Bundesamt für Sicherheit in der Informationstechnik

M 2.516 Bereitstellung von Sicherheitsrichtlinien für Cloud-Anwender

Verantwortlich für Initiierung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Fachverantwortliche

Beim Cloud Computing sind sowohl Anbieter als auch Anwender für die Sicherheit der Cloud Computing Plattformen verantwortlich.

Beim Cloud Computing muss der Cloud-Anwender bei der Umsetzung von Sicherheitsmaßnahmen mitwirken. Je nach Servicemodell ( IaaS , PaaS oder SaaS , siehe nachfolgende Zwischenüberschriften) kann der Umfang dieser Mitwirkung variieren. Abhängig von der Art des Cloud-Dienstes und den vertraglichen Regelungen sollte der Cloud-Diensteanbieter daher den Cloud-Anwender auf diese Verantwortung hinweisen und ihm Sicherheitsempfehlungen in Form einer Richtlinie zur Verfügung stellen.

Die Richtlinie sollte eine Beschreibung der durch den Cloud-Diensteanbieter umgesetzten Sicherheitsmaßnahmen enthalten. Dies kann das Vertrauensverhältnis stärken und die Transparenz der Cloud-Infrastruktur für den Cloud-Anwender steigern.

Software as a Service ( SaaS )

Wird vom Cloud-Diensteanbieter Software as a Service betrieben, so muss sich der Cloud-Anwender weder mit Betriebssystemsicherheit noch mit der Sicherheit der Cloud-Anwendung selbst auseinandersetzen, da hierfür der Cloud-Diensteanbieter verantwortlich ist. Dennoch sind Mitwirkungen bei bestimmten Sicherheitsmaßnahmen durch den Cloud-Anwender notwendig. Daher sollte der Cloud-Diensteanbieter in den Sicherheitsrichtlinien ein ausreichend umfangreiches Beantragungs- und Genehmigungsverfahren aufstellen, welches das für die Cloud-Anwendung zu etablierende Rollen- und Berechtigungskonzept steuert. Grundsätzlich sollte der Cloud-Diensteanbieter hierbei Standardrollen mit entsprechenden Berechtigungen vorgeben. Sollten Cloud-Anwender hierüber hinaus weitere Rollen und Berechtigungen benötigen, besteht die Möglichkeit, die Erstellung dieser Rollen durch den Cloud-Anwender vornehmen zu lassen. Die Genehmigung, ob ein Benutzer bestimmte Rollen oder Berechtigungen erhalten darf, muss in der Hoheit des Cloud-Anwenders liegen. Aufgabe des Cloud-Diensteanbieters ist es hingegen die Sicherheitsgrundsätze zum Benutzer- und Berechtigungskonzept dem Cloud-Anwender in der Richtlinie zu erläutern. Hierzu gehört insbesondere das Prinzip der geringsten Berechtigungen (oft englisch Least Privilege). Für den Cloud-Diensteanbieter ist es empfehlenswert, dass er eine Anbindung an ein externes Identitäts- und Rechtemanagement für seine SaaS -Angebote zulässt und unterstützt.

In den Richtlinien für Cloud-Anwender sollte der Cloud-Diensteanbieter die Möglichkeit wahrnehmen, den Kunden zusätzliche Sicherheitsmaßnahmen für höheren Schutzbedarf zu erläutern. So kann ein Cloud-Diensteanbieter beispielsweise mögliche Mittel und Wege zur Verschlüsselung von Cloud-Daten beschreiben. Hier kann er entweder weiterführende Cloud-Dienste anbieten oder z. B. auf Verschlüsselungsmittel für Cloud-Anwender verweisen.

Platform as a Service ( PaaS )

Beim Cloud-Bereitstellungsmodell Platform as a Service kommen den Cloud-Anwendern deutlich mehr Einflussmöglichkeiten zur Umsetzung von Sicherheitsmaßnahmen für Cloud-Dienste zu. Hier sollte der Cloud-Diensteanbieter Sicherheitsempfehlungen zur Absicherung von Cloud-Anwendungen geben. Da es sich üblicherweise um Webanwendungen handelt, sollten sich die Empfehlungen an anerkannten Sicherheitsstandards wie OWASP (Open Web Application Security Project) oder dem Baustein B 5.21 Webanwendungen ausrichten. Insbesondere sind zentrale Maßnahmen zur sicheren Programmierung und zur sicheren Konfiguration von Webanwendungen (M 4.398 Sichere Konfiguration von Webanwendungen ) vorzugeben.

Ebenso sind bei PaaS eine sichere Zugriffskontrolle und eine abgesicherte, verschlüsselte Authentisierung gegenüber den vom Cloud-Diensteanbieter bereitgestellten Infrastruktur-Diensten (sofern der Cloud-Anwender diese nicht selbst stellt) notwendig. Auch die Zugriffsverwaltung muss für PaaS vom Cloud-Anwender mitgestaltet oder verantwortlich umgesetzt werden. Dazu kann man sich an bestehenden IT-Grundschutzmaßnahmen wie M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle orientieren. Es wird empfohlen, den Cloud-Anwendern die eingerichteten Maßnahmen zum Schutz von PaaS -Angeboten ( z. B. Standards zur Härtung einer Datenbank) in Form von Dokumentationen und Umsetzungsbeispielen zur Verfügung zu stellen.

Je nach Cloud-Dienst und vereinbarten Verantwortungsbereichen sollte auch eine Sicherheitsempfehlung zum Patch- und Änderungsmanagement gegeben werden, welche durch den Cloud-Anwender eingehalten werden sollte. Wichtig ist hierbei, dass dem Cloud-Anwender auf den Weg gegeben wird, dass er (sofern es sich in seiner Verantwortung befindet) nach aktuellen Patches und Updates sucht und sich regelmäßig über mögliche Schwachstellen der Anwendungen und Plattformen informiert. Ebenso sollten die Sicherheitsrichtlinien eine Sicherheitsempfehlung zum Testen von Patches und Änderungen vor deren Inbetriebnahme enthalten.

Infrastructure as a Service ( IaaS )

Bei IaaS werden den Cloud-Anwendern virtuelle Maschinen zur Verfügung gestellt, auf die z. B. über eine Webschnittstelle zugegriffen werden kann. Zur Absicherung der virtuellen Maschinen ist es hilfreich, wenn der IaaS -Anbieter seinen Kunden Richtlinien zur Härtung der virtuellen Maschinen an die Hand gibt.

Bei IaaS liegt die Hauptverantwortung für die Umsetzung von Sicherheitsmaßnahmen für Server und für die sichere Anbindung von Zugriffen und an Verzeichnisdienste beim Cloud-Anwender. Wichtige Maßnahmen zur Erreichung eines Basis-Sicherheitsniveaus zur Absicherung eines Servers sollten dennoch vom Cloud-Diensteanbieter empfohlen werden. Hier sollten die Cloud-Anwender vom Cloud-Diensteanbieter z. B. auf Maßnahmen aus den passenden Server-Bausteinen der Schicht IT-Systeme des IT-Grundschutzes hingewiesen werden.

Der Cloud-Diensteanbieter sollte die Anbindung an die von ihm angebotenen Virenschutz-Services erläutern und einen durch den Cloud-Anwender zu installierenden Virenschutz als notwendige Basis für den Betrieb eines Cloud-Dienstes empfehlen. Gegebenenfalls kann der Cloud-Diensteanbieter auch die Anbindung an Virenschutz-Hersteller als Dienst in der Cloud-Umgebung anbieten. Darüber hinaus sind grundlegende Härtungsmaßnahmen, wie die Deaktivierung von nicht benötigten Diensten, an den Cloud-Anwender weiterzugeben.

Dem Cloud-Anwender sollten Standardmaßnahmen zum Schutz von IT -Systemen, wie etwa Host Firewalls, Host-based Intrusion Detection Systems etc. durch den Cloud-Diensteanbieter näher gebracht werden. Auch regelmäßige Integritätsprüfungen wichtiger Systemdateien können als Empfehlung an den Cloud-Anwender weitergegeben werden.

Genauso sollten neben konzeptionellen Sicherheitsempfehlungen für Cloud-Anwender auch technische Hilfsmittel für die sichere Konfiguration an die Hand gegeben werden. Hier können z. B. vorkonfigurierte Profile für virtuelle Maschinen angeboten werden. Solche Vorlagen und Profile standardisieren und vereinfachen die Konfiguration. Es können Vorlagen für eine bekannte, validierte Konfiguration (mit Einstellungen für Netz, Speicher und Sicherheit) erstellt und diese auf mehreren Hosts zur Verfügung gestellt werden, um die Einrichtung zu vereinfachen. Hostprofil-Richtlinien können auch zur Compliance-Überwachung dienen.

Hierbei sollte der Cloud-Diensteanbieter die Profile oder virtuellen Images testen und freigeben. Die Veröffentlichung bzw. Bereitstellung der Profile und Images sollte eine Integritätsprüfung für die Cloud-Anwender bieten, z. B. über eine Prüfsummenbildung der angebotenen Datei.

Informationssicherheitsvorfallmanagement (für SaaS, PaaS und IaaS )

Die Sicherheitsrichtlinien für Cloud-Anwender müssen die notwendigen Schnittstellen zum Informationssicherheitsvorfallmanagement beschreiben. Meldewege und Ansprechpartner aufseiten des Cloud-Diensteanbieters müssen benannt werden. Zudem sollte dem Cloud-Anwender eine Auflistung von Kriterien und Beispielen für sicherheitsrelevante Ereignisse in seinen Cloud-Nutzungsrichtlinien mitgegeben werden. Hierzu gehören:

  • Name des Meldenden,
  • Zeitpunkt der Meldung,
  • betroffener Cloud-Dienst,
  • Ausprägung des Ereignisses,
  • Beschreibung der Auswirkungen, insbesondere welche Daten und Informationen vom Ereignis betroffen sind,
  • optional: Wurden Schwachstellen identifiziert?
  • optional: Hinweise des Cloud-Anwenders für die Behebung

Auf diesem Wege werden die Cloud-Anwender dafür sensibilisiert, effektiv das Meldewesen des Informationssicherheitsvorfallmanagements des Cloud-Diensteanbieters zu unterstützen.

Prüffragen:

  • Wurde eine Sicherheitsrichtlinie für Cloud-Anwender erstellt und wird diese den Cloud-Anwendern zur Verfügung gestellt?

  • Enthält die Richtlinie die Sicherheitsmaßnahmen, für die der Cloud-Anwender verantwortlich ist oder an deren Umsetzung er mitwirken muss?

  • Sind in der Richtlinie Ansprechpartner und Meldestellen für Informationssicherheitsthemen benannt?

  • Sind in der Richtlinie meldepflichtige, sicherheitsrelevante Ereignisse benannt?

Stand: 14. EL Stand 2014