Die Administration und der Betrieb von IT-Systemen heute hat sich im Vergleich zu früher stark geändert: Heute verteilen sich die Systeme über mehrere Standorte hinweg und werden teilweise als public oder private Cloud-Services von unterschiedlichen Dienstleistern bezogen. Die Anbindung an das zentrale Firmennetzwerk erfolgt nicht mehr über spezielle Wide Area Networks (WANs), sondern aus Kostengründen über das Internet. Das birgt für Unternehmen zweierlei Herausforderungen: Erstens ist die potenzielle Angriffsfläche um ein Vielfaches größer geworden. Zweitens entzieht sich ein Teil der Infrastruktur bei den Cloud-Modellen schlicht und einfach der direkten Kontrolle durch das Unternehmen. Erschwerend kommt hinzu, dass die Verträge, die die Zusammenarbeit mit Anbietern von Cloud-Services und Outsourcing regeln und Verantwortlichkeiten und Verantwortungen festlegen, oftmals derart komplex sind, dass ihr Abschluss durch juristischen Beistand begleitet werden muss. Welche Risiken es gibt, wie sie behoben oder zumindest eingegrenzt werden können, wird im Folgenden beschrieben. [...]
Die klassische IT-Infrastruktur bestand aus einem Rechenzentrum pro Standort. Die Absicherung erfolgte nach dem Zwiebelprinzip: Das entsprechende Netz wurde optimalerweise über einen (einzigen) Zugangspunkt mit einer restriktiven Firewall abgesichert. Systeme, auf die von außen zugegriffen werden musste, zum Beispiel durch Partner und Lieferanten, wurden und werden in einer Demilitarized Zone (DMZ) betrieben und wiederum über eine oder mehrere Firewalls gesichert. Dieses Zwiebelprinzip der Absicherung gegen äußere Angriffe hat sich bis heute bewährt und ist relativ gut kontrollierbar. Jede externe Anbindung an das zentrale Netzwerk, zum Beispiel für externe Standorte oder mobile Mitarbeiter, wird in einem solchen Kontext über ein Virtual Private Network (VPN) realisiert und unter der Verwendung von Punkt-zu-Punkt-Verschlüsselung gesichert. Die Kontrolle über die gesamte Infrastruktur obliegt dabei dem Unternehmen.
Bei Cloud-Services sieht dies etwas anders aus. Die gängigen Infrastructure as a Service (IaaS)-Angebote aus der Cloud, etwa bei Amazon, erlauben jeglichen Traffic aus dem Internet zu der entsprechenden IaaS-Instanz (virtuelle Server). Früher erfolgte die Absicherung auf der durch den Benutzer zu konfigurierenden Firewall des Betriebssystems in der Cloud. Das bedeutete: Ein potentieller Angreifer konnte per se schon einmal bis auf die Betriebssystemebene gelangen, da keine dedizierten Sicherheitsappliances wie Firewalls vorgeschaltet waren. Inzwischen bietet Amazon auch konfigurierbare Firewalls vor der Betriebssystemebene an. Hier hat sich die Sicherheitslage also schon gebessert. Sicherer ist es dennoch, auch hier über eine VPN-Verbindung den Zugang zu schützen. Anstelle eines Endpunktes an einer dedizierten Firewall ist es besser, die entsprechenden VPN-Server direkt auf dem Gastbetriebssystem in der Cloud zu installieren und zu konfigurieren. Ein minimalistischer Weg, dies bei Amazons EC2 zu realisieren, ist die Verwendung eines PPTP Servers. Alternativ ist OpenSSL möglich. Als Einstiegsinstanz in den virtuellen Rechnerpark kann eine kostengünstige Micro Instanz dienen. Das Problem der wechselnden public IPs des Endpunktes umgeht man dann zum Beispiel mit DynDNS. Optimalerweise stellt man dann auch sicher, dass nicht nur der Transportweg gesichert ist, sondern eine echte End-To-End Sicherheit gewährleistet ist. Eine solche kann zum Beispiel durch die Verwendung von Mechanismen aus dem XML Security Framework von W3C zur Verschlüsselung der Payload erreicht werden.
Alternativen gibt es natürlich auch hier, zum Beispiel das Virtual Privat Cloud-Angebot, welches einen Hardware VPN Endpunkt beinhaltet. Dieses kann jedoch relativ schnell den eigentlichen Kostenvorteil der Cloud eliminieren. Denn neben der erhöhten Preise einer Virtual Privat Cloud berechnet Amazon beispielsweise jede Stunde der Verwendung eines Hardware VPN Endpunktes extra.
Be the first to comment