Bundesamt für Sicherheit in der Informationstechnik

M 2.524 Modellierung von Cloud Management

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

In dieser Maßnahme wird erläutert, wie Cloud Management korrekt nach der IT-Grundschutz-Vorgehensweise modelliert wird. Es werden die notwendigen Bausteine des IT-Grundschutzes benannt und es wird beschrieben, wie die verschiedenen Servicemodelle ( SaaS , PaaS , IaaS ) des Cloud Computing in einer Sicherheitskonzeption abgebildet werden können. Zur Definition von Begriffen für Cloud Computing, z. B. zu den Servicemodellen (siehe Maßnahme M 4.446 Einführung in das Cloud Management ).

Der Baustein B 5.23 Cloud Management richtet sich an Cloud-Diensteanbieter.

Um eine angemessene Gesamtsicherheit für den IT-Betrieb von Cloud-Diensten zu erreichen, müssen alle Cloud-Dienste (mit ihren zugeordneten virtuellen IT-Systemen, Netzen und weiteren Cloud-Komponenten) systematisch in der Sicherheitskonzeption berücksichtigt werden. Alle über Cloud-Dienste bereitgestellten IT-Systeme, Netze und Anwendungen, die sich einerseits in der Betriebsverantwortung und andererseits im Geltungsbereich des Informationssicherheits-Managementsystems des Cloud-Diensteanbieters befinden, müssen in der Strukturanalyse und in der Modellierung gemäß der IT-Grundschutz-Vorgehensweise berücksichtigt werden.

Als Modellierung wird in der IT-Grundschutz-Vorgehensweise die Zuordnung von Bausteinen zu den vorhandenen Zielobjekten (IT-Systeme, Anwendungen, Räume etc. ) bezeichnet. Die Modellierung erfolgt für virtuelle IT-Systeme, Netze und Anwendungen der Cloud nach den selben Regeln wie für physische IT-Systeme, die nicht über Cloud Computing bereitgestellt werden, und die Hinweise in Abschnitt 4.4 Auswahl und Anpassung von Maßnahmen des BSI-Standards 100-2 IT-Grundschutz-Vorgehensweise sind zu beachten.

Bei der Modellierung eines Informationsverbunds mit einem Cloud Management, das die verwaltenden Tätigkeiten des Cloud-Diensteanbieters umfasst, wird der Baustein B 5.23 Cloud Management auf den Cloud-Verwaltungsserver angewendet. Er wird somit nicht für jede Anwendung, jedes Netz oder jedes IT-System der Cloud-Infrastruktur modelliert. Am Cloud-Verwaltungsserver werden die zentralen Maßnahmen des Cloud Managements umgesetzt, wie z. B. Zugriffschutz, Überwachung von Cloud-Ressourcen und Orchestrierung (Provisionierung und De-Provisionierung) der Cloud-Ressourcen. Dementsprechend ist es bei allen Servicemodellen notwendig, den Baustein B 5.23 Cloud Management in die Modellierung aufzunehmen.

Der Umfang des Informationsverbundes unterscheidet sich dabei je nach dem Servicemodell.

Der Geltungsbereich des Informationsverbundes kann gleichzeitig als Grenze der Verantwortlichkeit verstanden werden: An der Grenze des Informationsverbundes endet die Verantwortung des Cloud-Diensteanbieters und beginnt die Verantwortung des Cloud-Anwenders.

Modellierung von IaaS -Angeboten

Bei IaaS ist der Umfang der Cloud-Dienste im Vergleich zu PaaS und SaaS am geringsten (vergleiche Abbildung Größe des Informationsverbunds für Cloud Management in Abhängigkeit vom Servicemodell):

Bei IaaS verantwortet der Cloud-Diensteanbieter den Verwaltungsserver für die Cloud und den Virtualisierungsserver.

Deshalb kommen bei IaaS aus der Schicht 5 Anwendungen nur die Verwaltungs- und die Virtualisierungssoftware als Zielobjekte vor. Für diese müssen somit die zugehörigen Bausteine ausgewählt werden. Nach der IT-Grundschutz-Vorgehensweise sind dies Bausteine für IT-Systeme als Server. Für den Cloud-Verwaltungsserver werden die Bausteine B 3.304 Virtualisierung und B 5.23 Cloud Management zugeordnet.

Für IaaS stellt der Cloud-Diensteanbieter nicht mehr als eine virtuelle "Hülle" über ein virtuelles Netz bereit. Die Absicherung des Netzes nach IT-Grundschutz verantwortet bei IaaS der Cloud-Diensteanbieter, wohingegen die Cloud-Anwender die IT-Systeme des Cloud-Angebotes verantworten. Für das Netz sind die passenden Bausteine aus der Schicht 4 zu modellieren ( z. B. B 4.1 Lokale Netze , B 4.2 Netz- und Systemmanagement ). In der Regel wird dem virtuellen Server ein Speicherkontingent aus einem Speichernetz zugeordnet und hierfür ist der Baustein B 3.303 Speicherlösungen / Cloud Storage ebenfalls vom Cloud-Diensteanbieter umzusetzen.

Ein virtueller Server aus der Cloud, der per IaaS angeboten wird, wird durch den Cloud-Anwender konfiguriert. Die Umsetzungsverantwortung für seine Sicherheitsmaßnahmen liegt somit ebenfalls beim Cloud-Anwender. Im Hinblick auf die Abgrenzung des Informationsverbundes des Cloud-Diensteanbieters befindet sich also dieser virtuelle Server außerhalb des Informationsverbundes des Cloud-Diensteanbieters.

Die Schnittstelle zur Bereitstellung von IaaS -Cloud-Diensten (Self-Service-Portal) ist durch Trenneinrichtungen (Netze, virtuelle Firewalls, Routing) vom Cloud-Diensteanbieter abzusichern und gegebenenfalls der Baustein B 5.21 Webanwendungen umzusetzen.

Eine Modellierung der IaaS -Server als IT-Systeme im Sicherheitskonzept des Cloud-Diensteanbieters ist möglich, allerdings nicht notwendig, da die Cloud-Anwender diese IT-Systeme verwalten.

Modellierung von PaaS -Angeboten

Bei PaaS verantwortet der Cloud-Diensteanbieter zusätzlich zu IaaS die sichere Bereitstellung eines virtuellen Servers und einer angebotenen Plattform ( z. B. einer Datenbank oder eines Webservers).

Dementsprechend muss der Cloud-Diensteanbieter im Servicemodell PaaS zunächst, wie bei IaaS , den Cloud-Verwaltungsserver und dessen Verwaltungssoftware modellieren. Dort erfolgt zentral die Zuordnung des Bausteins B 5.23 Cloud Management .

Darüber hinaus muss der Cloud-Diensteanbieter sodann ein IT-System mit Betriebssystem modellieren. Zu diesem IT-System ist je nach Cloud-Dienst auf Anwendungsschicht eine Datenbank oder ein Webserver zu modellieren.

Das PaaS -IT-System mit den verbundenen Cloud-Anwendungen muss für jeden Cloud-Mandanten modelliert werden, wobei Mandanten mit gleichen Plattformen, gleichen Anwendungen und gleichem Schutzbedarf gemäß den Vorgaben des BSI-Standards 100-2 Abschnitt 4.2.1 in einer Gruppe zusammengefasst werden können.

In der Praxis werden Cloud-Dienste des Servicemodells PaaS über virtuelle Profile bereitgestellt, die für mehrere Cloud-Anwender bzw. Mandanten eingesetzt werden können. Es bietet sich daher in der IT-Grundschutzmodellierung an, diese Kombinationen in Form von Musterservern zu modellieren und pro Mandant zu verknüpfen bzw. zu vervielfachen.

Modellierung von SaaS -Angeboten

Bei SaaS müssen zunächst für die unterliegende Cloud-Infrastruktur die Zielobjekte wie bei IaaS und PaaS betrachtet und diesen Bausteinen zugeordnet werden, wie in den vorangehenden Abschnitten beschrieben.

Im Vergleich zu PaaS werden bei SaaS weitere Anwendungen auf den Cloud-IT-Systemen modelliert ( z. B. ein Webservice, eine Webanwendung oder ein SAP -System). Die Anwendungen werden vom Cloud-Diensteanbieter verantwortet und die Umsetzung der Sicherheitsmaßnahmen erfolgt durch den Cloud-Diensteanbieter weitestgehend selbst (Ausnahmen, wie Umsetzung durch Dritt-Hersteller, müssen in der Beschreibung zur Maßnahmenumsetzung erläutert werden).

Die SaaS -Anwendungen müssen somit im Informationsverbund des Cloud-Diensteanbieters modelliert werden. Dabei können sowohl mehrfache Ausprägungen der gleichen SaaS -Anwendung als auch Gruppen von SaaS -Anwendungen gemäß den Vorgaben des BSI-Standards 100-2 Abschnitt 4.2.1 Komplexitätsreduktion durch Gruppenbildung zusammengefasst werden, wenn die dort angegebenen Voraussetzungen erfüllt sind.

Informationsverbund für Cloud-Management

Die nachstehende Abbildung stellt die beschriebenen Servicemodelle und deren zu modellierende Bereiche dar.

Fallbeispiel: Modellierung eines Cloud-Dienstes für das Servicemodell PaaS

Um die Modellierung von Cloud Management zu verdeutlichen, wird im Folgenden ein Beispiel aus der Praxis beschrieben.

Um das Beispiel übersichtlich zu halten, werden Bausteine der Schicht 2 Infrastruktur nicht im Beispiel betrachtet.

Szenario:

Ein Cloud-Diensteanbieter stellt über Cloud Computing eine Plattform, in Form eines Apache-Webservers und einer Oracle-Datenbank, für webbasierte Anwendungen bereit, die von den Cloud-Benutzern entwickelt werden können.

Das Szenario wird durch die Abbildung Beispiel zur Modellierung eines PaaS -Cloud-Dienstes illustriert. Auf der linken Seite sind die Komponenten des PaaS -Cloud-Dienstes zu sehen: vom Blade Server für die Cloud-Verwaltung als Grundlage bis zu den Anwendungen Oracle DB und Apache. Rechts im Bild sind diesen Komponenten die jeweils anwendbaren Bausteine der verschiedenen Schichten des IT-Grundschutzes zugeordnet.

In diesem Beispiel muss ein Virtualisierungsserver als Zielobjekt modelliert werden. Dabei sind die IT-Grundschutz-Bausteine B 3.101 Allgemeiner Server und B 3.304 Virtualisierung zuzuordnen. Baustein B 3.101 Allgemeiner Server behandelt dabei die Sicherheitsaspekte, die unabhängig vom eingesetzten Betriebssystem für Server relevant sind. Dieser Baustein ist deshalb stets zuzuordnen, unabhängig davon, ob die Virtualisierungssoftware mit oder ohne unterliegendes Betriebssystem läuft.

Auf dem Virtualisierungsserver (Beispiel: Blade Server als Hardware) werden eine Cloud-Verwaltungssoftware und eine Virtualisierungssoftware betrieben.

Bei Virtualisierungssoftware und Cloud-Verwaltungssoftware gibt es Produkte, die ein unterliegendes Betriebssystem benötigen, und andere, die selbstständig laufen, ohne unterliegendes Betriebssystem. Wenn der Virtualisierungssoftware oder der Cloud-Verwaltungssoftware ein Betriebssystem unterliegt, muss der dazu passende Baustein ebenfalls zugeordnet werden, z. B. B 3.102 Server unter Unix .

Mit dem Virtualisierungsserver als zentralem IT-System wird in der Modellierung der Baustein B 5.23 Cloud Management auf Schicht 5 als Anwendungsbaustein verknüpft.

Zudem kann dieser Server zur Cloud-Verwaltung weitere Anwendungen wie einen Webdienst bereitstellen, um auf die Cloud-Verwaltungssoftware zuzugreifen. In diesem Fall sind die Bausteine B 5.4 Webserver und B 5.21 Webanwendungen zu modellieren.

Mithilfe der Cloud-Verwaltungssoftware wird jedem Cloud-Anwender des PaaS ein virtuelles LAN ( VLAN ) für den Zugriff auf seine Cloud-Dienste bereitgestellt. Zur Modellierung muss zunächst ein virtuelles IT-System (im Beispiel mit Windows 2003 Server) als Server modelliert werden. Für den virtuellen Server werden die Bausteine B 3.101 Allgemeiner Server und B 3.108 Windows Server 2003 angewendet. Sodann müssen die anwendbaren Netzbausteine B 4.2 Netz- und Systemmanagement und B 4.1 Lokale Netze an einem Netz VLAN-XY modelliert werden. Das VLAN-XY wird mit dem virtuellen IT-System verknüpft.

Auf der Schicht 5 Anwendungen wird eine Oracle-Datenbank mit dem Baustein B 5.7 Datenbanken modelliert und dem virtuellen IT-System zugeordnet. Ferner wird ein Apache-Webserver mit dem Baustein B 5.4 Webserver modelliert und ebenfalls dem virtuellen IT-System zugeordnet.

Der modellierte Server mit den Anwendungen und dem zugehörigen VLAN kann nun als Profil für die Nutzung des PaaS durch verschiedene Cloud-Anwender als Mandanten verwendet werden. (Hierbei können sinnvolle Gruppen gebildet werden, wobei die Hinweise zur korrekten Gruppierung gemäß BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise Abschnitt 4.2.1 zu beachten sind.) Wie oft der PaaS -Cloud-Dienst bereitgestellt wird (also wie viele "Kopien" dieses "Profils" aktiv sind), muss der Cloud-Diensteanbieter über die Cloud-Verwaltungssoftware nachvollziehen können.

Stand: 14. EL Stand 2014