Bundesamt für Sicherheit in der Informationstechnik

G 2.175 Unzureichende Isolation und Trennung von Cloud-Ressourcen

Die Bereitstellung von Cloud-Diensten für verschiedene Cloud-Anwender (Mandanten) aus einer gemeinsamen und verteilten Cloud-Infrastruktur ist ein wesentliches Merkmal von Cloud Computing. Durch die gemeinsam genutzte Cloud-Infrastruktur entsteht die Gefährdung, dass ein Cloud-Mandant unberechtigt auf die Informationen eines anderen zugreifen und diese manipulieren oder löschen kann. Dadurch können Schäden sowohl für Cloud-Anwender als auch für Cloud-Diensteanbieter entstehen.

Bei der Zusammenlegung von Ressourcen können verschiedenste Gefährdungen entstehen, wie die folgenden Beispiele zeigen:

  • Gefährdungen innerhalb eines Virtualisierungsservers: Wenn ein Mandant von einer virtuellen Maschine, auf die er vollen Zugriff hat ( z. B. bei IaaS ), unerlaubt Zugriff auf eine fremde virtuelle Maschine bekommt.
  • Gefährdungen durch Remote-Angriffe über das Netz, wie beispielsweise Man-In-The-Middle-Angriffe, mit dem Ziel, unerlaubt den Netzwerkverkehr von einer fremden virtuellen Maschine abzufangen.
  • Gefährdungen durch Zugriff auf fremde Storage-Ressourcen, wie z. B. das Vortäuschen von fremden Identitäten mit dem Ziel Zugriff auf die Daten eines anderen Mandanten zu erlangen.
  • Gefährdungen durch Injection-Angriffe: Bei SaaS werden Kundendaten meist in einer gemeinsamen Datenbank gespeichert. Die Unterscheidung der Kunden untereinander erfolgt dann anhand einer sogenannten Tenant-ID. Ist die geteilte Applikation unsicher programmiert, dann könnte ein Kunde z. B. über eine SQL-Injection unerlaubt auf die Daten eines anderen Kunden zugreifen.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK