Cloud Computing ist ein Hype-Thema. Es bestehen wenig Zweifel daran, dass dieses Thema die IT der kommenden Jahre entscheidend prägen wird. Wie bei jedem Hype wird der Weg zur Realität aber steinig werden, weil noch viele Fragen offen sind – nicht zuletzt bei der Sicherheit. Hier gibt es sowohl Chancen als auch Risiken.

Die Chancen liegen einerseits in einfach nutzbaren und professionellen Sicherheitsdiensten, die in der „Cloud“ angeboten werden, also über das Internet nutzbar sind, zum anderen aber auch in einer stärkeren Standardisierung rund um die Sicherheit, die für die Cloud unverzichtbar ist. Es gibt aber auch erhebliche Risiken, sowohl bezüglich der von Providern erbrachten Servicequalität als auch vielen heute noch sehr unreifen Diensten in den Bereichen Sicherheit, Identity und Access Management (IAM) und GRC (Governance, Risk Management Compliance).

Cloud Computing heute und in Zukunft

Wenn heute über Cloud Computing gesprochen wird, geht es in vielen Fällen eigentlich nur um einen anderen Begriff für schon längst etablierte Konzepte wie das Outsourcing, Managed Services und Software as a Service. Cloud-Strategien müssen aber über eine taktisch geprägte Entscheidung darüber, ob einzelne IT-Services von externen Providern bezogen oder intern erbracht werden, hinausgehen.

Die Zielsetzung muss sein, dass IT-Services flexibel – entsprechend definierter Rahmenbedingungen wie beispielsweise Sicherheitsanforderungen – von beliebiger Stelle, seien es interne oder externe Provider, erbracht werden können und dass auch ein flexibler Wechsel zwischen Dienstleistern möglich ist. Man bekommt sozusagen immer mehr IT-Dienste „aus der Steckdose“. Statt beispielsweise den verfügbaren Speicherplatz durch zusätzliche eigene Hardware zu erweitern, bezieht man ihn aus der Cloud. Statt eMail-Server selbst zu betreiben, nutzt man – wie ja heute schon in vielen Bereichen – Dienste in der Cloud. Das erfordert eine konsequente Service-Orientierung der IT auf allen Ebenen, von der Anwendungsentwicklung bis hin zur Beschreibung der IT-Infrastruktur- und –Anwendungsdienste, um den Schritt von einer taktischen Outsourcing-Entscheidung hin zu einem strategischen Bezug von IT-Diensten von unterschiedlichen Anbietern zu machen.

In einem solchen Szenario wird noch deutlicher, von welch zentraler Bedeutung es ist, die Herausforderungen der Sicherheit, des Identitäts- und Zugriffsmanagements und der Governance für die Cloud zu lösen. Zugriffe auf Cloud Services müssen über viele Provider hinweg gelöst werden können, Datenschutzbestimmungen müssen gesichert eingehalten werden und es muss Mechanismen geben, mit denen sich der Status der Services jederzeit nachvollziehen und die Einhaltung der definierten IT-Controls, also der Anforderungen an IT-Dienste, überprüfen lässt.

Risiko Provider

Eine der offensichtlichen Herausforderungen ist die Auswahl von Providern. Bei vielen Diensten, die man aus der Cloud beziehen kann, werden bei den Providern sicherheitssensitive Daten gelagert, oftmals auch personenbezogene Daten. Damit stellt sich die Frage, ob die Provider überhaupt in der Lage sind, die hier bestehenden Anforderungen zu erfüllen. Bei einer Analyse von vier Backup-Providern durch den Autor [http://www.swissitmagazine.ch/internet/online-services/articles/165255/] hat vor kurzem beispielsweise nur einer klar definierte SLAs (Service Level Agreements) geliefert. Solche SLAs sind aber eine wesentliche Voraussetzung für die Nutzung von Cloud Services, da sie die zu erbringenden Leistungen detailliert beschreiben und damit die Voraussetzung sowohl für schnelle Auswahlentscheidungen sind als auch für die Messbarkeit der Leistungserbringung durch den Dienstanbieter.

Bei Entscheidungen für einen Cloud-Anbieter sind auch die oftmals recht unklaren rechtlichen Aspekte zu beachten. Spätestens dann, wenn sensitive Informationen außerhalb der EU gespeichert werden, wird es aber problematisch. Hier widersprechen sich beispielsweise amerikanische und europäische Regularien zum Datenschutz bei eMails – daher spielt der Speicherort hier eine wichtige Rolle.

Bei der Auswahl von Providern gilt es, klare Kriterien zu verwenden, an denen diese gemessen werden. Der Ort der Leistungserbringung spielt dabei ebenso eine Rolle wie definierte SLAs, an denen sich die Leistungserbringung messen lässt. Nur so lässt sich sicherstellen, dass der Provider nicht zum Sicherheitsrisiko wird.

Denn wie will man das Risiko eines Dienstes bewerten, wenn man nicht weiß, wo die Informationen liegen? Will man Konstruktionspläne wirklich auf einem Server in China liegen haben? Bei manchen Dienstleistern ist klar, wo die Server stehen. Aber auch hier muss man sich absichern. Denn wenn ein Cloud-Provider sein Rechenzentrum in Deutschland stehen hat, für die Abdeckung von Lastspitzen aber beispielsweise Storage-Leistungen anderer Cloud-Provider zukauft, dann liegen die Daten vielleicht doch auf einmal an einem ganz anderen Ort.

Interessant ist, dass die Frage danach, auf welcher technischen Plattform ein Provider seine Leistungen erbringt, dabei in den Hintergrund rückt. Letztlich muss er nur definierte Leistungen liefern – in welcher Form auch immer. Dass dabei allerdings Linux-Derivate die Wahl bei sehr vielen Cloud Service-Providern sind, überrascht nicht.

Risiko Identity und Access Management

Spätestens wenn man sich für einen Cloud Service und einen Provider entschieden hat, steht man vor der nächsten Herausforderung: Wie verwaltet man die Benutzer, die diesen Dienst nutzen dürfen und wie verwaltet man deren Zugriffsberechtigungen? Sehr viel Cloud Services bieten hier keine offenen Schnittstellen, sondern müssen über die eigenen, proprietären Web-Schnittstellen verwaltet werden. Man muss also Benutzer dort lokal anlegen. Das wird spätestens bei der Nutzung einer größeren Zahl an Services zum administrativen Problem, weil der Aufwand steigt. Außerdem kann man nicht einfach die vorhandenen Benutzer aus dem internen Netzwerk synchronisieren.

Eigentlich sollte das bereits ein Kriterium bei der Auswahl sein, so dass Cloud Services ohne entsprechende Standard-Unterstützung überhaupt nicht gewählt werden, weil eben ein entscheidendes Feature fehlt – noch aber sind sowohl die meisten Anbieter als auch die meisten Nutzer von Cloud Services noch nicht so weit. Man muss also zur Zeit oft noch in Kauf nehmen, dass man beispielsweise bei einem Backup-Dienst die Administratoren und Operatoren lokal für diesen einen Service einrichtet.

Immerhin zeichnet sich im Bereich der Authentifizierung ein Silberstreif am Horizont ab. SAML (Security Assertion Markup Language, http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security) als der zentrale Standard der Identity Federation wird von einer wachsenden Zahl von Service-Providern für die Cloud unterstützt. SAML ist ein Standard, mit dem man die Authentifizierung von der Autorisierung trennen kann. Ein Benutzer kann damit im eigenen Unternehmen authentifiziert werden. Eine Federation-Software erzeugt SAML-Tokens, die dann über das Internet an den Cloud-Provider gesendet werden. Diese bestätigen die erfolgreiche Authentifizierung und liefern gegebenenfalls weitere Informationen zum Benutzer. Der Cloud Service und dessen Federation-Komponenten vertrauen dem authentifizierenden System und betrachten den Benutzer als authentifiziert. Sie können nun den Benutzer für Zugriffe autorisieren. Einige interessante Open Source-Implementierungen im Bereich der Federation finden sich beispielsweise unter http://www.sourceid.org.

Neben der wachsenden Unterstützung für SAML es gibt auch erste Cloud Services, die ein Single Sign-On bei verschiedenen anderen Cloud Services (z.B. www.myonelogin.com, auch www.symplified.com) unterstützen oder eine starke Authentifizierung (z.B. www.multifa.com) anbieten. Interessant sind dabei vor allem die Single Sign-On-Ansätze, mit denen sich Unternehmen nicht mehr um das Management der Vertrauensstellungen zu verschiedenen Cloud-Providern kümmern müssen und mit denen auch Unterschiede in den Implementierungen bei verschiedenen Providern „abgefangen“ werden, weil der Cloud Service für SSO für die korrekte Verbindung zu unterschiedlichen Providern sorgt. Man authentifiziert sich also einmal bei einem solchen Anbieter, der dann für die Authentifizierung bei den Cloud-Diensten sorgt.

Während man damit seine eigenen Benutzer verwalten und die Authentifizierung durchführen kann, sieht es beim Management der Autorisierungen noch düster aus. XACML (Extended Access Control Markup Language, http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml) ist zwar ein Standard für die Beschreibung von solchen Access Controls, reicht aber nicht aus, weil er zu technisch und auf einer zu tiefen Ebene ist. Mit XACML lassen sich Zugriffsberechtigungen beschreiben. Das erfolgt allerdings spezifisch pro Dienst – man wird XACML also anpassen müssen, wenn man Zugriffsberechtigungen für einen anderen Dienst konfigurieren will. Hier braucht es noch weitergehende Standardisierungen, mit denen Service Consumer in die Lage versetzt werden, die Berechtigungen bei unterschiedlichen Cloud Services in standardisierter Weise zu steuern – auch über verschiedene Cloud Services hinweg.

Das bedeutet in der Konsequenz, dass man mit Standards wie SAML zwar erreichen kann, dass sich die Anwender für mehrere Cloud Services nur einmal authentifizieren müssen. Was genau die Benutzer in unterschiedlichen Cloud Services machen dürfen, muss aber weiterhin dort über die jeweiligen Schnittstellen konfiguriert werden.

Risiko Cloud Governance

Eine übergreifende Betrachtung von Cloud Services liegt dabei ohnehin noch im Argen. Eine Cloud Governance, also Ansätze, die eine korrekte, nachvollziehbare Nutzung von Cloud Services sicherstellen, fehlen heute fast völlig. ITIL und generell Ansätze für das IT Service Management bieten einen Ansatzpunkt. Aber auch hier gilt, dass noch viel Arbeit zu leisten ist. Letztlich ist eine Cloud Governance aber unverzichtbar, wenn man flexibel IT-Dienste von unterschiedlichen Providern beziehen möchte.

Chance Cloud Security/IAM/Governance Services

Immerhin gibt es aber erste Entwicklungen auch mit Diensten, die man im weiteren Sinne der Cloud Security zuordnen kann. Da sind zum einen die Provider von IAM-orientierten (Identity and Access Management) Diensten. MyOneLogin bietet beispielsweise einen Single Sign-On-Dienst, Multifactor Corporation eine starke Authentifizierung als Cloud-Dienst. Und Fischer International unterstützt das Provisioning als externalisierten Dienst, kann also Änderungen in internen Verzeichnisdiensten zentral steuern und dafür sorgen, dass beispielsweise neue Benutzer in LDAP-Verzeichnissen, dem Active Directory und anderen Systemen angelegt oder gelöscht werden, ohne dass die Unternehmen eine eigene Infrastruktur für das Identity Provisioning aufbauen oder betreiben.

In allen Fällen spielt das verwendete Betriebssystem dabei keine Rolle, weil die Dienste ja nicht selbst betrieben werden müssen. Das zeigt, dass sich die Frage nach dem „richtigen“ Betriebssystem in der Cloud verschieben wird – sie ist vor allem für Cloud-Provider von Bedeutung, für den Nutzer geht es dagegen nur darum, dass ein Dienst in der definierten Qualität bereitgestellt wird.

Auch im Bereich der klassischen Sicherheitsanbieter finden sich zunehmend mehr Angebote, die man als Cloud Services bezeichnen kann. Schon längst etabliert sind die Bereiche des Virenscanner und des Patch-Managements, wobei gerade letztere ja auch im Linux-Bereich in Form von Updates etabliert sind. Inzwischen gibt es aber auch weitergehende Angebote beispielsweise für das Management der Sicherheit von Endgeräten – allerdings noch überwiegend mit Fokus auf Windows-Clients. MacOS X gewinnt hier auch an Bedeutung und einige Anbieter unterstützen zumindest mit Teilfunktionen auch Linux-Plattformen.

Dieser Bereich wird aber in den kommenden Jahren mit Sicherheit stark wachsen, weil sich viele Funktionen sinnvoll aus der Cloud erbringen lassen. So sind viele kleine und mittlere Unternehmen mit einem umfassenden Management der Sicherheit ihrer IT auch heute überfordert und würden von einem qualitativ hochwertigen Angebot profitieren. Hier bietet sich ein Potenzial für alle Systemplattformen, gerade auch für Linux mit seinen guten Möglichkeiten für ein Remote-Management. Während Managed Services im Bereich Security heute meist sehr spezifisch für einzelne größere Kunden erbracht werden, wird das in Zukunft immer mehr zu einem Markt werden, bei dem Anbieter eine Vielzahl von Kunden mit Konfigurations- und Sicherheitsmanagement unterstützen werden.

Chance Standardisierung

Ebenfalls positiv wird sich auch, wie oben bereits angesprochen, die Standardisierung auswirken. Die neuen Anforderungen für ein umfassendes Cloud Computing werden zwangsläufig zur Schaffung neuer und zur Etablierung von bereits vorhandenen Standards wie APS (Application Packaging Standard) führen. Dieser wird von Parallels getrieben. Die Idee ist ein einheitliches Packaging von Web-Anwendungen auf verschiedenen Plattformen, so dass diese einfach an andere Provider übergeben werden können.

Das Format wird inzwischen von einer beachtlichen Zahl von Anwendungen unterstützt, angefangen von WordPress. Die Idee, Anwendungen einfacher zwischen verschiedenen Cloud-Plattformen portierbar zu machen, zeigt eine wichtige Entwicklungsrichtung auf.

Entsprechend werden auch offene Plattformen für die Entwicklungen von Anwendungen in der Cloud potenziell deutlich mehr Erfolg haben als geschlossene Angebote. Denn das Ziel ist, dass man eben einfach von einem Provider zum nächsten wechseln kann – was bei Angeboten auf einer tiefen Ebene wie der Amazon-Cloud der Fall ist, wo man letztlich auf der Ebene virtueller Maschinen arbeitet, was dagegen bei manchen Plattformen für die Entwicklung von Anwendungen in der Cloud wie denen von Google oder Salesforce.com derzeit nicht der Fall ist.

Chance Provider

Schließlich sind die Provider natürlich nicht nur ein Risiko, sondern auch eine Chance unter dem Aspekt der Sicherheit. Denn in vielen Fällen kann ein Provider einfach ein höheres Sicherheitsniveau bieten, das sich gerade kleine und mittlere Unternehmen gar nicht leisten können. Nur: Man sollte sich darauf eben nicht blind verlassen, sondern auf klare SLAs pochen, in denen dieses erhöhte Sicherheitsniveau auch festgeschrieben ist.

Cloud Computing ist aus der Perspektive der Sicherheit ein spannendes, aber auch ein komplexes Thema, bei dem es heute noch sehr viele offene Baustellen gibt. Es ist aber zwangsläufig, dass diese Themen adressiert werden – und es gibt heute auch schon viele Entwicklungen, die in diese Richtung laufen. Im Ergebnis wird das dazu führen, dass man nicht nur durch zusätzliche Cloud Services für Sicherheit, IAM und GRC, sondern auch durch konsistente Service-Konzepte und neue Standards auch für die interne IT ein höheres Maß an Sicherheit und Zuverlässigkeit wird erreichen können.

Línux und Cloud-Sicherheit

Deutlich wird bei der Diskussion der Sicherheit in der Cloud, dass das Betriebssystem zunächst eine eher untergeordnete Rolle spielt. Denn die meisten Services, die man aus der Cloud beziehen kann, sind sozusagen betriebssystem-agnostisch. Für Cloud Service Provider wird sich natürlich immer die Frage stellen, wie sie ihren Service möglichst effizient und mit dem geforderten Sicherheitsniveau erbringen können. Aber für den Nutzer von Cloud Services spielt das vom Provider verwendete Betriebssystem zunächst keine Rolle – er muss sich darüber ja keine Gedanken mehr machen.

Die Standardisierung in der Cloud erfolgt auf einer höheren Ebene. Es geht darum, dass man IT-Dienste flexibel nutzen kann, gleich wo sie laufen. Das bedeutet in der Konsequenz auch für die interne IT, dass man diese auf eine möglichst große Flexibilität ausrichten muss – nicht das Betriebssystem, sondern der gelieferte IT-Service steht im Mittelpunkt.