Bundesamt für Sicherheit in der Informationstechnik

M 4.445 Durchgängige Mandantentrennung von Cloud-Diensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Eine Mandantentrennung muss eingerichtet werden, damit ein Mandant (Cloud-Anwender) nicht unberechtigt Informationen von anderen Mandanten (Cloud-Anwendern) einsehen kann. Auch muss gewährleistet werden, dass kein Mandant auf die Ressourcen eines anderen Mandanten zugreifen kann, beispielsweise auf virtuelle Maschinen, Netze oder Cloud Storage.

Allgemeine Prinzipien zur Mandantentrennung

Die technische Umsetzung einer Mandantentrennung erfolgt an verschiedenen Komponenten der Cloud-Infrastruktur. Für die einzelnen Komponenten sieht der IT-Grundschutz eigene Bausteine vor, die die zu ergreifenden Maßnahmen zur Mandantentrennung beschreiben (siehe, je nach Komponente, insbesondere die Bausteine B 3.302 Router und Switches , B 3.303 Speicherlösungen / Cloud Storage , B 3.301 Sicherheitsgateway (Firewall) und B 4.1 Lokale Netze . Das Cloud Management stellt eine durchgängige Mandantentrennung über alle relevanten Ebenen der Cloud-Dienste und der Cloud-Infrastruktur sicher. Eine Mandantentrennung an einzelnen Komponenten der Cloud-Infrastruktur wird von den Administratoren dieser Komponenten eingerichtet. Die Anforderung einer durchgängigen Mandantentrennung für Cloud-Dienste verlangt eine Kontrolle der Trennmaßnahmen durch die Verantwortlichen für das Cloud Management ( z. B. durch den Cloud-Administrator). Der Cloud-Diensteanbieter muss überprüfen, ob Maßnahmen zur Mandantentrennung sowohl in der Anwendung als auch in der Servervirtualisierung, im Netz und im Netz-Speicher (Storage) umgesetzt und wirksam sind. Das Cloud Management bildet hierbei den Rahmen um alle betroffenen IT-Grundschutz-Schichten, wohingegen die konkrete technische oder organisatorische Umsetzung in den anderen für Cloud Computing zu modellierenden Bausteinen verbleibt (siehe M 2.524 Modellierung von Cloud Management ).

Eine technische Isolation der Cloud-Anwender und deren Daten kann durch Firewalls, Zugriffslisten, Tagging, VLAN s, Virtualisierung, Maßnahmen im Speichernetz ( z. B. LUN Masking) und physische Trennung erreicht werden.

Mandantentrennung prüfen

Um eine Kontrolle der Mandantentrennung in den einzelnen Cloud-Komponenten vorzunehmen, muss der Cloud-Diensteanbieter Prüfungen einrichten. Er muss die Rückmeldungen der Cloud-Komponenten für die Umsetzung von Maßnahmen zur Mandantentrennung nachvollziehen.

Die Umsetzung von Maßnahmen zur Mandantentrennung kann nachvollzogen werden über:

  • Test- und Freigabeverfahren der Cloud-Diensteprofile,
  • Auswertung der Protokolldateien der Cloud-Verwaltung,
  • manuelle Prüfung der Konfigurationsdateien an den Cloud-Elementen oder
  • Durchführung von Penetrationstests zur Validierung der Mandantentrennung.

Mandantentrennung auf Anwendungs-Ebene

Die sichere Isolierung von Anwendungen und Cloud-Daten kann über abgeschottete Bereiche (Sandboxes), virtuelle getrennte Speicherbereiche oder Kennzeichnung von Daten mittels Tagging erfolgen. Die Umsetzungsverantwortung dieser Maßnahmen liegt nicht im Cloud Management, sondern bei den Verantwortlichen in der Anwendungsentwicklung, die eine vom Cloud-Diensteanbieter spezifizierte Mandantentrennung zu implementieren haben. Bei webbasierten Cloud-Diensten sind die Empfehlungen des Bausteins B 5.21 Webanwendungen umzusetzen.

Für PaaS : Mandantentrennung auf Plattform-Ebene

Im Falle von PaaS -Angeboten können Datenbanken als Cloud-Dienste angeboten werden. In diesem Fall muss der Cloud-Diensteanbieter eine Mandantentrennung in der Datenbank einrichten. Diese Mandantentrennung kann über verschiedene Wege erfolgen:

  • über eine separate Datenbank pro Cloud-Anwender ( z. B. eine virtualisierte Datenbank pro Mandant)
  • über eine Trennung der Mandantendaten durch Tagging-Methoden ( d. h. Auszeichnung des Datenbestandes mit zusätzlichen Informationen) oder
  • über die Anlage von getrennten Tabellen für jeden Mandanten.

Genaueres hierzu definiert der Baustein B 5.7 Datenbanken .

Mandantentrennung auf Speicher-Ebene

Auch auf Speicherebene sind Mechanismen zur Trennung von Speicher-Bereichen für unterschiedliche Mandanten zu ergreifen. Es kann eine logische Trennung von Speicherressourcen über LUN s mit mandantenbezogener Quell- und Ziel-Adresse erfolgen. Die Segmentierung eines SAN s erfolgt durch Einteilung in Zonen (Zoning). Die Umsetzung von Trennmechanismen im SAN beschreibt M 5.130 Absicherung des SANs durch Segmentierung . Detaillierte Umsetzungsanweisungen gibt der Baustein B 3.303 Speicherlösungen / Cloud Storage .

Mandantentrennung auf Netz-Ebene

Eine durchgängige Mandantentrennung setzt eine Trennung auf Netz-Ebene zwingend voraus. Hierbei muss das Cloud Management insbesondere bei der Provisionierung von Cloud-Diensten auf Basis von Cloud-Diensteprofilen automatisiert getrennte Netze einrichten. Entsprechend müssen die Verwaltungssysteme für die Netzkomponenten Netztrennungskonfigurationen aus der Cloud-Verwaltungssoftware umsetzen.

Eine Mandantentrennung erfolgt über eine Trennung von VLANs, durch entsprechende Routing-Einstellungen ( u. a. über Zugriffskontrolllisten) oder durch virtuelle Firewalls. Es sind entsprechende Maßnahmen aus der Schicht Netze für die konkreten Maßnahmen heranzuziehen:

Im Cloud Management muss für die Einrichtung der Netze sichergestellt werden, dass das Management-Netz des Cloud-Diensteanbieters vom Datennetz der Cloud-Dienste isoliert ist. Hierbei kann eine Netztrennung auch über die vorgenannten Netztrennmechanismen erfolgen, die zur Mandantentrennung genutzt werden, wobei eine physische Trennung des Management-Netzes vorzuziehen ist.

Mandantentrennung in der Verwaltungssoftware bei "virtual" bzw. "managed" Private-Cloud-Diensten

"Virtual" bzw. "managed" Private-Cloud-Dienste können auch als "DataCenter as a Service" bezeichnet werden. Hierunter versteht man komplexe IT-Infrastrukturen (virtuelle Maschinen, Netze inklusive Netzkoppelelemente und Speicher), die vom Cloud-Diensteanbieter angeboten werden. Hier kann sich auf Anforderung des Cloud-Anwenders die Mandantentrennung auch auf die Administration des Cloud-Diensteanbieters ausdehnen. In diesem Fall muss der Cloud-Diensteanbieter sicherstellen, dass ein dedizierter Cloud-Administrator die privaten Cloud-Dienste eines Cloud-Anwenders betreibt. Dieses muss über ein geregeltes Berechtigungs- und Rollenkonzept umgesetzt werden, welches die Zugriffe auf die Verwaltungsfunktionen der privaten Cloud über personenbeziehbare Konten auf autorisierte Cloud-Administratoren beschränkt. Diese Anforderungen sind bei der Auswahl einer Cloud-Verwaltungslösung zu berücksichtigen (siehe M 4.438 Auswahl von Cloud-Komponenten ).

Prüffragen:

  • Ist die Mandantentrennung durchgängig an den relevanten Cloud-Komponenten umgesetzt?

  • Werden Trennmechanismen bei der Vervielfältigung von Cloud-Diensten durchgängig eingehalten?

  • Werden Prüfungen für eine durchgängige Trennung durchgeführt?

  • Bestehen Rückmeldungen der Cloud-Komponenten, dass eine Mandantentrennung umgesetzt wurde?

  • Wurden die Konfigurationen für die Mandantentrennung in den Cloud-Diensteprofilen überprüft?

Stand: 14. EL Stand 2014