betrieb in öffentlichen Cloud-Umgebungen extrem wichtig sind.

Wir führten vor Kurzem einige Kundenumfragen durch und fanden heraus, dass die so genannten Cloud-Experten das als SaaS bezeichnen, was bei den meisten IT-Profis unter „hosted“ geläufig ist. Während die Terminologie im Wandel begriffen ist und sich mit der Zeit weiter entwickelt, sind ein konzeptuelles System und eine gemeinsame Terminologie beim Vermitteln von Cloud-Begriffen hilfreich. Sie ermöglichen die konzeptuelle Zuordnung von Begriffen wie webbasierte und gehostete Sicherheit (können SaaS-Produkte sein), Cloud-Schutz (Schutz einer SaaS-/PaaS-/IaaS-Infrastruktur), Hosting (kann eine Form von SaaS/IaaS sein) und das Erfassen von Dingen wie „Architektur mit webbasiertem Client“ (einer Mischform aus SaaS-/PaaS-/IaaS-Services im Internet, kombiniert mit Client-Software). Mein Spezialgebiet ist das Marketing und ich lebe davon, Ideen an den Mann/die Frau zu bringen. Wenn meine Kollegen und ich die gleiche Sprache sprechen, verstehen wir uns besser und müssen uns kaum fragende Blicke zuwerfen.

Cloud-Computing bedeutet für IT-Mitarbeiter eine Reihe von Veränderungen bezüglich ihrer Arbeitsweise, wenn Unternehmen sich überlegen, geschäftskritische Anwendungen ins Internet zu verlagern. Die Bedrohungen werden sich ändern. Die Frage, wie die Sicherheitsbranche auf sie reagieren wird, bleibt weitherhin spannend. Bleiben Sie dran!