Cloud Security Band 2 E-Book

Uwe Irmer, März 2020

Inhaltsverzeichnis

VORWORT

ABKÜRZUNGEN UND BEGRIFFE

ABBILDUNGSVERZEICHNIS

DEFINITIONEN

EINLEITUNG

B

EST

P

RACTICE ZUR

E

INFÜHRUNG VON

C

LOUD

T

ECHNOLOGIE

T

ECHNISCHE

M

ASSNAHMEN

O

RGANISATORISCHE

M

ASSNAHMEN

W

ARUM SCHEITERN

M

IGRATIONSPROJEKTE

?

CLOUD SERVICE MODELLE

I

NFRASTRUCTURE AS A

S

ERVICE

I

AA

S

P

LATTFORM AS A

S

ERVICE

P

AA

S

S

OFTWARE AS A

S

ERVICE

S

AA

S

C

ONTAINER AS A

S

ERVICE

C

AA

S

V

ERANTWORTLICHKEITEN FÜR DIE

S

ICHERSTELLUNG DER

I

NFORMATIONSSICHERHEIT

E

INGRIFFSMÖGLICHKEITEN DES

C

ONSUMERS

Z

USAMMENFASSUNG ZUR

I

NFORMATIONSSICHERHEIT

FRAMEWORKS

J

ERICHO

NIST C

YBERSECURITY

F

RAMEWORK

OWASP S

OFTWARE

S

ECURITY

ISO 27017

UND

27018

TECHNISCHE MASSNAHMEN

C

LOUD

P

ROVIDER

M

ODELLE

A

MAZON

A

ZURE

G

OOGLE

K

EY

M

ANAGEMENT

D

ATENVERSCHLÜSSELUNG

V

ERSCHLÜSSELUNG VON

D

ATENBANKEN

A

BSICHERUNG DER

E

NDPOINTS

C

ONTAINER

S

ECURITY

M

ODELLE FÜR

C

ONTAINER

T

ECHNOLOGIE

A

KTUELLE

V

ERSIONEN DER EINGESETZTEN

B

ETRIEBSSYSTEME UND

F

RAMEWORKS

K

ONTROLLE DER

Z

UGRIFFE

D

EPLOYMENT VON

C

ONTAINERN UND DER

CI/ CD P

ROZESS

L

OGGING UND

M

ONITORING

W

EITERE

M

ASSNAHMEN

ORGANISATORISCHE MASSNAHMEN

E

XIT

S

TRATEGIE

M

ULTI

C

LOUD

S

TRATEGIE

E

XTREME

D

YNAMIC IN

C

LOUD

S

ERVICES

A

GILE

D

EV

O

PS

C

ONTINUOUS

M

ONITORING

CM

CI/ CD

M

ICROSERVICES

I

NFRASTRUCTURE AS

C

ODE

Ü

BERWACHUNG UND

L

OGGING

K

OMMUNIKATION UND

Z

USAMMENARBEIT

BENEFITS UND MEHR

V

ORTEILE

R

ISIKEN

QUO VADIS

QUELLENVERZEICHNIS

Vorwort

Gemäss den Analysen von IDC in Zusammenarbeit mit der Swisscom [1] befassen sich über 70% der Schweizer Unternehmen mit dem Gedanken, Cloud Technologie zu nutzen. Gleiches gilt für Unternehmen in der Europäischen Union EU, wie Analysen von Forrester [2] zeigen.

Als Hauptgrund für den Wechsel in die Cloud nennen die befragten Unternehmen die Einsparungen für die Betriebskosten und Kosten für das Operating. Die Erwartung sind die Verschiebung von Investitionsaufwendungen (CapEx) zu Betriebsausgaben (OpEx), die Verlagerung operativer Risiken sowie die Steigerung der Flexibilität bei reduziertem Aufwand.

Zum Zeitpunkt der Veröffentlichung dieses Buches kommt noch ein weiterer Aspekt hinzu. Die Corona Krise, die seit März 2020 die gesamte Welt beeinflusst. Vor diesem Hintergrund suchen die Unternehmen dringend nach Lösungen ausserhalb der eigenen IT Infrastruktur in der Absicht, Services verlagern zu können. Dies, um so den Betrieb aufrecht erhalten zu können, sollte eigenes Personal zum Unterhalt der IT Infrastruktur ausfallen.

Doch wie ist der Weg in die Cloud?

Wie kann ein Unternehmen seine bestehende IT Infrastruktur in die Cloud verlagern unter Einhaltung der geltenden Regularien sowie unter Sicherstellung der Schutzbedürfnisse?

Welche Risiken entstehen und welche Veränderungen bedeutet der Wechsel zur Cloud Technologie?

In vielen Unternehmen, hauptsächlich im Bereich Software Entwicklung und Services, überwiegt die Motivation, mittels Cloud Technologie kürzere Bereitstellungszeiten für neue Produkte oder Produktversionen zu erreichen. Hierfür werden neue Prozesse wie CI/ CD (Continuous Integration/ Continuous Delivery) eingeführt in der Überzeugung, alles Erforderliche im Bereich Produkt und Service Erstellung unternommen zu haben. Die Praxis zeigt jedoch, dass derartige Vorhaben oftmals scheitern.

Eine wichtige Erkenntnis ist, dass es kein Umsetzungsvorhaben zur Cloud Technologie ohne grundlegende organisatorische Änderungen im Unternehmen gibt. So sind nicht nur die Unternehmensbereiche von Änderungen betroffen, die unmittelbar im Zusammenhang mit Produkten oder Services stehen. Vielmehr benötigt das gesamte Unternehmen eine neue Kultur, neue Vorgehensweisen, neue Prozesse oder kurzgefasst, eine neue Governance.

Im Band 1 dieser Buchreihe Cloud Security wurden die grundlegenden organisatorischen Aspekte erörtert, die bei einem Wechsel hin zur Cloud Technologie zu beachten sind. Zudem wurden dort die Grundlagen der Cloud Technologie beschrieben.

Der vorliegende Band 2 der Buchreihe befasst sich vertiefend mit den möglichen Cloud Architekturen und Delivery Modellen sowie technischen und organisatorischen Massnahmen, um einen best practice Weg zu beschreiben, anhand dessen Unternehmen zielgerichtet und dauerhaft erfolgreich die Cloud Technologie nutzen können.

Abkürzungen und Begriffe

CaaS

Container as a Service

CDN

Content Delivery Network

CI/ CD

Continuous Integration/ Continuous Deployment

CISO

Chief Information Security Officer

DDoS

Distributed Denial of Service

deploy

Verteilen, zum Beispiel ein Artefakt in die Produktionsumgebung installieren.

IaaS

Infrastructure as a Service

IAM

Identity and Access Management

IoT

Internet of Things

ISMS

Information Sicherheit Management System

IT

Informationstechnologie

KI

Künstliche Intelligenz

Major Release

Haupt Version

PaaS

Plattform as a Service

PC

Personal Computer

SaaS

Software as a Service

VPN

Virtuelles Privates Netzwerk

WAF

Web Application Firewall

WLAN

Wireless Local Area Network

Abbildungsverzeichnis

Nummer

Titel

1

Migration zur Cloud Technologie

2

Verantwortlichkeiten nach Servicemodell

3

Cloud Modelle und Einflussnahme

4

Cloud Kube Modell

5

Daten Life Cycle

6

Containerisierung

7

Einsatz unterschiedlicher Container Orchestratoren

8

Vorgehen agiler Teams nach Scrum

9

Kanban Board

10

DevOps

Definitionen

[i]

Asset

Die Werte des Unternehmens, dies können neben monetären Grössen auch Reputation, Patente, Prozesse, die Mitarbeitenden etc. sein.

[ii]

Entität

Die Entität ist ein Objekt innerhalb der Information Technologie und beschreibt, wie Beziehungen in den Prozessen der Information Technologie hergestellt werden. Entitäten sind natürliche Personen, Prozesse oder Services.

[iii]

leased privilege

Dieses Prinzip stellt sicher, dass Entitäten nur mit den Berechtigungen ausgestattet werden, die diese mindesten benötigen. Weitergehende Privilegien werden nicht erteilt.

[iv]

Artefakt

Ergebnis aus einem Arbeitsprozess, zum Beispiel ein neuer Service in der Informationstechnologie

[v]

Deploy

Verteilen, ein Artefakt in eine Betriebsumgebung bringen um den Service bereitzustellen.

[vi]

Ressource

Eine Ressource im Zusammenhang mit der Cloud Technologie ist eine Komponente, die aus der Cloud bezogen wird und die kombinierbar ist. Beispiele für Ressourcen sind virtuelle Netzwerke, Storage oder virtuelle Server [

3

].

[vii]

Service

Ein Service ist die Kombination von Ressourcen, die für geschäftsrelevante Prozesse benötigt werden. Ein Beispiel hierfür ist das Customer Relationsship Management System CRM. Dieses besteht aus der Kombination von virtuellen Netzwerken, virtuellen Anwendungsservern, Datenbankservern, Benutzerauthentifizierung etc. [

3

].

[viii]

Provider

Ein Provider stellt Services für Dritte zur Verfügung. Je nach Ausprägung der Verträge nimmt der Provider mit mehr oder weniger Umfang den Betrieb und die Wartung der zugehörigen Ressourcen. [

3

]

[ix]

Consumer

Der Consumer bezieht Services von einem Provider. [

3

]

[x]

Epic

Epic ist eine user Story, die in weitere user Stories strukturiert wird. Dabei beschreibt das Epic Anforderungen an ein Produkt in einer allgemeinen Weise, die zu einem späteren Zeitpunkt genauer definiert werden sollen.

[xi]

Item

Bestandteil oder Element

Einleitung

Band 1 [3] befasst sich mit den Grundlagen der Cloud Technologie sowie den nötigen, hauptsächlich organisatorischen Anpassungen in den Bereichen Governance, Compliance, Risk und Informationssicherheit Management System ISMS.

Band 2 befasst sich vertieft mit der Cloud Technologie und zeigt Best Practice für Massnahmen auf, um Cloud Technologie sicher einsetzen zu können.

Im ersten Schritt werden hierzu die verfügbaren Cloud Architekturen beschrieben und Massnahmen erörtert, wie für die jeweilige Architekturform Sicherheit gewährleistet werden kann.

Der darauffolgende Abschnitt befasst sich mit Frameworks, die sich mit dem Thema Cloud Sicherheit befassen. Zudem wird die Frage beantwortet, welche Frameworks wie für die eigenen Sicherheitsüberlegungen eingesetzt werden können.

Der Schwerpunkt dieses Buches liegt in der Beschreibung technischer und organisatorischer Massnahmen zur Erreichung von Sicherheit beim Einsatz der Cloud Technologie. Dies in Bezug auf die jeweilige Cloud Architektur. Zudem werden aus Sicht der Informationssicherheit Empfehlungen erörtert betreffend der Cloud Deployment Modelle und der Cloud Architekturen.

Best Practice zur Einführung von Cloud Technologie

Zum Einstieg in die Thematik Cloud Security Best Practice zuerst Überlegungen, wie Cloud Technologie in das Unternehmen eingeführt werden sollen. Wie bereits im Band 1 Cloud Security Grundlagen [3] beschrieben, ist der Entscheid zur Nutzung von Cloud Technologie eine Management Aufgabe. Mit dem Entscheid ist eine Vielzahl an Aufgaben zu lösen. Diese stammen aus dem Bereich Compliance, zudem sind sie technischer und organisatorischer Natur.

Compliance

Die ¨Überlegungen zu Governance, Risk und Compliance sind ausführlich im Band 1 Cloud Security Grundlagen [3] erörtert. Deshalb an dieser Stelle verkürzt die zu klärenden und sicherzustellenden Themen:

Governance

Mit dem Einsatz der Cloud Technologie muss die Governance angepasst werden. Benötigt werden neue Richtlinien um die Technologie sinnvoll einsetzen zu können. Es wird eine geänderte Unternehmenskultur gefordert hin zu einer fehlertoleranten Kultur. Die vielfältigen Veränderungen in den Unternehmensprozessen, der Organisation und der Technologie können sinnvoll nur in einem fehlertoleranten und agilen Umfeld umgesetzt werden.

Risk

Mit der Nutzung der Cloud Technologie muss Risk um den Bereich Cloud Risk erweitert werden.

Hauptsächlich zu berücksichtigen sind hierbei

Die Berücksichtigung, dass die Risiken des Cloud Providers [viii] in das eigene Risk übernommen werden müssen.

Die Berücksichtigung einer möglichen Abhängigkeit vom Cloud Provider [viii]. Diese entsteht dadurch, dass mit der Auswahl eines Cloud Providers [viii] dessen Technologie und Prozesse zu stark adaptiert werden, Dies erschwert oder macht gar unmöglich, dass zu einem späteren Zeitpunkt der Wechsel zu einem anderen Cloud Provider erfolgen soll. Eine weitere Überlegung in diesem Zusammenhang ist zu berücksichtigen, was bei der Nicht Verfügbarkeit des Providers zum Beispiel durch Übernahme oder Betriebsschliessung erfolgen soll. Diese Aspekte werden in der Vendor Lock Out Strategie sowie in der Exit Strategie berücksichtigt.

Die Berücksichtigung des möglichen Datenverlustes beim Cloud Provider zum Beispiel durch eine fehlerhafte Cloud Infrastruktur beim Provider oder durch Cyber Angriffe auf den Cloud Provider.

Die Berücksichtigung des Kontrollverlustes über die Daten. So besteht in den wenigsten Fällen die Kontrolle des Datenspeicherortes durch den Consumer [ix]. Vielmehr werden die Daten durch den Cloud Provider auf mehrere Datencenter weltweit verteilt, womit die Daten in den Einflussbereich ausländischer Staaten gelangen.

Die Berücksichtigung dass Cloud Services [vii] nicht verfügbar sind. Dies zum Beispiel durch eine unzureichende Cloud Infrastruktur beim Cloud Provider oder auch dadurch, dass die eigene Internet Anbindung des Consumers gestört wird. Bei allen Cloud Deployment Modellen mit Ausnahme der Private Cloud ist das Internet zu einer mission crtitical Komponente geworden, was in Risk berücksichtigt werden muss.

Die Berücksichtigung, dass die vorzunehmenden organisatorischen, Unternehmens kulturellen und prozeduralen Veränderungen zu wesentlichen Störungen der Wertschöpfungskette im Unternehmen führen kann oder dass ein erheblicher Verlust an Wissen durch Mitarbeiter entstehend kann, die die Änderungen nicht mittragen wollen und das Unternehmen verlassen.

Schliesslich die Berücksichtigung von Risiken, die sich aus der Compliance ergeben wie im nachfolgenden Punkt beschrieben.

Compliance

In den aktuellen „Erläuterungen zum Cloud Computing“ [15] EDÖB 2019, beschreibt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage EDÖB Stellung zur Compliance.

So muss berücksichtigt werden, dass Daten ausserhalb der Schweiz gespeichert werden und dass Daten in den Einflussbereich ausländischer Staaten und ausländischer Behörden kommen. Dies erfordert eine Prüfung, wie der Consumer Datenschutz und Datensicherheit gewährleistet und wie andere gesetzliche Bestimmungen eingehalten werden. Beispiele hierfür sind die Aufbewahrungs- oder Beweispflicht oder die Einhaltung von Geheimhaltungspflichten [15]. Werden personenbezogene Daten gespeichert und verarbeitet, dann muss der Consumer [ix] die Einhaltung bestehender Datenschutzgesetze sicherstellen. So muss die Datensicherheit gewährleistet sein und die Einhaltung von Vertraulichkeit, Verfügbarkeit und Integrität im Sinne des Datenschutzgesetzes [15]. Zudem muss der Consumer sicherstellen, dass das Auskunftsrecht und das Recht auf Löschung und Berichtigung der Daten jederzeit gewährleistet ist. [15]. Schliesslich noch der Hinweis, dass der Consumer nicht nur die Situation mit dem Cloud Provider berücksichtigt, sondern auch alle möglichen Sub Provider mit einbezieht.

Eine besondere Berücksichtigung bezieht sich auf den CLOUD Act der US Regierung aus 2018 [3].

Am 23.3.2018 unterzeichnete die US Regierung den CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Demnach sind alle US Unternehmen verpflichtet, US Behörden auch dann den Zugriff auf gespeicherte Daten zu geben, selbst wenn der Speicher Ort nicht die