Vor allem Unternehmen mit knappem IT-Budget liebäugeln mit Cloud Computing. Es bietet ihnen marktführende Lösungen auf Abruf, und abgerechnet wird nach tatsächlicher Nutzung. Diese Vorteile lassen sich jedoch nur dann nutzen, wenn Anwender vorher die Sicherheits-infrastruktur im eigenen Haus und beim externen Dienstleister genau geprüft haben.

Idealerweise integriert sich die Cloud-Sicherheit in die eigene Sicherheitslandschaft der Anwender. Aber die meisten Anbieter setzen eigene Sicherheitslösungen ein, um ihre Kunden vor Angriffen zu schützen und sicherzustellen, dass die jeweiligen Kundenumgebungen voneinander isoliert arbeiten. Dann ist das Zusammenspiel aller Sicherheitslösungen organisatorisch und technologisch zu regeln.

Zugriffsrechte managen

Die wasserdichte Sicherheit der Daten ist der Prüfstein aller Cloud-Pläne. So geschieht der Versand der Daten zum und vom Cloud-Rechenzentrum verschlüsselt über gesicherte Leitungen, wie sie z.B. auch beim Online-Banking genutzt werden. Für höhere Sicherheitsanforderungen kann der Datenverkehr zusätzlich abgesichert werden. Eine viel größere Rolle als die Absicherung des Datenverkehrs spielt aber das Management der Zugriffsrechte: Die Verwaltung der Hardware‑, Betriebssystem- und Applikations-Plattformen erfordert Zugriffe von Administratoren, die als privilegierte Anwender (Privileged Users) besondere Rechte genießen. Diese Rechte müssen deshalb auch besonders verwaltet werden – beim Cloud-Anwender wie beim Cloud-Kunden. Durch die Virtualisierung, die technologischer Kern der Cloud ist, verschärft sich die Lage im Zugriffsmanagement: Sind Administratoren-Accounts hier nicht restriktiv ausgelegt, arbeitet ein Administrator oft mit Root-Rechten des Betriebssystems, um das Host-System zu managen. Mit diesen Rechten ist er aber auch in der Lage, die angebundenen virtuellen Systeme zu manipulieren. Der Schutz auf den virtuellen Maschinen wird ausgehebelt, wenn sie vom übergeordneten System manipuliert werden können. Abhilfe schaffen Zugriffskontrollsysteme wie CA Access Control. Sie schalten sich vor das Betriebssystem, um den Zugriff der Administratoren zu kontrollieren und zu verwalten.

Die Verwaltung der Hardware‑, Betriebssystem- und Applikations-Plattformen erfordert Zugriffe von Administratoren, die als privilegierte Anwender (Privileged Users) besondere Rechte genießen. Diese Rechte müssen deshalb auch besonders verwaltet werden – beim Cloud-Anwender wie beim Cloud-Kunden.

Cloud-Anbieter müssen darüber hinaus sicherstellen, dass ihre Mitarbeiter Daten nicht unberechtigt auf externe Medien wie beispielsweise USB-Sticks kopieren können. Die besten Cloud-Anbieter beauftragen zudem unabhängige Firmen, regelmäßig Angriffe zu simulieren und elektronisch in das Rechenzentrum einzubrechen. Nur wenn sie keinen Erfolg haben, darf das Rechenzentrum weiterarbeiten.

Potenzielle Anwender sollten Cloud-Anbieter also auf Herz und Nieren prüfen und einen Sicherheitsnachweis für den Anbieter von einer neutralen Stelle einfordern. Dabei sollten sie natürlich nicht vergessen, dass auch sie die Cloud-Services und ihre Sicherheit aktiv managen müssen.

CA Deutschland GmbH, Darmstadt
www.ca.com