Bundesamt für Sicherheit in der Informationstechnik

M 4.443 Protokollierung und Monitoring von Ereignissen in der Cloud-Infrastruktur

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In einer Cloud-Infrastruktur muss für eine angemessene Protokollierung gesorgt werden, um technische Probleme und potenzielle Angriffe erkennen und darauf reagieren zu können. Da die Cloud-Infrastruktur hoch-integriert ist und über ein zentrales Cloud Management verfügt, muss eine zentrale Protokollierung eingeführt und der Baustein B 5.22 Protokollierung umgesetzt werden. Das Monitoring zielt in erster Linie darauf ab, den Betrieb zu steuern und die erhobenen Daten dienen dem Reporting an den Cloud-Anwender (siehe M 2.522 Berichtswesen und Kommunikation zu den Cloud-Anwendern ).

Für eine angemessene Protokollierung und ausreichendes Monitoring sind folgende Aspekte zu berücksichtigen:

  • Im Rahmen des Cloud Managements müssen die genutzten Cloud-Ressourcen überwacht werden, um stetig die in der Planung definierten Ressourcen gegenüber der aktuellen Benutzung und Nachfrage zu kontrollieren.
  • Cloud-Dienste sollten je nach Servicemodell und Dienstgütevereinbarung bzgl. der Verfügbarkeit und anderer messbarer Größen, die Gegenstand der Vereinbarung sind, angemessen überwacht werden.
  • Bei Public- und Private-Cloud-Angeboten muss eine Überwachung rund um die Uhr (24/7) erfolgen und Personal für zeitnahe Reaktionen bei Angriffen bzw. Sicherheitsvorfällen vorgehalten werden. Die Reaktionszeiten werden in der Dienstgütevereinbarung festgeschrieben. Bei Private-Cloud-Angeboten kann eine manuelle Interaktion als Reaktion auf Vorfälle zu Geschäftszeiten angemessen sein, sofern dieses mit den Service Level Agreements der Cloud-Dienste vereinbar ist.
  • Der Cloud-Diensteanbieter verantwortet die Protokollierungs- und Monitoring-Möglichkeiten, die je nach Servicemodell unterschiedlich ausgeprägt sind. Wird z. B. Infrastructure as a Service angeboten, liegt die entsprechende Verantwortung für die Protokollierung und das Monitoring auf Plattform- und Anwendungsebene beim Cloud-Anwender. Hier kann der Cloud-Diensteanbieter die Anbindung an seine Monitoring-Systeme als zusätzliche Dienstleistung den Cloud-Anwendern anbieten. In diesem Fall muss der Cloud-Diensteanbieter dementsprechend die Maßnahmen zur Protokollauswertung umsetzen (siehe M 4.430 Analyse von Protokolldaten ).
  • Grundsätzlich muss technisch die Protokollierung auf allen vorhandenen Ebenen der Cloud-Infrastruktur eingerichtet sein (Applikationen/Dienste, Plattformen, Infrastruktur). Zu den entsprechenden Einrichtungen auf den unterschiedlichen Ebenen sind die Protokollierungsmaßnahmen aus den zu modellierenden Bausteinen aus den IT-Grundschutz-Katalogen heranzuziehen ( z. B. auf der Schicht IT-Systeme die Maßnahme M 5.9 Protokollierung am Server ).
  • Bestehen seitens des Cloud-Diensteanbieters oder seitens der Cloud-Anwender Anforderungen an Computer-Forensik oder rechtliche Anforderungen hinsichtlich revisionssicherer Protokollierung, so muss der Cloud-Diensteanbieter integritätssichernde Mechanismen für die Logdateien einrichten. Beispielsweise können Protokolldateien digital signiert oder mit Checksummen versehen werden, um die Integrität nachzuweisen. In jedem Fall dürfen Zugriffsrechte auf Protokolle nur sehr restriktiv vergeben werden.
  • Die Zugriffsrechte auf die Protokolldateien müssen regelmäßig ( z. B. zweimal pro Jahr) evaluiert werden.
  • Zur Nachvollziehbarkeit der Administration müssen alle kritischen administrativen Handlungen protokolliert werden ( z. B. Starten von Diensten und Ändern von Log-Dateien). So kann der Cloud-Diensteanbieter gegenüber seinem Kunden nachvollziehbar darstellen, wer wann welche Änderungen an den bereitgestellten Diensten und ggf. Daten vorgenommen hat.
  • Folgende Aspekte müssen aus Sicht des Cloud Managements mindestens protokolliert werden und müssen in der Umsetzung der Maßnahme M 2.499 Planung der Protokollierung berücksichtigt werden:
    • Netzlast und Verbindungsunterbrechungen,
    • Verbindungszeiten (Cloud-Management-Prozess SLA ),
    • Ab- und Anmeldungen der Cloud-Benutzer, insbesondere fehlerhafte Anmeldeversuche,
    • Änderungen an Rollen und Berechtigungen,
    • kritische Transaktionen der Cloud-Administratoren und ggf. der privilegierten Benutzer des Cloud-Anwenders (Protokollierung privilegierter Benutzer auf Anwendungsebene obliegt bei SaaS dem Cloud-Diensteanbieter, bei IaaS - oder PaaS -Systemen den Cloud-Anwendern),
    • Aufzeichnung der Konfigurationsänderungen an Cloud-Diensteprofilen, um eine Fehleranalyse zu vereinfachen,
    • Auslastung der Cloud-Ressourcen ( CPU , Netz, Speicher),
    • Angriffsversuche,
    • Versuch von unberechtigten Zugriffen oder Manipulationsversuche.
  • Eine Mandantentrennung sollte auch für den Zugriff auf die Protokolldaten durchgeführt werden, damit diese den Cloud-Anwendern zur Verfügung gestellt werden können, ohne die Vertraulichkeit der Protokolldaten der anderen Mandanten zu verletzen, und um die Benutzung in Gerichtsverfahren zu ermöglichen.

Prüffragen:

  • Werden Ereignisse in der Cloud-Infrastruktur wie gefordert protokolliert?

  • Werden Aktionen von Benutzern (nicht privilegierten und privilegierten) wie gefordert protokolliert?

  • Enthalten die Aufzeichnungen der Protokollierung die geforderten Angaben?

  • Erfolgt Protokollierung auf allen erforderlichen Ebenen?

  • Gibt es eine Mandantentrennung beim Zugriff auf die Protokolldaten?

  • Kann die Protokollierung effektiv ausgewertet werden?

  • Ist der Zugriff auf Aufzeichnungen beschränkt?

Stand: 14. EL Stand 2014