Überwachung der Cloud-Administration

Cloud-Kontrolle: Die Blackbox für die Wolke

| Autor / Redakteur: Oliver Schonschek / Florian Karlstetter

Nichts gegen Admins, aber die Kontrolle des Cloud-Kontrolleurs sollte auch nicht fehlen.
Nichts gegen Admins, aber die Kontrolle des Cloud-Kontrolleurs sollte auch nicht fehlen. (© olly - Fotolia.com)

Cloud-Nutzung entbindet nicht von Verantwortung: Viele Unternehmen versuchen, die Kontrolle über ihre Cloud-Services zu erlangen. Dabei wird meist vergessen, dass auch der Kontrolleur selbst, der Cloud-Administrator überwacht werden muss.

Cloud Computing hat zahlreiche Vorteile, der Wegfall von Verantwortung für den Datenschutz gehört nicht dazu: Anwender von Cloud-Diensten bleiben für ihre Daten verantwortlich und müssen deshalb Wege finden, die von ihnen genutzten Cloud-Services hinsichtlich der Sicherheit der personenbezogenen Daten zu überwachen, so die Aufsichtsbehörden für den Datenschutz (PDF). Der Auswertung der Cloud-Protokolldaten kommt dabei eine wichtige Rolle zu.

Cloud-Logging alleine reicht nicht

Zahlreiche Lösungen bieten inzwischen ein Log-Management für die Sammlung, Speicherung und Analyse der Cloud-Protokolle an. Neben den Cloud-Monitoring-Lösungen der Cloud-Provider gibt es Lösungen, die die Cloud-Anwenderunternehmen selbst betreiben können, um möglichst unabhängig vom Cloud-Anbieter einen Nachweis des aktuellen Cloud-Sicherheitsstatus zu erhalten. Das Ziel dabei ist es, die Sicherheitsmaßnahmen des Cloud-Providers zu kontrollieren. Diese Aufgabe übernimmt in der Regel der eigene Cloud-Administrator. Sein Cloud-Logging jedoch hat eine Schwachstelle, den Administrator selbst.

Kontrolle des Cloud-Kontrolleurs darf nicht fehlen

Während der interne Administrator die Aktivitäten des Cloud-Providers kontrolliert, fehlt in vielen Fällen noch die nächste Stufe der Überwachung. Dies ist kein Problem, das nur bei der Cloud-Nutzung auftritt, sondern häufig fehlt eine Überwachung der privilegierten Zugänge und Zugriffe auf sensible Daten. Die Forderung, auch und gerade die Administratoren zu überwachen, findet sich in vielen Compliance-Vorgaben, wie zum Beispiel PCI DSS (Payment Card Industry Data Security Standard) oder ISO 27002. Die Forderung lässt sich auch erfüllen, es gibt Möglichkeiten zur unabhängigen Kontrolle der Administratoren, auch für die Cloud.

Benötigt werden „Flugschreiber“ für die Wolke

Wie eine Blackbox, ein Flugschreiber im Flugzeug können spezielle Überwachungslösungen auch die Cloud-Administration protokollieren. Entscheidend dabei ist die Manipulationssicherheit. Selbst ein Superuser darf nicht die Chance haben, die Aufzeichnungen zu verändern. Solche Lösungen müssen unabhängig vom Administrator laufen, ausfallsicher sein und automatisch wiederanlaufen.

Die Protokolle benötigen eine vom Administrator getrennte Verschlüsselung und unabhängige digitale Signatur und Zeitstempel. Zugang zu den Aufzeichnungen der Cloud-Blackbox sollte kein einzelner Nutzer erhalten, ob Administrator oder nicht. Das Vier-Augen-Prinzip mit zwei separaten Schlüsseln zur Entschlüsselung der Loggings ist Pflicht.

Ergänzendes zum Thema
 
Der Autor
Manipulationen in Cloud-Umgebungen auf der Spur

Integritätskontrolle für Cloud-Daten

Manipulationen in Cloud-Umgebungen auf der Spur

20.03.14 - Wenn Daten ihre Beweiskraft verlieren: Neben der Vertraulichkeit und Verfügbarkeit muss auch die Integrität in Clouds geschützt werden. Wir zeigen, wie sich Veränderungen an Cloud-Daten feststellen lassen. lesen

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42591271 / Identity & Access Management)