© 2018
Herstellung und Verlag: BoD – Books on Demand GmbH, Norderstedt.
MniConsult GmbH
Uwe Irmer
Dipl. Ing. Univ.
Dipl. Wirtschaftsingenieur
ISBN: 9783746039848
„Erfolg ist, von Fehler zu Fehler zu stolpern, ohne den Verlust an Enthusiasmus“
Uwe Irmer, Juni 2018
Die Cloud Technologie scheint der Business Treiber der letzten Jahre zu sein. Entsprechend mehreren Studien suchen international Konzerne sowie kleine und mittlere Unternehmen KMU ihre Informationstechnologie in die Cloud zu verlagern.
Die Erwartungshaltungen sind hoch und kurz zusammengefasst:
Niedrige Kosten für die Nutzung der Informationstechnologie, flexible Nutzung und Fakturierung, technologisch stets auf dem aktuellsten Stand, hohe Verfügbarkeit, hohe Agilität, keine Bindung eigener Ressourcen, keine Verantwortung für Betrieb und Wartung.
Eine verlockende Idee.
Aber wie ist es mit der Einhaltung der Governance, der Verantwortung gegenüber der Information Sicherheit und dem Datenschutz? Wie wird die Cloud Technologie compliant in das Unternehmen integriert, welche Verantwortung hat das Management, wie sind Prozesse anzupassen, welche Auswirkungen entstehen für das Unternehmen, was sind die Risiken?
Und wie schützt sich das Unternehmen vor Datendiebstahl, Manipulation, Zerstörung und allenfalls Spionage?
Diese Fragen legt die Buchserie „Cloud Security“ offen und zeigt Lösungen auf.
Das vorliegende Buch „Cloud Security Grundlagen“ ist Teil 1 der Serie „Cloud Security“. In diesem werden die grundlegenden prozessoralen Massnahmen beschrieben und Ausblicke auf die technischen Massnahmen beschrieben.
Teil 2 der Serie ist das Buch „Cloud Security Best Practice“. In ihm werden Massnahmen zur prozessoralen Umsetzung und vertieft technische Massnahmen beschrieben.
Warum die Aufteilung in zwei Bücher?
Die Cloud Technologie hat Innovationszyklen von etwa 6 Wochen. In diesem Zeitraum ändern sich technologische Eigenschaften, Fähigkeiten der Services und Prozesse.
Während der eine Teil, die Governance, Compliance und Anpassung der Unternehmen Prozesse einen geringeren Innovationszyklus erfährt, ist der zweite Teil, die Technologie und die Anpassung der Prozesse, sehr agil.
Appenzell im Juni 2018
MniConsult GmbH
Uwe Irmer
Dipl. Ing. Univ.
Dipl. Wirtschaftsingenieur
| Abkürzung | Erlläuterung |
| COSO | Committee of Sponsoring Organizations of the Treadway Commission |
| CPU | Central Processing Unit |
| CRM | Customer Relationship Management |
| DNS | Domain name service |
| ERM | Enterprise Risk Management |
| GPS | Global Positioning System |
| IAM | Identity an Access Management |
| IKS | Internes Kontroll System |
| IoT | Internet of Things |
| ISMS | Information Sicherheit Management System |
| IT | Informationstechnologie |
| KI | Künstliche Intelligenz |
| KMU | Kleine und mittlere Untermehmen |
| LDAP | Lightweigt Directory Access Protocol |
| NIST | National Institute of Standards and Technology |
| SLA | Service Level Agreement |
| SMS | Short Message Service |
| SQL | Structured query language |
| SSL | Secure socket layer |
| VPN | Virtuelles privates Netzwerk |
| WAF | Web Application Firewall |
| WLAN | Wireless Local Area Network |
Abbildung 1: Cloud Technologie
Abbildung 3, Deming Zyklus
Abbildung 4, Anforderungen und Lösungen der Cloud Technologie
Abbildung 5, Aspekte zur Wahl der Cloud Architektur
Abbildung 6, Cloud Modelle und Einflussnahme
Abbildung 7, Governance- Risk- Compliance
Abbildung 8, Zyklus des Risk Managements
Abbildung 9, Risikomatrix
Abbildung 10, Verständnis des Enterprise Risk Management
Abbildung 11, Cloud Optionen
Abbildung 12, Cloud Governance
Abbildung 13, Audit Prozess
Abbildung 14, Präferenzen Cloud Architektur
Abbildung 15 , Containerisierung
Abbildung 16, Zusammenhang der Grund Cloud Architekturen
Abbildung 17, Bewertung der Cloud Architekture
Definition 1, Ressource
Definition 2, Service
Definition 3, Service Provider
Definition 4, Consumer
Definition 5, Service Level Agreement SLA
Definition 6, Cloud Technologie
Definition 7, Verfügbarkeit von Services
Definition 8, IT Governance
Definition 9, Information Sicherheit
Definition 10, Entität
Definition 11, Asset
Definition 12, Daten
Definition 13, Information
| Fussnote Nummer | Gegenstand |
| 1 | Dropbox |
| 2 | Edward Snowden |
| 3 | Salesforce |
| 4 | Docker |
| 5 | Kubernetes |
| 6 | Mesosphere |
Die Cloud Technologie übt eine schier faszinierende Magie auf Personen und Unternehmen aus, sodass der Eindruck entsteht, es müssten dringend alle Daten und Anwendungen in die Cloud verlagert werden um ja nicht den Anschluss zu verpassen. Viele Services wie Dropbox1 oder die vielen freien Webmail Angebote sind schnell auf den Smartphones, Tablets und PC installiert und sofort einsetzbar.
Den grossen Start um Unternehmen in die Cloud zu bringen vollzog Microsoft, als es mit Office 365 im Juni 2011 live ging. Gerade viele Kleine und mittlere Unternehmen KMU in der Schweiz drängten seinerzeit auf das Angebot von Office 365 und verlagerten ihre IT in die Cloud Technologie. Zu verlockend war die Tatsache, keine eigenen Server mehr betreiben zu müssen, ein Office Paket zu haben das immer aktuell ist, ein email Server, der nicht mehr gewartet werden muss und schliesslich Speicher und Dokumentenablage inklusive Backup. Endlich konnte die eigene IT Infrastruktur aus dem Unternehmen verbannt werden.
Einen Rückschlag erlitt die Euphorie im Jahr 2013, als Edward Snowden2, ein ehemaliger CIA Mitarbeiter, NSA Agent und Whistleblower, mit seinen Enthüllungen über die weltweiten Überwachungs- und Spionageaktivitäten, überwiegend der US Amerikanischen und Britischen Geheimdienste, die NSA Affäre auslöste. Damit erfuhren Privatpersonen als auch Unternehmen, dass Zugriff auf die Daten in der Cloud besteht, dass Kommunikation abgehört wird, dass emails und Telefonate mitgeschnitten werden und von den Geheimdiensten gesammelt werden. Gerade in der Schweiz war seinerzeit das Vertrauen in Cloud Services nicht mehr gegeben, sogar das Vertrauen gegenüber Unternehmen wie Microsoft.
Mittlerweile im Jahr 2018 ist unstrittig, dass Unternehmen die Cloud Technologie nutzen und in den nächsten Jahren verstärkt Services aus der Cloud nutzen werden.
Ebenso unstrittig ist aber, gerade mit den Erkenntnissen der Snowden Enthüllungen, dass die Cloud Technologie prozesstechnisch und regelkonform in das Unternehmen integriert werden muss. Gesetze und Regularien müssen eingehalten werden und das Unternehmen muss seine Schutzbedürfnisse auch in der Cloud Technologie erfüllen.
Was dies im Einzelnen bedeutet, worüber sich das Unternehmen Gedanken machen muss und welche Anpassungen nötig sind, dies wird in den nachfolgenden Kapiteln erörtert.
Das Buch startet mit einer Einführung in die Cloud Technologie. Hier werden zentrale Begriffe definiert, es wird die Cloud Technologie beschrieben, vorhandene Lösungen, Architekturen und Objekte, die in der Cloud Technologie zur Verfügung stehen. Es werden Studien analysiert, die die Bedürfnisse der Unternehmen betreffend der Cloud Technologie darstellen. Daraus ergeben sich die Anpassungen in den einzelnen Domänen eines Unternehmens, um die Cloud Technologie sicher einsetzen zu können.
Als Erstes folgt die Betrachtung der Unternehmen Governance und des Risk Management. Hier erfolgt eine Analyse, welche Anpassungen nötig sind für einen sicheren Einsatz der Cloud Technologie.
Weiter das Thema Datenschutz. Hier wird erörtert, was Datenschutz speziell für die Cloud Technologie bedeutet und was das Unternehmen umsetzen muss, um gesetzeskonform die Cloud Technologie zu nutzen.
Im Bereich Compliance und Adit Management die Beschreibung der Anpassungen an das Thema Cloud Technologie.
Schliesslich der Bereich Information Sicherheit und die Erweiterungen im Information Sicherheit Management System ISMS, die einen sicheren Einsatz der Cloud Technologie ermöglichen.
Abschliessend erfolgt eine Zusammenfassung der untersuchten Änderungen sowie eine Checkliste mit den wichtigsten Massnahmen.
Zuerst aber der Einstieg in die Cloud Technologie selbst und die Definition zentraler Begriffe, die in diesem Buch verwendet werden.
Zum gemeinsamen Verständnis der verwendeten Begriffe an dieser Stelle deren Definition.
Ressource
Eine Ressource im Zusammenhang mit der Cloud Technologie ist eine Komponente, die aus der Cloud bezogen wird und die kombinierbar ist. Beispiele für Ressourcen sind virtuelle Netzwerke, Storage oder virtuelle Server.
Definition 1, Ressource
Service
Ein Service ist die Kombination von Ressourcen die für geschäftsrelevante Prozesse benötigt werden. Ein Beispiel hierfür ist das Customer Relationship Management (CRM) System. Dieses besteht aus der Kombination von virtuellen Netzwerken, virtuellen Anwendungsservern, Datenbankservern, Benutzerauthentifizierung und vielen weiteren mehr. Das CRM System unterstützt den Geschäftsprozess Kundenbeziehungen.
Definition 2, Service
Service Provider
Ein Service Provider stellt Services für Dritte zur Verfügung. Je nach Ausprägung der Verträge übernimmt der Service Provider mit mehr oder weniger Umfang den Betrieb und die Wartung der zugehörigen Ressourcen.
Definition 3, Service Provider
Consumer
Der Consumer bezieht Services von einem Service Provider. Zum Beispiel ein Unternehmen, welches Services aus der Cloud Technologie von einem Service Provider bezieht.
Definition 4, Consumer
Service Level Agreement SLA
Dies beschreibt eine schriftliche Vereinbarung zwischen dem Service Provider und dem Consumer betreffend der Qualität und den Eigenschaften eines Service.
Definition 5, Service Level Agreement SLA
Definition Cloud Technologie
An dieser Stelle erfolgt die Definition für Cloud Technologie sowie ihre wesentlichen Eigenschaften.
Cloud Technologie ist das Modell einer Informationstechnologie, bei der Services dynamisch entsprechend dem Bedarf verändert werden können. Dabei besteht die Möglichkeit, dass die Services beliebig von einem oder mehreren Service Providern bezogen werden können und dass der Consumer die Services nach seinen Bedürfnissen kombinieren kann.
Definition 6, Cloud Technologie
Charakteristika von Cloud Technologie
Die US Amerikanische NIST (National Institute of Standards and Technology) hat in ihrem Dokument „NIST Special Publication 800-145“ [2] wesentliche Charakteristika definiert um die Cloud Technologie zu beschreiben. Entsprechend der nachfolgenden Übersicht sind dies
Abbildung 1: Cloud Technologie
On demand Self Service:
Darunter versteht sich die Fähigkeit, dass ein Consumer selbständig Services und Ressourcen aus der Cloud Technologie beziehen kann. Dies ist ein vollständig automatisierter Prozess der keinerlei personellen Eingriff seitens des Service Provider erfordert.
Dem Consumer ist es so möglich, die Services und Ressourcen aufgrund ihrer Eigenschaften beliebig zu kombinieren, es können Services erweitert und reduziert werden.
Internetzugang:
Die Services der Cloud Technologie sind über das Internet zugänglich. Dabei kommen Standard Mechanismen zum Einsatz. Als Client dienen gängige Gerätetypen wie Workstations, Tablets oder Smartphones.
Resource pooling:
Die physischen und virtuellen Ressourcen des Service Providers sind in einem Pool zusammengefasst. Die jeweiligen Services, die die Consumer vom Service Provider beziehen, werden aus dem Pool gemeinsam und gleichzeitig bezogen, in dem Ausmass in dem die Ressourcen zur Verfügungstellung der Services benötigt werden. Prinzipiell ist die Bereitstellung der physischen und virtuellen Ressourcen standortunabhängig. Daraus resultiert, dass in der Cloud Technologie weder der Service Provider noch der Consumer Kenntnis darüber haben, wo innerhalb eines Services die Daten augenblicklich gespeichert und verarbeitet werden. Je nach Service Provider können also Services Geo Global bereitgestellt werden. Allerdings ist es dem Consumer möglich, mit dem Service Provider gewisse Einschränkungen in der Geo Globalität zu vereinbaren. So zum Beispiel die Vereinbarung, dass Daten Speicherung und Verarbeitung ausschliesslich in Europa erfolgen.
Abschliessend lässt sich bemerken, dass für die Bereitstellung der Cloud Technologie zwingend der Einsatz virtueller Ressourcen gefordert ist.
Elastizität:
Die Services können elastisch an jeweilige Lastspitzen angepasst werden. Einerseits durch den Eingriff des Consumers, der die Services um weitere Ressourcen erweitert. Dies entweder durch die horizontale Elastizität. Dies meint die Bereitstellung weiterer gleichartiger Ressourcen wie zum Beispiel virtuelle Server.
Oder durch die vertikale Elastizität. Dies meint die Skalierbarkeit einer Ressource hinsichtlich der Leistung, also der Bereitstellung weiterer virtueller CPU oder von weiterem virtuellem Speicher.
Gleichermassen erfolgt auch die Reduktion von Leistung durch Verringerung der Kapazitäten.
Dabei kann nicht nur der Consumer skalieren sondern es ist auch die voll automatische Skalierbarkeit in diesem Zusammenhang vorgesehen.
Service Metriken:
Die Cloud Technologie kontrolliert und optimiert den Einsatz von Ressourcen automatisch. Dies wird durch metrische Fähigkeiten der Cloud Technologie erreicht. Beispiele für Metriken in diesem Zusammenhang sind die Storage Benutzung, die Auslastung der Rechenleistung, Netzwerk Bandbreite oder die Anzahl aktiver Anwender und Zugriffs Accounts. Zudem fördern die Service Metriken die Transparenz zum Consumer. Dies ermöglicht es sowohl dem Service Provider als auch dem Consumer jederzeit Einblick in die Auslastung der Ressourcen und der Verfügbarkeit und Performance der Services zu erhalten.
Gartner ergänzt in seiner Studie „Gartner Highlights Five Attributes of Cloud Computing“ [1] um dieses Attribut:
Service basiert:
Der Consumer stellt sich die gewünschten Services in einem Service Web Portal zusammen. In diesem sind die einzelnen Services und Ressourcen genau spezifiziert.
Interessant sind auch noch unterschiedliche Verrechnungsmodelle der Service Provider. Mittels dieser Modelle ist es dem Consumer möglich, die Kosten für die Bereitstellung bestimmter Services zu flexibilisieren. In Zeiten hohen Bedarfs an Ressourcen werden im Rahmen der Skalierbarkeit mehr Ressourcen konsumiert, in Zeiten weniger Bedarfs entsprechend weniger. Dieses Verrechnungsmodell ist schwer umsetzbar solange der Consumer auf seine eigene Rechenzentrum Infrastruktur zurückgreift. Im eigenen Rechenzentrum werden die Ressourcen vorgehalten, unabhängig davon ob diese genutzt werden oder in Reserve bereitstehen. Die Investitionen für alle Ressourcen hat das Unternehmen jedoch getätigt. Eine Kostenflexibilisierung ist nur gegenüber den internen Businesspartnern möglich.
Allerdings ergeben sich beim flexiblen Kostenmodell der Cloud Technologie neue buchhalterische Aspekte, denn im Fall flexibler Abonnements werden keine Investitionen mehr getätigt. Es besteht dann keine Möglichkeit mehr für das Unternehmen, Investitionen steuerlich als Abschreibungen geltend zu machen.