Cloud-Sicherheit der Provider

Alibaba Cloud – Sicherheit und Datenschutz

| Autor / Redakteur: Oliver Schonschek / Stephan Augsten

Alibaba wirbt aktiv mit der Compliance-Zertifizierung nach globalen und regionalen Anforderungskatalogen.
Alibaba wirbt aktiv mit der Compliance-Zertifizierung nach globalen und regionalen Anforderungskatalogen. (Bild: Alibaba Cloud)

Viele Cloud-Anwender haben eine hohe Erwartung an den Cloud-Provider, wenn es um die Datensicherheit geht. Gleichzeitig sind die tatsächlichen Sicherheitsleistungen der Provider zu wenig bekannt. Wir haben uns angesehen, was Alibaba Cloud im Bereich Sicherheit zu bieten hat. Dazu gehören auch Security-Apps, die man über den Cloud-Marktplatz beziehen kann.

Cloud-Sicherheit auf Provider-Seite

Umfragen zur Cloud-Security zeigen regelmäßig, dass es bei vielen Nutzern immer noch die falsche Vorstellung gibt, dass der Provider allein für die Sicherheit der Cloud verantwortlich ist. Das Konzept der Shared Responsibility, sprich Modell der gemeinsamen Verantwortung von Cloud-Anbieter und Cloud-Nutzer, ist noch nicht in allen Köpfen angekommen.

Trotzdem ist die Sicherheit auf Seiten des Cloud-Anbieters entscheidend: Zum einen muss er für die Sicherheit der Cloud-Infrastruktur sorgen, zum anderen stellt er in aller Regel auch Security-Funktionen und Security-Apps zur Verfügung, die dem Cloud-Anwender dabei helfen, seinen Sicherheitspflichten für die Cloud-Daten nachzukommen.

Security wird nicht nur bei den Hyperscalern großgeschrieben

Trotz aller Unklarheit über die Verantwortung für die Cloud-Sicherheit: der Schutz der Cloud-Daten ist den Anwenderunternehmen wichtig. Security bleibt deshalb eines der wichtigsten Kriterien bei der Wahl des Cloud-Providers. Entsprechend heben nicht nur Google Cloud, Amazon Web Services und Microsoft Azure ihre Sicherheitsfunktionen hervor, auch der immer noch recht neue Player Alibaba Cloud tut dies.

Alibaba Cloud ist für die Sicherheit der Infrastruktur, der physischen Geräte, des Apsara-Betriebssystems und der Cloud-Dienste/-Produkte verantwortlich und stellt den Kunden die technischen Mittel zur Verfügung, die zum Schutz ihrer Cloud-Anwendungen und -Daten erforderlich sind, so die Beschreibung der Rollenverteilung bei Alibaba Cloud.

Kunden, die Cloud-Anwendungen auf Basis von Alibaba Cloud-Diensten erstellen, sind für den Schutz ihrer eigenen Systeme verantwortlich. Dabei werden die Sicherheitsfunktionen der Alibaba Cloud-Produkte, der Alibaba Cloud Security-Dienste und die Sicherheitsprodukte von Drittanbietern des Alibaba Cloud-Sicherheitsökosystems verwendet.

Einhaltung von Compliance-Vorgaben

Die Datenschutz-Grundverordnung (DSGVO) sieht aber vor, dass man sich nicht auf die Anbieterbeschreibungen verlässt, sondern dass man hinreichend Garantien dafür verlangt, „dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.

Eine Datenschutz-Zertifizierung nach DSGVO gibt es noch nicht, entsprechend kann dies auch kein Anbieter bisher vorweisen. Alibaba Cloud verweist aber im Bereich Sicherheit auf Zertifizierungen nach ISO 27001, auf den CSA Star, den Verhaltenskodex nach ISO 27017 sowie zum Beispiel für Deutschland auf Trusted Cloud und das C5-Testat.

Letzteres bestätigt, dass Alibaba Cloud den Cloud Computing Compliance Controls Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllt. Dies ist ein wichtiger Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten

Spezielle Sicherheitsfunktionen für den Cloud-Schutz

Mit Blick auf die Security-Funktionen betont Alibaba Cloud insbesondere den Anti-DDoS-Schutz, die Web Application Firewall, das Server-Monitoring „Server Guard“ sowie den Anti-Bot-Schutz. Neue Security-Funktionen, die in den vergangenen Monaten hinzugekommen sind, sind Website Defacement Prevention als Teil des Threat Detection Service, ein erweitertes Schwachstellenmanagement und weitere Funktionen zur Abwehr von Ransomware.

Besonders zu erwähnen ist die Veröffentlichung des Cloud Security Centers, in dem Security-Funktionen zur Risikoprävention, Erkennung von Bedrohungen und Reaktion auf Vorfälle gebündelt sind. Neben diesen Funktionen stehen auch Security-Apps über den Marktplatz der Alibaba Cloud zur Verfügung.

Auf dem Marktplatz von Alibaba Cloud finden sich insbesondere: Fortinet FortiGate (Next Generation Firewall), Check Point CloudGuard, Fortinet FortiAnalyzer Security Logging and Reporting und Qualys Virtual Scanner Appliance. Allerdings wird für viele dieser Drittanbieter-Apps ein zusätzliches Entgelt erhoben.

Security als Teil anderer Cloud-Services

Wenn man sich über die Security-Leistungen eines Cloud-Anbieters einen Eindruck verschaffen will, sollte man immer auch Cloud-Services ansehen, die nicht zum Security-Portfolio gehören, aber sehr wohl sicherheitsrelevant sind oder einen speziellen Sicherheitsbedarf mit sich bringen.

Hier seien Beispiele von Alibaba Cloud genannt: Als Blockchain-Plattform-Service für Unternehmen ist Alibaba Cloud bestrebt, eine sichere und zuverlässige Blockchain-Umgebung zu schaffen, so der Anbieter. Zusätzlich zum „Twin-Engine Feature“ ermöglicht die auf dem Cloud Enterprise Network (CEN) basierende Blockchain-Technologie von Alibaba hybride Cloud- und verteilte Geschäftssysteme. Es ist auch mit Funktionen zur Abwehr von DDoS-Angriffen auf die Blockchain-Services ausgestattet.

Ein weiteres Beispiel: Alibaba Cloud bietet auch Cloud-basierte Datenbanken wie die PolarDB. Hierbei ist es aus Security-Sicht zum Beispiel wichtig, wie belastbar ein solcher Cloud-Service ist. Alibaba Cloud berichtet, dass rund 400.000 Datenbankinstanzen in die Cloud migriert wurden. Die Datenbankdienste hätten den Belastungstest des Global Shopping Festivals am 11. November der Alibaba Group überstehen müssen, bei dem es darum ging, das Spitzenverkehrsaufkommen von etwa dem 100-fachen des Tagesdurchschnitts zu bewältigen.

Es zeigt sich, dass Cloud-Anwender durchaus einiges von Cloud-Anbietern erwarten dürfen, wenn es um Sicherheit geht, allerdings müssen sie wissen, welche Funktionen angeboten werden, wer wofür verantwortlich ist und welche zusätzliche Schutzfunktionen zum Beispiel über den Marktplatz genutzt werden können, abhängig von dem jeweiligen Schutzbedarf der Cloud-Anwendung des Nutzers.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46128477 / Compliance)