Governance in der Cloud
Kann man der Cloud vertrauen? Cloud Governance ist keine Frage von Schwarz und Weiss, sondern vielmehr vom informierten Umgang mit Grautönen.
Kann man der Cloud vertrauen? Ich ertappe mich selbst dabei, dass ich zwar die Vorzüge der Cloud in Bezug auf Verfügbarkeit und Komfort sehr schätze, aber dann doch Zweifel habe.
Ein Beispiel: Prüfungen und Zertifikate bei der APMG, dem globalen Trainingspartner von Axelos (ITIL, Prince 2 etc.), sind heute alle online verfügbar, das heisst alle meine Zertifikate sind da online hinterlegt und jederzeit von überall her abrufbar. Das ist sehr bequem, aber trotzdem lade ich alle meine Zertifikate herunter und speichere sie lokal. Vor allem jetzt, da die Trainingspartnerschaft der Axelos von APMG zu Peoplecert wechselt, stellt sich die Frage: Was geschieht mit meinen Zertifikaten?
Ein zweites Beispiel für die Unsicherheit bezüglich der Cloud höre ich immer wieder in Kundengesprächen: Wir können nicht in die Cloud, weil dann die NSA unsere Daten lesen wird!
Für beide Beispiele kann die Frage nach der Vertraulichkeit und Sicherheit der Daten in der Cloud nicht einfach mit ja oder nein beantwortet werden. Cloud Governance ist keine Frage von Schwarz und Weiss, sondern vielmehr vom informierten Umgang mit Grautönen.
Denn bei beiden Beispielen kann man die Meinungen und Vorurteile gegenüber der Cloud einfach widerlegen:
- Sind die Zertifikate auf meiner lokalen Disk wirklich sicherer gelagert als in der APMG-Cloud?
- Können meine Daten in einer Schweizer Cloud wirklich nicht von der NSA oder irgendwelchen Hackern gelesen werden?
- Ist meine On-premise-Datenhaltung mit lokalen Security Tools und wenigen, lokalen IT-Security-Mitarbeitern wirklich sicherer als bei einem professionellen Cloud-Anbieter mit Top-Security-Spezialisten?
Tatsache ist, dass sich in den nächsten Jahren niemand komplett vor öffentlichen Clouds wird verschliessen können – die Vorteile bei Funktion, Flexibilität und Kosten sind einfach zu starke Argumente.
In einem eben veröffentlichten Bericht sagt die Gartner Group voraus, dass bis 2020 90% aller Organisationen weltweit hybride Cloud-Umgebungen haben werden (www.gartner.com/newsroom).
Es geht also nicht mehr darum, ob wir in die Cloud gehen, sondern nur noch wann und vor allem wie. Dazu müssen wir eine der Organisation angepasste Cloud-Strategie und vor allem eine Cloud Governance entwickeln. Wir müssen Wege finden, um unsere eigenen Fähigkeiten, unseren Risiko-Appetit und unsere Kontrollmöglichkeiten verstehen und messen zu können und dies in Anforderungen an unseren Cloud-Partner umsetzen zu können.
Zunächst müssen wir uns bewusst sein, dass Verantwortung für die Sicherheit in der Cloud immer eine geteilte ist. Nachfolgende Grafik1 zeigt den Verlauf der ‹Trust-Boundary› über die drei Cloud-Service-Modelle IaaS (Infrastructure as a Service), PaaS (Platform as a Service) und SaaS (Software as a Service).
Die Grafik zeigt, wer wofür verantwortlich ist und was getan werden kann, um das gegenseitige Vertrauen zu stärken. Wir sehen also, dass beim Servicemodell ‹PaaS› die Verantwortung für Middleware (inkl. OS) beim Provider liegt, während wir für die Anwendung zuständig bleiben. Wir können unsere Anwendung mit Best Practices und Zertifizierungen absichern, während wir in der Lage sein müssen, den Provider bezüglich seiner Praxis zu evaluieren und Zertifizierungen zu verlangen und zu überprüfen.
Die Cloud Governance muss auf einem solchen Modell beruhen. Der Cloud-Provider belegt seine Compliance mit unabhängigen Zertifikaten wie z.B. ISO 27000 und die Benutzerorganisation ist sich über die verbliebene Verantwortung bewusst und stellt die entsprechende Governance sicher.
Cloud-Provider nehmen ihre Pflichten sehr ernst, wie nachfolgende Grafik2 am Beispiel von Amazon Web Services zeigt:
Dazu bieten sich eine Reihe von Tools und Best Practices an, die ich im Folgenden kurz vorstellen möchte.
COBIT
ISACA, die Inhaberin von COBIT 5, hat 2014 ‹Controls and Assurance in the Cloud using Cobit 5› publiziert. Es beschreibt, wie man Verfahren aus den Rahmenwerken COBIT 5 und RiskIT für die Governance der Cloud anwenden kann. Damit haben wir eine robuste Vorlage, wie wir uns selbst optimal für die Benützung der Cloud aufstellen müssen.
Auf der anderen Seite gibt es die beiden Vereinigungen CSA (Cloud Security Alliance) und EuroCloud StarAudit, die uns Werkzeuge an die Hand geben, um Cloud-Anbieter zu prüfen. Die CSA ist weitverbreitet, aber stark USA-orientiert.
CSA
Die CSA bietet zwei Tools an, mit denen wir Cloud-Anbieter überprüfen können: Die Cloud Controls Matrix3 beschreibt 15 Bereiche, die geprüft werden können. Für die eigentliche Prüfung liefert sie einen Fragebogen mit zu folgenden Punkten:
- Application & Interface Security
- Audit Assurance & Compliance
- Business Continuity Management & Operational Resilience
- Change Control & Configuration Management
- Data Security & Information Lifecycle Management
- Datacenter Security
- Encryption & Key Management
- Governance and Risk Management
- Human Resources
- Identity & Access Management
- Infrastructure & Virtualization Security
- Interoperability & Portability
- Mobile Security
- Supply Chain Management, Transparency, and Accountability
- Threat and Vulnerability Management
Dabei wird das Rad bezüglich Controls nicht neu erfunden, sondern man stützt sich auf bewährte Verfahren von AICPA (American Institute of Certified Public Auditors), COBIT und ISO.
EuroCloud StarAudit
EuroCloud StarAudit4 verfolgt ähnliche Ziele, allerdings mit Fokus auf das europäische Umfeld. StarAudit stellt ebenfalls Tools, Checklisten und Ausbildungen zur Verfügung. Die Prüfung des Cloud-Providers erfolgt in sechs Bereichen:
- Cloud Service Provider Profile
- Contract and Compliance
- Data Security and Data Privacy
- Operation DC Infrastructure
- Cloud Servcie Operational Process
- Application IaaS, PaaS, SaaS
Cloud Services sind eine Frage des Vertrauens, das durch geeignete Kontrollmassnahmen und unabhängige Prüfungen gefördert und abgesichert werden kann. Mit den sich entwickelnden Best Practices für die Cloud Governance wird die Entscheidung für die Cloud und die richtige Auswahl des Partners erleichtert. In unserer hochvernetzten Welt wird es hundertprozentige Sicherheit nicht mehr geben, wie viele Beispiele aus der jüngsten Vergangenheit zeigen. Umso wichtiger wird es, dass wir uns dank Best Practices, Ausbildung und externer Beratung befähigen, informierte und organisationsgerechte Entscheidungen zu treffen.
Quellen
1 Auszug aus dem Digicomp Kurs Cloud Computing Foundation
2 aws.amazon.com, siehe dazu auch: AWS Withepaper Risk & Compliance
3 cloudsecurityalliance.org: cloud controls matrix
4 staraudit.org