Der sichere Pfad in die Cloud

Risiken der Auslagerung in die Public Cloud von vornherein minimieren

Seite: 3/5

Firma zum Thema

Sicherheit in der Cloud umsetzen

Im Folgenden konzentrieren wir uns nicht auf die gängigen Maßnahmen wie die Absicherung der Rechenzentren, Einsatz von Firewalls etc. Vielmehr sollen jene Maßnahmen aufgezeigt werden, mit denen sich die genannten Risiken reduzieren lassen. Diese Maßnahmen betreffen besonders die Bereiche:

  • Verschlüsselung und Integrität
  • Authentisierung
  • Identity Management
  • Vertragsgestaltung und Compliance (Datenschutz)
  • Organisation

Risiken bei der Migration in die Cloud lassen sich mithilfe einer Vielzahl von technischen und organisatorischen Maßnahmen reduzieren. Hierzu zählen vertragliche Regelungen, die Themen wie Notfälle, Datenschutz, Audit-Rechte und Vertragsende berücksichtigen. Ergänzend muss in SLAs (Service Level Agreements) festgeschrieben werden, mit welcher Güte (Überprüfbar mit messbaren Kennzahlen) die Cloud Services zu erbringen sind.

Bei den technischen Maßnahmen ist weiterhin die Verschlüsselung der Daten in Datenbanken und der Kommunikation zu berücksichtigen. Hierzu zählen unter anderem die Ver- und Entschlüsselung von vertraulichen Daten nur am Client, XML Encryption und die zertifikatsbasierte Endpunkt-zu-Endpunkt-Verschlüsselung. Hier ein paar Beispielmaßnahmen:

  • Einsatz digitaler Signaturen zum Schutz der Daten und Dokumente (XML Signature)
  • verbesserte Authentisierung mittels 2-Faktor-Authentifizierung, zum Beispiel mit dem Einsatz von Smartcard und digitalen Zertifikaten
  • ein ausgereiftes Identity Management, das es erlaubt elektronische Identitäten gesichert zu transportieren (Federation)
  • Schutz von Dokumenten über Rights Mangement Systeme
  • Entwicklung von Sicherheitskonzepten, die auch den Notfall und die Migration in die Cloud und aus der Cloud berücksichtigen

Um die notwendigen Maßnahmen zu erkennen, zu koordinieren und letztendlich umzusetzen, sollte bei der Migration in eine Public Cloud ein definiertes Verfahren durchlaufen und nicht verlassen werden. Dieser sogenannte „Sichere Pfad“ ist in Abbildung 1 der Bildergalerie dargestellt.

Dieses Vorgehen sollte mindestens folgende Aspekte beinhalten:

  • Das Management hat eine Strategie für Cloud Computing entwickelt, in der insbesondere definiert ist, welche Geschäftsbereiche oder -prozesse in eine Public Cloud ausgelagert werden dürfen und sollen und welche nicht. Zudem wird erläutert, welche allgemeinen Risiken abzusichern sind oder auf keinen Fall eingegangen werden dürfen.
  • Das Vorgehen definiert klar die Phasen Planung, Vertragsgestaltung, Migration und Betrieb sowie alle notwendigen Verantwortlichkeiten.
  • Alle Verantwortlichen wie Management, Rechtsabteilung, Betriebsrat, Datenschutzbeauftragter, Sicherheitsbeauftragter und Fachabteilungen werden von Anfang an einbezogen.
  • Für die Migration in die Public Cloud ist ein Sicherheitsbeauftragter benannt, der auch während des Betriebs der Cloud zuständig bleibt.

weiter mit: Von der Planungs- zur Vertragsphase

(ID:2052307)