Ebenso kontrovers wie die Diskussion um den Trend Cloud-Computing ist auch die begleitende Debatte um die Sicherheit sensibler und unternehmenskritischer Geschäftsdaten: Auf der einen Seite haben viele Unternehmen noch immer Bedenken, ihre Daten über ein virtuelles Rechenzentrum zu verwalten. Doch nach Meinung der Verfechter von Cloud-Architekturen sind altbekannte Compliance- und Security-Herausforderungen mit der neuen Technologie deutlich effektiver zu lösen als im klassisch strukturierten Rechenzentrum. Von Marc-Philipp Kost, EMC Deutschland
Sicherheitsaspekte bestimmen den Einsatz von Cloud-Computing.
Grafik: EMC
Informationsschutz und Compliance werden oft ins Feld geführt, um auf vermeintliche oder tatsächliche Gefahren von Cloud-Computing im Unternehmenseinsatz hinzuweisen. Risiken werden dabei zuweilen mit breitem Pinsel ausgemalt, Potenziale hingegen werden nur mit dünnem Stift skizziert. Vieles an der Kontroverse rund um die Sicherheit der Wolke hat seine Ursache jedoch in unscharfen Begriffen. Eine realistische Abwägung von Chancen und Herausforderungen verlangt daher zuallererst eine eindeutige Terminologie.
Über welche Cloud reden wir?
Cloud-Computing vereint zwei wichtige IT-Trends: Zum einen serviceorientierte Ansätze wie SaaS (Software as a Service) und SOA (serviceorientierte Architekturen), die nun verallgemeinert werden zum Konzept »Infrastructure as a Service« (IaaS), zum anderen die fortschreitende Virtualisierung verschiedener IT-Ressourcen. Ein vollständig virtualisiertes, autarkes Rechenzentrum mit durchgängig serviceorientierter Architektur kann als interne Cloud verstanden werden.
Zugleich ist damit der einfachste Fall einer privaten Cloud beschrieben. Gleichwohl sind die Bezeichnungen nicht synonym; vielmehr sind interne Clouds ein Sonderfall privater Clouds. Generell können sich private Wolken über mehrere Rechenzentren und unterschiedliche Organisationen erstrecken – sofern der Cloud-Eigentümer stets die Kontrolle über all seine Daten, Ressourcen und Prozesse behält. Von praktischer Bedeutung sind private Clouds derzeit vor allem bei der abgesicherten Netzwerkanbindung von Unternehmensrechenzentren an IT-Provider.
Ganz anders verhält es sich bei »öffentlichen Clouds«: Sie sind aus Anwendersicht gewissermaßen anonym. Der Zugriff erfolgt meist via Internet. Die Nutzer wissen weder, wo, noch auf welche Art ihre Daten gespeichert, verarbeitet und wieder gelöscht werden. Prominente Beispiele für öffentliche Clouds sind Angebote von Google oder Amazon, die auf dem Konsumentenmarkt großen Anklang finden.
Sicherheit an der Desktop-Peripherie
In Rechenzentren wenig beliebt sind Aufgaben wie die Sicherung von Desktops und Notebooks. Denn das Verhalten der Benutzer draußen im Unternehmen oder unterwegs bei Kunden lässt sich nur schwer beeinflussen und kontrollieren. Trotz gegenteiliger Vorschriften installieren Mitarbeiter Software-Plug-Ins, ändern eigenmächtig Konfigurationseinstellungen, laden riskante Dateien unbekannter Herkunft aus dem Internet oder kopieren sie von USB-Sticks auf die Festplatte ihres Geräts.
Laut einer Studie des Marktforschers IDC zu internen IT-Risiken sind fahrlässige Verstöße gegen geltende Richtlinien weit häufiger und verursachen größere Schäden als vorsätzliches Handeln eigener Mitarbeiter. Viele Unternehmen wissen zudem nur wenig über das eigene Risikoprofil: 82 Prozent der von IDC Befragten hatten weder ein klares Bild von der internen Gefahrensituation, noch waren sie in der Lage, mögliche finanzielle Folgen zu beziffern. Erschwert wird die Kontrolle der Endgeräte-Peripherie heutzutage durch die Tatsache, dass Belegschaften zunehmend weiträumig, oft sogar global verteilt arbeiten. Vor diesem Hintergrund ergeben sich folgende Anforderungen:
- Durchsetzung entsprechender Verhaltensrichtlinien,
- Schutz von vertraulichen Informationen bei Verlust oder Diebstahl von Geräten,
- Abwehr von Schadsoftware,
- zeitnahe Security-Patches sowie
- regelmäßige Konfigurationsaktualisierung.
In traditionellen Rechenzentren bleibt dies meist hehre Theorie; die Praxis sieht oft anders aus. Nicht so in Cloud-Umgebungen, in denen virtuelle Desktops als Host-Service ausgeliefert werden. Denn hier sind sämtliche Endgeräte-Konfigurationen zentral im Data-Center angesiedelt. Virtuelle Desktops mindern das Risiko, wenn Notebooks von Mitarbeitern auf Bahnhöfen oder in Hotels abhandenkommen.
Da auf lokalen Festplatten keinerlei kritische Daten mehr gespeichert sind, ist in solchen Fällen auch kein Informationsabfluss aus dem Unternehmen zu befürchten. IT-Administratoren installieren sämtliche Security-Patches ebenso wie alle Upgrades von Anwendungen und Betriebssystem von zentraler Stelle aus und gewährleisten somit auf effiziente Weise die Aktualität der Endgeräte. Zusätzliche Isolationstechniken der Desktop-Virtualisierung verhindern zudem, dass private und geschäftliche Gerätenutzung kollidieren.
Compliance und private Clouds
EMC pilotierte im vierten Quartal 2009 eine unternehmensinterne »Virtual Desktop Initiative« mit 250 Clients. Zum ersten Quartalsende 2010 sollen es bereits doppelt so viele sein. Für das Gesamtjahr sind 5.000 virtuelle Desktops im Unternehmen anvisiert. Neben Kostensenkung und stabilerer Performance gehören verbesserte Compliance-Fähigkeit sowie ein höheres Sicherheitsniveau zu den erklärten Zielen der Initiative.
Bei EMC zeigt sich ein spezieller Vorteil virtueller Desktops hinsichtlich der Compliance: Die Software-Lizenzen der Endgeräte sind jetzt auf einem Server konzentriert und können dort jederzeit eingesehen werden – anstatt jedes physische Gerät einzeln unter die Lupe nehmen zu müssen. Vom Effizienzgewinn einmal abgesehen, sind Verstöße gegen geltende Lizenzvereinbarungen bei virtuellen Desktops weit unwahrscheinlicher als bei ihren physischen Vorgängern.
»Private Clouds« sind ein Outsourcing-Modell im Zeitalter der Virtualisierung. Wie eingangs beschrieben, greifen Unternehmen dabei über gesicherte Netzwerkleitungen auf die mandantenfähige Infrastruktur ihres IT-Providers zu. Genau wie beim klassischen Outsourcing profitieren sie von Skaleneffekten – insbesondere, weil sie frühzeitig an technologischen Innovationen partizipieren, die sich für Einzelunternehmen allein unter Umständen nicht rechnen. Ein Beispiel dafür sind intelligente Datenschutzmechanismen wie »Data Loss Prevention« (DLP) von RSA, der Security-Tochter von EMC.
»RSA DLP« identifiziert infrastrukturweit sensible Daten per Richtlinien. Die Lösung basiert auf einem dezidiert informationszentrierten Security-Ansatz. Das heißt: Informationen werden gemäß ihrem Schutzbedürfnis klassifiziert und die unterschiedlichen Datenklassen dann richtliniengesteuert behandelt.
Worauf es dabei besonders ankommt, ist die enge Verzahnung mit einem effektiven Policy-Management. Nur so lassen sich firmenspezifische Compliance-Regeln überall in gleicher Weise umsetzen – auf den Speichersystemen beim Cloud-Provider ebenso wie im Netzwerk und auf Endgeräten.
Cloud-Zugriff leicht gemacht, aber nicht für jeden
Wer geschäftskritische Dienste und Daten in einer privaten Cloud an externe Provider ausgelagert hat, muss sich vorab vergewissern, welche Authentifizierungen dort im Einsatz sind. Einfache Kenn- und Passwörter taugen hier jedenfalls nicht, denn sie bieten Cyberkriminellen eine viel zu breite Angriffsfläche. Stattdessen sollten Unternehmen bei ihrem Provider auf starke Zwei-Faktoren-Authentifizierung bestehen, wie sie sich seit Jahren etwa in der Finanzindustrie beim Online-Banking bewährt.
»RSA SecurID« beispielsweise funktioniert in Kombination mit dem »RSA Authentication Manager« nach einem ähnlichen Prinzip wie gängige EC-Karten. Nutzer identifizieren sich wie am Bankterminal zweifach: durch etwas, das sie wissen (PIN), und etwas, das sie besitzen (Karte).
Auf vergleichbare Weise arbeitet RSA Securid – eine Lösung, die auf symmetrischen Schlüsseln basiert. Um Hackern das Leben so schwer wie möglich zu machen, wird alle 60 Sekunden automatisch ein neuer Code für die Schlüssel generiert. Die Komponenten der Authentifizierung werden dabei periodisch mit einem zentralen Sicherheitsserver zeitsynchronisiert. Die Anwendung eines RSA-Securid-Hardware-Token ist für Nutzer genauso einfach wie eine Bankkarte. Unkomplizierte Handhabung sorgt für schnelle Akzeptanz bei Mitarbeitern und hilft, Verhaltensrichtlinien durchzusetzen. Da für RSA Securid auf Endgeräten keinerlei Extra-Software nötig ist, wird zugleich der Aufwand für das Sicherheitsmanagement beim Cloud-Provider minimiert.
Cloud-Computing muss Trust-Computing sein
Rechenzentren, die Security-Verantwortung partiell an Cloud-Provider übertragen, müssen deren Systemen vertrauen können. Das Cloud-Modell setzt somit eine Trust-Infrastruktur voraus, in der sich sämtliche Beziehungen und Prozesse zwischen den Partnern lückenlos verifizieren lassen. Etliche Elemente einer solchen Trust-Infrastruktur werden bereits von vielen Providern eingesetzt. Sie lassen sich von hier aus nahtlos auf private, aber auch auf öffentliche Clouds ausdehnen.
Notwendig dafür ist insbesondere ein Cloud-weites Ende-zu-Ende-Identitätsmanagement, das neben starker Zwei-Faktor-Authentifizierung auch risikobasierte Funktionen umfasst, zum Beispiel kontextbezogene Verhaltensprotokollierung.
Clouds basieren per se auf einer virtualisierten Multi-Mandanten-Architektur, die Anwender aus vielen Organisationen versorgt. Deren Daten lassen sich via Virtualisierung effektiv gegeneinander abschotten – nicht nur auf Dateiebene, sondern auch auf Satz-, Feld- und Blockebene. Effizient umsetzen lässt sich dies allerdings nur mit einem flexibel steuerbaren Rahmenwerk an Richtlinien, das den gesamten Lebenszyklus schutzwürdiger Informationen abdeckt.
Letztlich unterscheidet sich Cloud-Security von herkömmlichen Sicherheitsstrategien also nicht so sehr durch neue Einzellösungen, sondern vorrangig durch eine neue Perspektive: weg vom autarken Rechenzentrum, das einer Festung gleicht, hin zu einem übergreifenden, informationszentrierten Sicherheitsansatz.
Das Cloud-Szenario holt neue Partner mit ins Boot; es macht die Grenzen eines Rechenzentrums gewissermaßen durchlässig. Wer IT als Cloud-Service nutzen oder anbieten will, kommt folglich nicht daran vorbei, ein individuelles Sicherheitskonzept zu entwickeln, das dem komplexen Beziehungsgeflecht von Nutzern und Servicepartnern innerhalb der Cloud in der Praxis Rechnung trägt.