Bundesamt für Sicherheit in der Informationstechnik

M 2.523 Sichere Automatisierung der Cloud-Regelprozesse

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Cloud Computing sieht vor, dass ein geteilter Pool von konfigurierbaren Cloud-Ressourcen ( z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) mit minimalem Verwaltungsaufwand oder geringer Interaktion des Cloud-Diensteanbieters zur Verfügung gestellt wird. Hierfür müssen die Anfragen von Cloud-Diensten und deren Provisionierung automatisiert erfolgen. Die Herausforderung für Cloud-Diensteanbieter besteht darin, die Ressourcen in kürzester Zeit bereitzustellen und dabei dennoch die Informationssicherheit zu gewährleisten. Zugleich streben Cloud-Diensteanbieter aus betriebswirtschaftlichen Gründen an, die Serverauslastung der Cloud-Infrastruktur hochzuhalten und die laufenden Kosten zu minimieren.

Automatisierung der Cloud-Regelprozesse besteht derzeit meist in der skriptgesteuerten Abfolge von Konfigurationen über die Cloud-Verwaltungssoftware. Eine sichere Automatisierung der Cloud-Regelprozesse liegt vor, wenn die skriptbasierten Konfigurationen korrekt umgesetzt werden.

Regelprozesse im Cloud Management

Das Cloud Management umfasst mehrere Regelprozesse, um Cloud-Dienste in der vereinbarten Güte bereitzustellen, zu betreiben und abzurechnen. Zu den Regelprozessen gehören:

  • Provisionierung und De-Provisionierung (auch: Orchestrierung)
  • Registrierung von Cloud-Diensten im Dienste-Katalog
  • Überwachung (Monitoring) der Cloud-Ressourcen und der Cloud-Dienstenutzung
  • Zugangs- und Zugriffsmanagement für Cloud-Dienste
  • Aufrechterhaltung von Cloud-Diensten

Die Cloud-Regelprozesse können durch Automatisierung für eine Verwaltung von einer großen Anzahl von Cloud-Diensten vereinfacht werden.

Sichere Automatisierung bei der Provisionierung und De-Provisionierung von Cloud-Diensten

Für eine sichere Automatisierung in der Provisionierung sind Grenzwerte für die Cloud-Ressourcen festzulegen. Wenn die Grenzwerte überschritten werden, besteht die Gefahr, dass nicht genügend Cloud-Ressourcen für alle Cloud-Dienste zur Verfügung stehen.

Dieses ist auch bei Portalen zur direkten Anfrage von Cloud-Diensten durch den Cloud-Anwender zu berücksichtigen. In den sogenannten Self-Service-Portalen sind die Anfragen von Cloud-Anwendern gegen Grenzwerte abzugleichen. Grenzwerte sind für die genutzte Bandbreite zur Bereitstellung von Cloud-Diensten, für die Rechenkapazitäten ( CPU und Arbeitsspeicher) und für den Speicherplatz (Storage) zu definieren. Bei SaaS -Angeboten können die Grenzwerte auch die Anzahl der Cloud-Benutzer eines Cloud-Anwenders, Anzahl von Transaktionen etc. sein.

Über das Ressourcenmanagement des Cloud-Verwaltungsservers müssen Prozessor- und Arbeitsspeicherressourcen, die auf demselben physischen Server ausgeführt werden, den virtuellen Maschinen für die Cloud-Dienste automatisiert zugewiesen werden. Für die automatisierte Bereitstellung von Cloud-Diensten muss der Cloud-Diensteanbieter die minimalen, maximalen und anteiligen Ressourcenanteile für CPU , Arbeitsspeicher, Festplatte sowie Netzwerkbandbreite festlegen.

Die Voreinstellungen für automatisierte Konfigurationsänderungen durch die Cloud-Verwaltungssoftware müssen geplant und die Prozessschritte definiert werden. Diese Prozessschritte umfassen automatisierte Schritte zur Lastverteilung und Priorisierung von Cloud-Diensten ( u. a. unter Berücksichtigung von unterschiedlichen Service Levels von Cloud-Mandanten). Der Cloud-Diensteanbieter muss für die Cloud-Anwender Priorisierungen vornehmen, um im Fall von Ressourcenengpässen zu regulieren, welche Cloud-Dienste höheren Anspruch auf Cloud-Ressourcen erhalten.

Falls es regelmäßige Änderungen an Cloud-Diensten gibt, wie z. B. Lastspitzen oder "Wellen" in der Nutzungsverteilung von Cloud-Diensten, muss eine zeitliche Planung für die automatisierte Konfiguration (oft engl. Scheduling) erfolgen.

Die automatisierte Provisionierung und De-Provisionierung erfordert, dass die Cloud-Ressourcen korrekt miteinander interagieren. Dies ist nur möglich, wenn die unterschiedlichen Produkte und Cloud-Elemente über definierte Schnittstellen und Protokolle miteinander kommunizieren. Insbesondere die Interaktionen zwischen den Verwaltungskomponenten (Element Manager) der physischen und virtuellen Cloud-Ressourcen und der orchestrierenden Verwaltungssoftware müssen integer und korrekt ablaufen.

Um integre und korrekte Abläufe bei der Automatisierung von Cloud-Regelprozessen sicherzustellen, sind organisatorische und technische Maßnahmen nötig. Diese werden in den nachfolgenden Absätzen behandelt.

Organisatorisch: Die Cloud-Diensteprofile müssen kontrolliert werden. Dieses muss bei neuen oder geänderten Cloud-Diensteprofilen geschehen. Dabei werden die Konfigurationen der Cloud-Ressourcen gegen die Soll-Konfiguration aus den Anforderungen der Cloud-Dienste abgeglichen. Um die Kompatibilität der Cloud-Komponenten untereinander zu prüfen, sollten die Hersteller der Cloud-Komponenten zur Verträglichkeit und Anbindung der eingesetzten Produkte befragt werden.

Technisch: Die Kommunikation zwischen Cloud-Komponenten muss abgesichert werden. Dazu muss eine sichere und integre bidirektionale Kommunikation zwischen den Cloud-Komponenten eingerichtet werden. Dieses muss über die eingesetzten Protokolle für die Übertragung der automatisierten Konfigurationsänderungen erfolgen. Entweder werden Management-Protokolle eingesetzt, welche eigene integritätssichernde Mechanismen bereits enthalten oder die Kommunikation muss verschlüsselt werden. So kann zum Beispiel SNMP Version 3 eingesetzt werden, um Verschlüsselung und ausreichende Authentisierung zu erreichen. Für die detaillierte Umsetzung ist die Maßnahme M 2.144 Verwendung von SNMP als Netzmanagement-Protokoll heranzuziehen.

Sichere Automatisierung der Registrierung von Cloud-Diensten

Die in der Provisionierung zugewiesenen Cloud-Ressourcen und die bereitgestellten Dienstgüten ( z. B. Speicherplatz) müssen in einem Verzeichnis in der Cloud-Verwaltung abgelegt werden, dem sogenannten Cloud-Dienstekatalog. Die Cloud-Verwaltungssoftware muss gewährleisten, dass eine aktuelle Übersicht über die aktiven Cloud-Dienste zeitnah bereitgestellt werden kann. Der Cloud-Dienstekatalog muss die automatisiert bereitgestellten Cloud-Dienste und die Zuordnung zu den Cloud-Anwendern korrekt enthalten. Die Korrektheit der Angaben im Cloud-Dienstekatalog muss sichergestellt sein und durch integre Angaben in der Cloud-Verwaltungssoftware erfolgen. Der Cloud-Diensteanbieter muss deshalb die Angaben des Cloud-Dienstekatalogs mit den tatsächlich angebotenen Cloud-Diensten und deren Dienstgüte, sowie deren Zuordnung zu Cloud-Anwendern überprüfen. Der Cloud-Dienstekatalog (oft engl. Cloud Repository) muss aufgrund der Integritätsanforderungen zugriffsbeschränkt werden und es müssen sämtliche Änderungen protokolliert werden.

Überwachung (Monitoring) der Cloud-Ressourcen und der Cloud-Dienstenutzung

Die Überwachung der Cloud-Ressourcen und der Cloud-Dienstenutzung erfolgt über die Protokollierung von Ereignissen an Komponenten der Cloud-Infrastruktur. Die Auswertung der Protokollierung muss (teil-) automatisiert erfolgen und hier eine Verdichtung (über eine Korrelation von Ereignissen) der wesentlichen Informationen zur Überwachung der Cloud vorgenommen werden. Die Grenzwerte (Minima/Maxima) für die Auslastung der Cloud-Ressourcen müssen definiert und die Protokollierungsinformationen hinsichtlich dieser Schwellwerte ausgewertet werden. Auf Basis der Ressourcen-Überwachung muss entweder direkt die Cloud-Verwaltungssoftware Cloud-Ressourcen umorganisieren ( z. B. können priorisierte Cloud-Dienste vorrangig versorgt werden) oder eine Alarmierung an die Cloud-Administration erfolgen.

Automatisierung des Zugangs- und Zugriffsmanagements für Cloud-Dienste

Bei der Bereitstellung von Cloud-Diensten muss der Zugriff auf diese Dienste gesteuert werden. Hierbei muss ein Zugriffsschutz eingerichtet werden, der bereits in den Cloud-Diensteprofilen berücksichtigt werden muss. Insbesondere bei der automatisierten Provisionierung von Cloud-Diensten muss eine Authentisierung der Cloud-Benutzer mit Zugriffsschutz vorhanden sein. Alternativ kann ein Zugriffsschutz mit Authentisierung der berechtigten Cloud-Benutzer vorgelagert erfolgen. Dies kann z. B. über ein über Organisationsgrenzen hinweg arbeitendes Identitätsmanagement geschehen, oft englisch Federated Identity Management (FIDM).

Automatisierung bei der Aufrechterhaltung von Cloud-Diensten

Bei der Aufrechterhaltung des Betriebs von Cloud-Diensten müssen automatisierte Mechanismen für den Schutz der Verfügbarkeit eingesetzt werden. Diese Automatisierung wird durch netzbasierte Komponenten des Load Balancing erreicht, durch Serverbetrieb im Cluster und durch automatisierte Funktionen in der Virtualisierung ( z. B. automatische Zuordnung von virtuellen Ressourcen).

Prüffragen:

  • Sind Grenzwerte (Minima und Maxima) für die Cloud-Ressourcen und Reaktionen bei Verletzung dieser Grenzwerte festgelegt?

  • Sind die Cloud-Dienste und Zuweisungen der Cloud-Ressourcen priorisiert?

  • Wird die Korrektheit der automatischen Konfigurationen im Rahmen der Provisionierung und De-Provisionierung überprüft?

  • Wird sichergestellt, dass die automatisiert angesteuerten Cloud-Komponenten zueinander kompatibel sind und korrekt miteinander kommunizieren?

  • Werden integritätsgesicherte Managementprotokolle für die automatisierte Konfiguration verwendet?

  • Werden die Angaben des Cloud-Dienstekatalogs mit den tatsächlich angebotenen Cloud-Diensten und deren Dienstgüte abgeglichen?

  • Werden Protokollierungsinformationen an Cloud-Komponenten (teil-) automatisch ausgewertet?

  • Enthalten die automatisiert bereitgestellten Cloud-Dienste Zugriffsschutzmechanismen und erfordern eine Authentisierung?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK