Bundesamt für Sicherheit in der Informationstechnik

M 4.438 Auswahl von Cloud-Komponenten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In Abhängigkeit vom gewählten Bereitstellungsmodell ( IaaS , PaaS , SaaS ) ergeben sich Anforderungen an die Hardware- und Virtualisierungslösungen (siehe M 4.436 Planung der Ressourcen für Cloud-Dienste ). Hieraus entstehen individuelle Anforderungen an die zugrunde liegende Hardware-Architektur bzw. die Ausstattung des Verwaltungsservers für die Cloud-Infrastruktur mit Hardwarekomponenten und dessen Anbindungen an die Speichernetze oder Massenspeicher.

Diese Anforderungen müssen bei der Beschaffung von Serversystemen berücksichtigt werden, wenn diese als Cloud-Verwaltungsserver eingesetzt werden sollen.

Anforderungen an Virtualisierungsserver, die zumeist wesentlicher Bestandteil einer Cloud Lösung sind, sind in der Maßnahme M 2.445 Auswahl geeigneter Hardware für Virtualisierungsumgebungen definiert.

Folgende Aspekte sollten bei der Auswahl von Cloud-Komponenten beachtet werden:

  • Bei der Auswahl der Hardware für die Cloud-Infrastruktur muss beachtet werden, dass Cloud-Dienste stark skalieren können, daher müssen modular erweiterbare Hardwarelösungen ausgewählt werden. Auch die Vernetzung der Hardware mit neuen und erweiterten Hardwareblöcken muss hierbei berücksichtigt werden.
  • Hard- und Software für die Cloud-Dienste müssen so ausgelegt sein, dass die Anforderungen an die Verfügbarkeit des Servers und die Integrität der Cloud-Anwenderdaten erfüllt werden können. Hierbei müssen realistische Annahmen für die Datenmengen getroffen werden.
  • Die Anbindung an vorhandene oder zu beschaffende Speichernetze und die Schnittstelle zur Verwaltung der Speichernetze oder Massenspeicher muss konzipiert und die erforderlichen Komponenten beschafft werden. Oft ist eine untereinander kompatible Auswahl von Produkten und Lösungen eines Herstellers die geeignetste Lösung. Für die Anbindung und die Auswahl von Speichersystemen und Speichernetzen ist die Maßnahme M 2.362 Auswahl einer geeigneten Speicherlösung umzusetzen.
  • Für die Administration und Verwaltung der Cloud-Infrastruktur bestehen Anforderungen an sichere Zugriffe ( vgl. Maßnahme M 5.174 Absicherung der Kommunikation zum Cloud-Zugriff ). Die ausgewählten Softwareprodukte für die Cloud-Verwaltung müssen daher Protokolle mit für die Anforderungen der Cloud-Anwender hinreichend sicherer Verschlüsselung (siehe Maßnahme M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens ) und starker Authentisierung berücksichtigen.
  • Es muss eine Verwaltungslösung für die Cloud-Komponenten entwickelt werden, die eine notwendige zeitnahe Verteilung von Ressourcen ermöglicht, daher sollten Virtualisierungswerkzeuge eingesetzt werden. Zudem muss der Verwaltungsserver physische Verbindungen in alle Netze für die Cloud-Infrastruktur haben.
  • Die zu wählende Lösung zur Verwaltung der Cloud muss vorsehen, dass eine Mandantenfähigkeit sowohl in der Administration als auch bei der Provisionierung und De-Provisionierung hierüber umgesetzt werden kann.
  • Die Software und Virtualisierungslösungen müssen die Umsetzung eines Rollen- und Rechtekonzeptes ermöglichen (Anforderung der Mandantenfähigkeit). Es muss möglich sein, die Befugnisse der Cloud Administratoren zu beschränken und gegebenenfalls auch auf der Administrationsoberfläche eine mandantenbezogene Rollentrennung zwischen Administratoren zu ermöglichen.
  • Für SaaS : Viele Cloud-Anwender erwarten Interoperabilität und Portabilität der Cloud-Daten. Dieses kann durch standardisierte und offengelegte Schnittstellen und Formate erreicht werden. Dementsprechend sollten die Cloud-Anwendungen, welche entwickelt oder ausgewählt werden, standardisierte Schnittstellen bereitstellen und Exporte in verbreiteten Datenformaten ( API , Protokolle) ermöglichen. Dadurch wird für den Cloud-Anwender eine Plattformunabhängigkeit ermöglicht.
  • Es gibt Kompatibilitätsanforderungen an die Kommunikation zwischen Verwaltungsserver und virtuellen und physischen Ressourcenkontrollschichten. Daher muss bereits bei der Auswahl der Hard- und der Softwarekomponenten (insbesondere Netzmanagement, Virtualisierungsserver, Steuerung der Speichersysteme) darauf geachtet werden, dass Cloud Element Manager und Orchestrierungsserver korrekt miteinander kommunizieren können, sodass die geforderte Verfügbarkeit der Cloud-Dienste sichergestellt werden kann.

Prüffragen:

  • Wird bei der Auswahl der Hardware für die Cloud-Infrastruktur eine modular erweiterbare Hardware-Lösung ausgewählt, um Cloud-Dienste in erforderlichem Umfang skalieren zu können?

  • Sind Speichernetze und die Schnittstelle zur Verwaltung der Speichernetze so konzipiert, dass sie an vorhandene oder zu beschaffende Komponenten angebunden werden können?

  • Bieten die Protokolle der ausgewählten Softwareprodukte für die Cloud-Verwaltung eine hinreichend sichere Verschlüsselung und starke Authentisierung für den administrativen Zugriff?

  • Ermöglicht die eingesetzte Verwaltungslösung für die Cloud-Komponenten eine zeitnahe Verteilung von Ressourcen?

  • Kann mit der eingesetzten Verwaltungslösung für die Cloud-Komponenten eine Mandantenfähigkeit sowohl in der Administration als auch bei der Provisionierung und De-Provisionierung umgesetzt werden?

  • Ermöglicht die eingesetzte Software und Virtualisierungslösung die Umsetzung eines Rollen- und Rechtekonzeptes?

  • Für SaaS: Werden standardisierte und offengelegte Schnittstellen und Formate so eingesetzt, dass die Erwartungen von Cloud-Anwendern an Interoperabilität und Portabilität der Cloud-Daten erfüllt werden können?

Stand: 14. EL Stand 2014