Cloud Sicherheit

Question 1

Cloud Computing Vorteile

Answer 1

• Flexible Nutzung von IT-Ressourcen
• Skalierbarkeit
• Eventuell geringere Kosten
• Verfügbarkeit
• Kein Know-how zur Wartung der Systeme benötigt

Question 2

Cloud Computing Nachteile

Answer 2

• Eventuell höhere Kosten
• Cloud Know-how benötigt
• Veränderung des Risikos

Question 3

Shared Responsibility Model

Answer 3

Das Shared Responsibility Model legt die Sicherheitsverpflichtungen eines Cloud-Computing-Anbieters und seiner Nutzer-Kunden fest, um die Verantwortlichkeiten zu regeln.
- On-Premise Infrastruktur: Unternehmen hat die volle Verantwortung
- Cloud Infrastruktur: Cloud-Dienstleister und Unternehmen teilen sich die Verantwortung

Question 4

Cloud Computing Modelle: Private Cloud

Answer 4

• eigenes Rechenzentrum
• Zugriff über Intranet
• mehr Kontrolle über Sicherheitsrichtlinien und Compliance
• Gesamte Verantwortung liegt bei der betreibenden Organisation
• aufwendiger, teurer

Question 5

Prinzipien des Cloud Computing

Answer 5

• On-Demand Self Service: Provisionierung der Ressourcen läuft ohne menschliche Interaktion mit dem Service Provider ab
• Resource Pooling:
  -> Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich viele Anwender bedienen können
• Measured Service:
  -> Ressourcennutzung kann gemessen und überwacht werden
• Broad Network Access:
  -> Cloud-Services sind mit Standard-Mechanismen über das Netzwerk verfügbar
• Rapid Elasticity:
  -> Services können schnell und elastisch (teilw. automatisch) zur Verfügung gestellt werden

Question 6

Ebenen von Cloudservices

Answer 6

• Infrstructure as a Service: Bereitstellung einer virtualisierten Infrastruktur
• Platform as a Service: Bereitstellung einer Entwicklerplattform
• Function as a Service: Bereitstellung von Funktionsinhalten
• Software as a Service: Bereitstellung einer Anwendung

Question 7

Cloud Infrastruktur: Virtualisierung

Answer 7

• Aufteilen von Ressourcen auf verschiedene Nutzer
• IT-Services und -Funktionen werden von der Hardware getrennt
• sobald virtuelle Ressourcen zentralisierten Pools zugewiesen sind, werden sie als Clouds bezeichnet

Question 8

Sicherheitsbedenken bei der Cloud Nutzung

Answer 8

• Kontrollverlust
• Änderungen von Rahmenbedingungen
• Vendor Lock-In (Wechsel zu anderen Cloud-Anbietern schwer möglich)
• Verlust der Vertraulichkeit
• Unzureichende Schutzmaßnahmen
• Gefahr durch Identitätsdiebstahl
• Verletzung geltender Vorgaben
• Weitergabe der Daten an Sub-Dienstleister

Question 9

Sichere Nutzung von Cloud-Diensten nach BSI

Answer 9

• Machbarkeitsstudie
• Kosten-Nutzen-Abschätzung
• Risikoanalyse
• Analyse der Angriffsvektoren
• Migrationsplan
• Definition wichtiger Begriffe

Question 10

Cloud Computing Compliance Criteria Catalogue (C5)

Answer 10

• Anforderungskatalog für die Bewertung der Sicherheit von Cloud-Diensten vom BSI
• Anforderungen sind nicht auf einzelne Cloud-Servicemodelle und -arten beschränkt
• Besteht aus: Sicherheitsanforderungen, Transparenzkritierien, Anforderungen für einen belastbaren Nachweis
• Ziel: Definition einer allgemein anerkannten Baseline für Cloudsicherheit

Question 11

Threat Modelling

Answer 11

Ziel einer Bedrohungsmodellierung ist es, Bedrohungen und Gegenmaßnahmen für ein technisches System zu identifizieren und zu verstehen, um die Assets einer Organisation zu schützen.
- Was bauen wir?
- Was kann schiefgehen?
- Was werden wir dagegen tun?
- Haben wir unsere Arbeit gut genug gemacht?

Question 12

Service Level Agreements

Answer 12

• Welche Funktionen umfasst ein Service (und welche nicht)?
• Wie lässt es sich messen, ob ein Dienst die geforderten Funktionen erfüllt?
• Welche Sicherheitsanforderungen gelten für einen Service?
• Was ist eine Schnittstelle, welche Software/Protokolle werden im Zusammenhang verwendet?
• Welche Authentisierungsmittel werden zur Benutzung der Cloud verwendet?
• Wie erfolgt die Benutzer- und Rechteverwaltung?
• Welche Meldewege stehen bei Störungen zwischen Anbieter und Nutzer zur Verfügung?
• Portierbarkeit/Migration: Wann und wie muss der Anbieter Daten/Anwendungen des Nutzers zurückgeben?

Question 13

Identitäts- und Zugriffsmanagement bei der Nutzung von Cloud-Diensten

Answer 13

• Mindestanforderungen an Passwörter
• Protokollierung der Ereignisse
• Löschen von Accounts
• MFA
• Anmeldung per SSO
• Rollenkonzept

Question 14

Logging und Monitoring

Answer 14

• Auswahl relevanter Ereignisse
  -> Systemabstürze
  -> Löschung von Objekten
  -> Fehlgeschlagene Login-Versuche
  -> verdächtige Logins autorisierter Nutzer
• Auswahl relevanter Informationen
  -> IP-Adresse
  -> Nutzername
  -> Zeit und Datum des Events
  -> verwendetes Protokoll
  -> Port
  -> Art der Verbindung
  –> Logs physischer Netzwerkdaten liegen beim Cloud Service Provider

Question 15

Cloud Lösungen

Answer 15

• Microsoft Azure
• Alibaba Cloud
• aws
• Oracle Cloud
• Google Cloud
• IBM Cloud

Question 16

C5: Sicherheitsanforderungen

Answer 16

• Sicherheitsanforderungen: basiert auf gängigen Standards (ISO 27001, IT-Grundschutz, CSA Cloud Controls Matrix)

Question 17

C5: Transparenzkriterien

Answer 17

Cloud-Anbieter müssen dem Nutzer alle wichtigen Informationen für die Auswahl eines Cloudanbieters vorlegen

Question 18

C5: Anforderungen an einen belastbaren Nachweis

Answer 18

• Audits müssen von Wirtschaftsprüfern durchgeführt werden
• Anforderungen an Prüfteam und Auditbereich werden definiert

Question 19

Definition Cloud Computing

Answer 19

Dynamisch an den Bedarf angepasstes Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Umfasst Plattformen, Infrastruktur und Software.

Question 20

Cloud Computing Modelle: Public Cloud

Answer 20

• Eigentum des Dienstleisters
• Zugriff über Internet
• kein Einfluss auf Speicherort, Sicherheit- und Complianceaspekte

Question 21

Cloud Computing Modelle: Hybrid Cloud

Answer 21

• Mischform aus Public/Private
• Cloud-Infrastrukturen werden über Schnittstellen gemeinsam genutzt

Question 22

Cloud Computing Modelle: Community Cloud

Answer 22

• Nutzergruppen schließen sich zusammen
• wird intern oder extern betrieben

Question 23

Cloud Infrastruktur: Netzwerk

Answer 23

• Auf Basis physischer Netzwerkressourcen wird ein virtuelles Netzwerk aufgebaut
• Cloud-Ressourcen werden den Benutzern über ein Netzwerk zur Verfügung gestellt, damit sie nach Bedarf remote auf Cloud Services oder Apps zugreifen können
• typische Cloud-Netzwerkkonfigurationen besteht aus mehreren Subnetzen, die jeweils unterschiedliche Sichtbarkeitsebenen aufweisen
• Cloud Nutzer definiert seine Netztopologie über ein Software-defined Network

Question 24

Cloud Infrastruktur: Hardware

Answer 24

• Switches, Router, Load Balancer, etc.
• statt klassischer Firewalls werden eher “Security Groups” verwendet, die über Paketfilter und Richtlinien den Traffic steuern

Question 25

Cloud Infrastruktur: Virtuelle Maschinen

Answer 25

• aus einzelnen Hardwaresystemen werden mehrere simulierte Umgebungen erstellt

Question 26

Cloud Infrastruktur: Container

Answer 26

• besteht aus ein oder mehrere Prozesse, die vom Rest des Systems isoliert sind
• Anwendung kann mit allen Abhängigkeiten verpackt werden
• ressourcenarmer als VM
• kann nur ein Betriebssystem simulieren

Question 27

ISO 27017

Answer 27

• Ergänzung zu ISO 27002 mit Empfehlungen für Cloudnutzer und/oder Cloudanbieter