Governance in der Cloud
Die Cloud bietet Komfort und Flexibilität, wirft aber auch Fragen zu Vertrauen und Sicherheit auf. Erfahre, wie du mit klarer Cloud Governance, geprüften Standards und den richtigen Tools Transparenz schaffst und Risiken kontrollierst – statt sie einfach auszulagern.
Kannst du der Cloud vertrauen? Ich ertappe mich selbst dabei, dass ich zwar die Vorzuge der Cloud in Bezug auf Verfugbarkeit und Komfort sehr schatze, aber dann doch Zweifel habe.
Ein Beispiel: Prufungen und Zertifikate bei der APMG, dem globalen Trainingspartner von Axelos (ITIL, Prince 2 etc.), sind heute alle online verfugbar, das heisst alle meine Zertifikate sind da online hinterlegt und jederzeit von uberall her abrufbar. Das ist sehr bequem, aber trotzdem lade ich alle meine Zertifikate herunter und speichere sie lokal. Vor allem jetzt, da die Trainingspartnerschaft der Axelos von APMG zu Peoplecert wechselt, stellt sich die Frage: Was geschieht mit meinen Zertifikaten?
Ein zweites Beispiel fur die Unsicherheit bezuglich der Cloud hore ich immer wieder in Kundengesprächen: Wir konnen nicht in die Cloud, weil dann die NSA unsere Daten lesen wird!
Fur beide Beispiele kann die Frage nach der Vertraulichkeit und Sicherheit der Daten in der Cloud nicht einfach mit ja oder nein beantwortet werden. Cloud Governance ist keine Frage von Schwarz und Weiss, sondern vielmehr vom informierten Umgang mit Grautonen.
Denn bei beiden Beispielen kannst du die Meinungen und Vorurteile gegenuber der Cloud einfach widerlegen:
- Sind die Zertifikate auf meiner lokalen Disk wirklich sicherer gelagert als in der APMG-Cloud?
- Konnen meine Daten in einer Schweizer Cloud wirklich nicht von der NSA oder irgendwelchen Hackern gelesen werden?
- Ist meine On-premise-Datenhaltung mit lokalen Security Tools und wenigen, lokalen IT-Security-Mitarbeitern wirklich sicherer als bei einem professionellen Cloud-Anbieter mit Top-Security-Spezialisten?
Tatsache ist, dass sich in den nebensten Jahren niemand komplett vor offentlichen Clouds wird verschliessen konnen – die Vorteile bei Funktion, Flexibilitat und Kosten sind einfach zu starke Argumente.
In einem eben veroffentlichten Bericht sagt die Gartner Group voraus, dass bis 2020 90% aller Organisationen weltweit hybride Cloud-Umgebungen haben werden (www.gartner.com/newsroom).
Es geht also nicht mehr darum, ob wir in die Cloud gehen, sondern nur noch wann und vor allem wie. Dazu mussen wir eine der Organisation angepasste Cloud-Strategie und vor allem eine Cloud Governance entwickeln. Wir müssen Wege finden, um unsere eigenen Fahigkeiten, unseren Risiko-Appetit und unsere Kontrollmoglichkeiten verstehen und messen zu konnen und dies in Anforderungen an unseren Cloud-Partner umsetzen zu konnen.
Zunachst mussen wir uns bewusst sein, dass Verantwortung fur die Sicherheit in der Cloud immer eine geteilte ist. Nachfolgende Grafik1 zeigt den Verlauf der ‹Trust-Boundary› uber die drei Cloud-Service-Modelle IaaS (Infrastructure as a Service), PaaS (Platform as a Service) und SaaS (Software as a Service).
Die Grafik zeigt, wer wofur verantwortlich ist und was getan werden kann, um das gegenseitige Vertrauen zu starken. Wir sehen also, dass beim Servicemodell ‹PaaS› die Verantwortung fur Middleware (inkl. OS) beim Provider liegt, wahrend wir fur die Anwendung zustandig bleiben. Wir konnen unsere Anwendung mit Best Practices und Zertifizierungen absichern, wahrend wir in der Lage sein mussen, den Provider bezuglich seiner Praxis zu evaluieren und Zertifizierungen zu verlangen und zu uberprufen.
Die Cloud Governance muss auf einem solchen Modell beruhen. Der Cloud-Provider belegt seine Compliance mit unabhangigen Zertifikaten wie z.B. ISO 27000 und die Benutzerorganisation ist sich uber die verbliebene Verantwortung bewusst und stellt die entsprechende Governance sicher.
Cloud-Provider nehmen ihre Pflichten sehr ernst, wie nachfolgende Grafik2 am Beispiel von Amazon Web Services zeigt:
Dazu bieten sich eine Reihe von Tools und Best Practices an, die ich im Folgenden kurz vorstellen mochte.
COBIT
ISACA, die Inhaberin von COBIT 5, hat 2014 ‹Controls and Assurance in the Cloud using Cobit 5› publiziert. Es beschreibt, wie du Verfahren aus den Rahmenwerken COBIT 5 und RiskIT fur die Governance der Cloud anwenden kannst. Damit haben wir eine robuste Vorlage, wie wir uns selbst optimal fur die Benutzung der Cloud aufstellen mussen.
Auf der anderen Seite gibt es die beiden Vereinigungen CSA (Cloud Security Alliance) und EuroCloud StarAudit, die uns Werkzeuge an die Hand geben, um Cloud-Anbieter zu prüfen. Die CSA ist weitverbreitet, aber stark USA-orientiert.
CSA
Die CSA bietet zwei Tools an, mit denen wir Cloud-Anbieter uberprufen konnen: Die Cloud Controls Matrix3 beschreibt 15 Bereiche, die geprüft werden konnen. Fur die eigentliche Prufung liefert sie einen Fragebogen mit zu folgenden Punkten:
- Application & Interface Security
- Audit Assurance & Compliance
- Business Continuity Management & Operational Resilience
- Change Control & Configuration Management
- Data Security & Information Lifecycle Management
- Datacenter Security
- Encryption & Key Management
- Governance and Risk Management
- Human Resources
- Identity & Access Management
- Infrastructure & Virtualization Security
- Interoperability & Portability
- Mobile Security
- Supply Chain Management, Transparency, and Accountability
- Threat and Vulnerability Management
Dabei wird das Rad bezuglich Controls nicht neu erfunden, sondern man stutzt sich auf bewahrte Verfahren von AICPA (American Institute of Certified Public Auditors), COBIT und ISO.
EuroCloud StarAudit
EuroCloud StarAudit4 verfolgt ähnliche Ziele, allerdings mit Fokus auf das europäische Umfeld. StarAudit stellt ebenfalls Tools, Checklisten und Ausbildungen zur Verfügung. Die Prüfung des Cloud-Providers erfolgt in sechs Bereichen:
- Cloud Service Provider Profile
- Contract and Compliance
- Data Security and Data Privacy
- Operation DC Infrastructure
- Cloud Servcie Operational Process
- Application IaaS, PaaS, SaaS
Cloud Services sind eine Frage des Vertrauens, das durch geeignete Kontrollmassnahmen und unabhängige Prüfungen gefördert und abgesichert werden kann. Mit den sich entwickelnden Best Practices fur die Cloud Governance wird die Entscheidung fur die Cloud und die richtige Auswahl des Partners erleichtert. In unserer hochvernetzten Welt wird es hundertprozentige Sicherheit nicht mehr geben, wie viele Beispiele aus der jüngsten Vergangenheit zeigen. Umso wichtiger wird es, dass wir uns dank Best Practices, Ausbildung und externer Beratung befahigen, informierte und organisationsgerechte Entscheidungen zu treffen.