Der sichere Pfad in die Cloud

Risiken der Auslagerung in die Public Cloud von vornherein minimieren

Seite: 4/5

Firma zum Thema

Planungsphase

Zunächst gilt es, für die Migration in die Public Cloud auf grober Ebene eine erste „Sicherheitsanalyse“ durchzuführen. Hierzu werden erste Varianten für die Migration in die Public Cloud entwickelt, die sich zum Beispiel bzgl. des Service Modells (SaaS, PaaS oder IaaS – also Software, Platform, Infrastructure as a Service) unterscheiden können.

Die in Frage kommenden Varianten werden einer Schutzbedarfs- und Risikoanalyse unterzogen. In diese Analyse fließen auch organisatorische und gesetzliche Anforderungen wie Datenschutzrichtlinien ein. Aus den gewonnenen Informationen werden Sicherheitsanforderungen abgeleitet, die zu erfüllen sind.

Aufgrund der analysierten Risiken und umzusetzenden Maßnahmen sowie den damit verbundenen Kosten wird eine Entscheidung getroffen. Die ausgewählte Variante wird im Arbeitsschritt „Auswahl des Dienstleisters“ ausgeschrieben. Letztlich sollte man den Dienstleiter auswählen, der die ermittelten Sicherheitsanforderungen möglichst umfassen und kostengünstig erfüllen kann.

Vertragsphase

Ziel des Arbeitsschrittes „Vertragsgestaltung“ ist es, in Verträgen und/oder Service Level Agreements (SLA) eine kontrollierbare Leistungsbeschreibung zu vereinbaren. Besondere Schwierigkeiten bei der Vertragsgestaltung bereiten u.a. folgende Punkte:

Einräumung von Auditrechten: Im Allgemeinen wird der Cloud-Anbieter seinen Kunden keine Auditrechte in seinen Rechenzentren einräumen. Dies wäre für den Cloud-Anbieter einerseits viel zu aufwändig, andererseits würde das Sicherheitsniveau sinken, wenn hunderte Fremd-Auditoren der Kunden die Rechenzentren prüfen. Deshalb ist es sinnvoll, sich Auditrechte auf Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um z.B. den korrekten Ablauf von Prozessen nachvollziehen zu können. Zudem können Zertifizierungen gefordert werden, die einen Mindeststandard bzgl. Informationssicherheit gewährleisten (z.B. die Zertifizierung nach ISO 27001).

Kennzahlen: Gerade die Definition von messbaren Kennzahlen für Vertraulichkeit und Integrität ist keine einfache Aufgabe. In Bezug auf die Verfügbarkeit und Performance werden bereits sinnvolle Kennzahlen durch die Cloud-Anbieter angegeben.

Schnittstellendefinition: Besonders wichtig sind die Schnittstellen für den korrekten Betrieb der ausgelagerten Funktion, zum Beispiel bzgl. Security Monitoring, Notfallmanagement und Incident Handling. Hier müssen Prozesse mit klaren Verantwortlichkeiten, Eskalationsstufen und Kommunikationswegen zwischen dem Kunden und dem Cloud-Anbieter definiert werden.

Regelungen für die Beendigung der Auslagerung in die Cloud: Auch Vereinbarungen für die Beendigung der Auslagerung in die Public Cloud sind zu treffen. Insbesondere muss geregelt werden, wie Daten zu übergeben sind und welche Daten so gelöscht werden, dass sie nicht mehr wiederhergestellt werden können.

weiter mit: Von der Migrations- zur Betriebsphase

(ID:2052307)