Bundesamt für Sicherheit in der Informationstechnik

G 3.118 Ungeeignete Konfiguration von Cloud-Diensten und Cloud-Verwaltungssystemen

Die Cloud-Administration umfasst die Einstellungen an den Verwaltungssystemen für Virtualisierung und für die Cloud. Die Vielzahl der zu verwaltenden Cloud-Komponenten macht Änderungen, die durchgängig an allen Systemen umgesetzt werden müssen, für die Administration im Cloud Management komplex und fehleranfällig. Insbesondere menschliche Fehlhandlungen bei der Cloud-Administration können enorme Sicherheitsprobleme nach sich ziehen, denn Fehleingaben in den Verwaltungssystemen führen zu ungeeigneten Konfigurationen.

Ungeeignete Konfiguration von Cloud-Diensten

Menschliche Fehlhandlungen können dazu führen, dass die Vertraulichkeit, die Integrität oder die Verfügbarkeit von Informationen der Cloud-Dienste durch deren ungeeignete Konfiguration gefährdet wird. Diese kann in der Zuweisung von Cloud-Ressourcen zu einem Cloud-Dienst bestehen, oder in einer falschen Vergabe von Berechtigungen.

Bei der Verwendung von fehlerhaften Cloud-Diensteprofilen wirken sich solche ungeeigneten Konfigurationen auf alle darauf basierenden Cloud-Dienste aus.

Ungeeignete Konfigurationen der Cloud-Verwaltungssysteme

Bei automatisierten Konfigurationen von Cloud-Diensten über die Cloud-Verwaltungssoftware kann es vorkommen, dass Konfigurationen nicht oder nicht korrekt an den einzelnen Verwaltungskomponenten (die sogenannten Element Manager) der Cloud-Infrastruktur umgesetzt werden. Dies kann durch Fehler in den umzusetzenden Konfigurationsdatensätzen oder durch fehlerhafte Übermittlung oder Umsetzung der Änderungen durch die Element Manager begründet sein.

Beispiele:

  • Eine virtuelle Maschine (als Teil einer Cloud-Infrastruktur) wird einer falschen Sicherheitszone zugeordnet.
  • Eine virtuelle Maschine (als Teil einer Cloud-Infrastruktur) wird einem falschen Mandanten zugeordnet.
  • Bei der Cloud-Administration erfolgt eine Fehlkonfiguration bei der Zuweisung von Verwaltungsservern zu virtuellen Speichernetzen (sogenannten VSAN s). Als Folge stehen den virtuellen Maschinen der verwalteten Cloud-Dienste keine Speicherressourcen zur Verfügung.

Stand: 14. EL Stand 2014