Governance in der Cloud

Kann man der Cloud vertrauen? Ich ertappe mich selbst dabei, dass ich zwar die Vorzüge der Cloud in Bezug auf Verfügbarkeit und Komfort sehr schätze, aber dann doch Zweifel habe.

Ein Beispiel: Prüfungen und Zertifikate bei der APMG, dem globalen Trainingspartner von Axelos (ITIL, Prince 2 etc.), sind heute alle online verfügbar, das heisst alle meine Zertifikate sind da online hinterlegt und jederzeit von überall her abrufbar. Das ist sehr bequem, aber trotzdem lade ich alle meine Zertifikate herunter und speichere sie lokal. Vor allem jetzt, da die Trainingspartnerschaft der Axelos von APMG zu Peoplecert wechselt, stellt sich die Frage: Was geschieht mit meinen Zertifikaten?

Ein zweites Beispiel für die Unsicherheit bezüglich der Cloud höre ich immer wieder in Kundengesprächen: Wir können nicht in die Cloud, weil dann die NSA unsere Daten lesen wird!

Für beide Beispiele kann die Frage nach der Vertraulichkeit und Sicherheit der Daten in der Cloud nicht einfach mit ja oder nein beantwortet werden. Cloud Governance ist keine Frage von Schwarz und Weiss, sondern vielmehr vom informierten Umgang mit Grautönen.

Denn bei beiden Beispielen kann man die Meinungen und Vorurteile gegenüber der Cloud einfach widerlegen:

• Sind die Zertifikate auf meiner lokalen Disk wirklich sicherer gelagert als in der APMG-Cloud?
• Können meine Daten in einer Schweizer Cloud wirklich nicht von der NSA oder irgendwelchen Hackern gelesen werden?
• Ist meine On-premise-Datenhaltung mit lokalen Security Tools und wenigen, lokalen IT-Security-Mitarbeitern wirklich sicherer als bei einem professionellen Cloud-Anbieter mit Top-Security-Spezialisten?

Tatsache ist, dass sich in den nächsten Jahren niemand komplett vor öffentlichen Clouds wird verschliessen können – die Vorteile bei Funktion, Flexibilität und Kosten sind einfach zu starke Argumente.

In einem eben veröffentlichten Bericht sagt die Gartner Group voraus, dass bis 2020 90% aller Organisationen weltweit hybride Cloud-Umgebungen haben werden (www.gartner.com/newsroom).

Es geht also nicht mehr darum, ob wir in die Cloud gehen, sondern nur noch wann und vor allem wie. Dazu müssen wir eine der Organisation angepasste Cloud-Strategie und vor allem eine Cloud Governance entwickeln. Wir müssen Wege finden, um unsere eigenen Fähigkeiten, unseren Risiko-Appetit und unsere Kontrollmöglichkeiten verstehen und messen zu können und dies in Anforderungen an unseren Cloud-Partner umsetzen zu können.

Zunächst müssen wir uns bewusst sein, dass Verantwortung für die Sicherheit in der Cloud immer eine geteilte ist. Nachfolgende Grafik¹ zeigt den Verlauf der ‹Trust-Boundary› über die drei Cloud-Service-Modelle IaaS (Infrastructure as a Service), PaaS (Platform as a Service) und SaaS (Software as a Service).

Die Grafik zeigt, wer wofür verantwortlich ist und was getan werden kann, um das gegenseitige Vertrauen zu stärken. Wir sehen also, dass beim Servicemodell ‹PaaS› die Verantwortung für Middleware (inkl. OS) beim Provider liegt, während wir für die Anwendung zuständig bleiben. Wir können unsere Anwendung mit Best Practices und Zertifizierungen absichern, während wir in der Lage sein müssen, den Provider bezüglich seiner Praxis zu evaluieren und Zertifizierungen zu verlangen und zu überprüfen.

Die Cloud Governance muss auf einem solchen Modell beruhen. Der Cloud-Provider belegt seine Compliance mit unabhängigen Zertifikaten wie z.B. ISO 27000 und die Benutzerorganisation ist sich über die verbliebene Verantwortung bewusst und stellt die entsprechende Governance sicher.

Cloud-Provider nehmen ihre Pflichten sehr ernst, wie nachfolgende Grafik² am Beispiel von Amazon Web Services zeigt:

Dazu bieten sich eine Reihe von Tools und Best Practices an, die ich im Folgenden kurz vorstellen möchte.

COBIT

ISACA, die Inhaberin von COBIT 5, hat 2014 ‹Controls and Assurance in the Cloud using Cobit 5› publiziert. Es beschreibt, wie man Verfahren aus den Rahmenwerken COBIT 5 und RiskIT für die Governance der Cloud anwenden kann. Damit haben wir eine robuste Vorlage, wie wir uns selbst optimal für die Benützung der Cloud aufstellen müssen.

Auf der anderen Seite gibt es die beiden Vereinigungen CSA (Cloud Security Alliance) und EuroCloud StarAudit, die uns Werkzeuge an die Hand geben, um Cloud-Anbieter zu prüfen. Die CSA ist weitverbreitet, aber stark USA-orientiert.

CSA

Die CSA bietet zwei Tools an, mit denen wir Cloud-Anbieter überprüfen können: Die Cloud Controls Matrix³ beschreibt 15 Bereiche, die geprüft werden können. Für die eigentliche Prüfung liefert sie einen Fragebogen mit zu folgenden Punkten:

1. Application & Interface Security
2. Audit Assurance & Compliance
3. Business Continuity Management & Operational Resilience
4. Change Control & Configuration Management
5. Data Security & Information Lifecycle Management
6. Datacenter Security
7. Encryption & Key Management
8. Governance and Risk Management
9. Human Resources
10. Identity & Access Management
11. Infrastructure & Virtualization Security
12. Interoperability & Portability
13. Mobile Security
14. Supply Chain Management, Transparency, and Accountability
15. Threat and Vulnerability Management

Dabei wird das Rad bezüglich Controls nicht neu erfunden, sondern man stützt sich auf bewährte Verfahren von AICPA (American Institute of Certified Public Auditors), COBIT und ISO.

EuroCloud StarAudit

EuroCloud StarAudit⁴ verfolgt ähnliche Ziele, allerdings mit Fokus auf das europäische Umfeld. StarAudit stellt ebenfalls Tools, Checklisten und Ausbildungen zur Verfügung. Die Prüfung des Cloud-Providers erfolgt in sechs Bereichen:

1. Cloud Service Provider Profile
2. Contract and Compliance
3. Data Security and Data Privacy
4. Operation DC Infrastructure
5. Cloud Servcie Operational Process
6. Application IaaS, PaaS, SaaS

Cloud Services sind eine Frage des Vertrauens, das durch geeignete Kontrollmassnahmen und unabhängige Prüfungen gefördert und abgesichert werden kann. Mit den sich entwickelnden Best Practices für die Cloud Governance wird die Entscheidung für die Cloud und die richtige Auswahl des Partners erleichtert. In unserer hochvernetzten Welt wird es hundertprozentige Sicherheit nicht mehr geben, wie viele Beispiele aus der jüngsten Vergangenheit zeigen. Umso wichtiger wird es, dass wir uns dank Best Practices, Ausbildung und externer Beratung befähigen, informierte und organisationsgerechte Entscheidungen zu treffen.

Quellen

¹ Auszug aus dem Digicomp Kurs Cloud Computing Foundation
² aws.amazon.com, siehe dazu auch: AWS Withepaper Risk & Compliance
³ cloudsecurityalliance.org: cloud controls matrix
⁴ staraudit.org