Bundesamt für Sicherheit in der Informationstechnik

M 5.174 Absicherung der Kommunikation zum Cloud-Zugriff

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Cloud-Diensteanbieter stellen öffentliche Schnittstellen zur Interaktion mit den Cloud-Benutzern bereit. Oft geschieht dies über Webschnittstellen. Über diese Schnittstellen läuft der zentrale Zugriff von Cloud-Benutzern auf die durch den Cloud-Diensteanbieter bereitgestellten Cloud-Dienste. Hierbei müssen sichere Schnittstellen und Protokolle genutzt werden, die eine verschlüsselte Kommunikation zwischen Cloud-Diensteanbieter und Cloud-Benutzer ermöglichen.

Verschlüsselung und Authentisierung

Zur Absicherung der Kommunikation müssen den anerkannten Regeln der Technik entsprechende sichere Protokolle mit ausreichender Verschlüsselung und Authentisierung eingesetzt werden. Sichere Protokolle können mit Hilfe von Maßnahme M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens ermittelt werden. Sehr hilfreich ist hierbei die Technische Richtlinie TR-02102-2 Kryptographische Verfahren: Empfehlungen und Schlüssellängen des BSI.

Leitbild: HTTPS statt HTTP

Als grundlegendes Beispiel gilt, dass alle webbasierten Cloud-Angebote über HTTPS abgesichert werden müssen. Hierbei ist die Maßnahme M 5.177 Serverseitige Verwendung von SSL/TLS des Bausteins B 5.21 Webanwendungen umzusetzen.

Für webbasierte Zugriffe wird abgesicherte Kommunikation oft über eine Client-Server-Kommunikation via HTTPS realisiert, bei der der Client das serverseitige Zertifikat prüfen kann. Für Cloud-Dienste mit sicherheitsrelevanten Daten müssen dabei Zertifikate von vertrauenswürdigen Zertifizierungsstellen eingesetzt werden. Bei nicht sicherheitsrelevanten Daten genügen selbst erstellte Zertifikate. Letzteres gilt z. B. für Private-Cloud-Dienste, die in Bezug auf Vertraulichkeit unkritisch sind.

Dienstspezifische Absicherung oder Absicherung der Netzverbindung

Die Forderung nach abgesicherter Kommunikation gilt neben HTTPS für alle über Cloud Computing bereitgestellten Cloud-Dienste.

Denkbar wäre zum Beispiel eine Nutzung eines Verzeichnisdienstes über Cloud-Dienste, wobei dienstspezifische Protokolle eingesetzt werden (hier z. B. LDAP ). Bei der Verwendung von LDAP muss ebenfalls durchgängig die verschlüsselte Variante LDAP eingesetzt werden, bei der die Absicherung der unterliegenden Netzverbindung mit Transport Layer Security ( TLS , häufig noch unter dem älteren Namen SSL angesprochen) erfolgt.

Sichere Behandlung der Passwörter

Bei der Verwendung von Passwörtern sind einige grundlegende Sicherheitsmaßnahmen zu berücksichtigen. Eine ausreichende Passwort-Policy muss umgesetzt sein. Näheres dazu ist der Maßnahme M 2.11 Regelung des Passwortgebrauchs zu entnehmen.

Die Passwörter für Webanwendungen sollten mit sogenannten Passwort-Salts versehen werden, die als zufälliges Prefix mit den Passwörten zusammen verschlüsselt werden. Diese Funktion verhindert, dass die Passwörter auf einfache Art vorberechnet werden können.

Passwörter dürfen nicht im Cache des Clients vorgehalten werden, dieses ist server- bzw. anwendungsseitig zu verhindern. Die Autocomplete-Funktion muss für Passwörter ebenfalls deaktiviert sein.

Session Management

Zur Absicherung von Session-IDs in der Webanwendung sind die Inhalte der Maßnahme M 4.361 Sichere Konfiguration von Webanwendungen zu berücksichtigen. Weitere Anforderungen sind der Maßnahme M 4.394 Session-Management bei Webanwendungen und Web-Services zu entnehmen.

Prüffragen:

  • Nutzt die Kommunikation zum Cloud-Zugriff HTTPS (statt HTTP ) oder ist sie anderweitig durch TLS / SSL abgesichert?

  • Wo kein HTTP zum Einsatz kommt: Besteht eine andere angemessene Absicherung durch dienstspezifische Protokolle?

  • Bei Kommunikation über öffentliche Netze: Werden Zertifikate für HTTPS (oder andere Verschlüsselungsverfahren) von einer offiziellen Zertifizierungsstelle (Certification Authority, CA) bezogen?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK