Cloud-Computing: Risikobewertung für die Cloud

Die Risikotoleranz Ihres Unternehmens richtig einzuschätzen, ist ein wesentlicher Punkt vor der Einführung einer Cloud-Computing-Plattform.

Vic Winkler

Adaptiert von "Securing the Cloud," erschienenen Syngress, ein Abdruck von Elsevier (2011)

Ist es sicher, eine öffentliche Wolke verwenden? Das ist die vorherrschende Frage über Wolke computing. Die vollständige Antwort hängt aber ein klares Verständnis der Ihres Unternehmens Maß an Risiko Akzeptanz. Verstehen, wie viel Risiko Sie tolerieren können, hängt von bewerten der Anforderungen an Sicherheit und wie Sie Ihre Informationsressourcen wie Daten, Anwendungen und Prozessen Wert.

Nur dann, wenn Sie diese Probleme verstehen machen Sie eine fundierte Entscheidung über die Bereitstellung Modelle und Lieferung Betreuungsmodelle für Ihre Bedürfnisse und Risikotoleranz geeignet sind. Identifizieren Ihrer Informationsressourcen ist wichtig, bevor Sie einen öffentlichen oder Hybrid-Modell übernehmen. Entweder Wahl betreffen zumindest ein gewisses Maß an Zedenten Kontrolle über wie diese Daten geschützt werden und wo es (Ort/Gerichtsstand) befinden könnte. Es hat die Kontrolle für ein intern gehostete und intern betriebenen privaten Cloud im Vergleich zu anderen Kombinationen erhöht.

Und vergessen Sie nicht, dass die Summe Ihrer Informationenressourcen ist nicht beschränkt auf Informationen oder Daten. Ihre Anwendungen und Prozesse kann leicht als vertrauliche oder proprietäre als Ihre Informationen. In vielen Bereichen wie Intelligenz und Finanzen sind die Algorithmen oder Programme, die Sie verwenden oft proprietäre und streng vertraulichen für die Organisation. Ihre Exposition kann einen dramatischen Verlust der Organisation darstellen.

Ihre Risiken abschätzen

Beginnen Sie mit einer kurzen Risikoanalyse. Sie sollten die folgenden Fragen stellen:

• Bedrohung Kategorisierung: Was Ihre Informationsressourcen passieren kann?
• Bedrohung Auswirkungen: Wie schwer kann das sein?
• Bedrohung Frequenz: Wie oft kann das passieren?
• Unsicherheitsfaktors: Wie sicher Sie sind bei der Beantwortung dieser Fragen drei?

Die zentrale Frage mit Risiko ist Unsicherheit in Bezug auf Wahrscheinlichkeit ausgedrückt. Was Sie wirklich wollen, zu wissen, ist was zu tun ist über (Gegenmaßnahmen oder Verringerung des Risikos). Nachdem Sie analysiert und behandelt Risiken, können Sie mehrere weitere Fragen:

• Gegenmaßnahme: Was können Sie tun, um das Risiko zu verringern?
• Minderung Kosten: Was entstehen Risikominderung?
• Minderung Kosten/Nutzen: Ist die Schadensbegrenzung kosteneffektiv?

Um es um deutlich zu, sind diese drei Fragen mehr rhetorischen für eine öffentliche Wolke als für eine Private oder Hybrid-Wolke. In einer öffentlichen Cloud erhalten Sie, was Sie bezahlen. Der Cloud-Anbieter ist die Partei verantwortlich für diese drei Fragen zu beantworten. Ebenso sind diese Fragen auch weniger relevant für Software as a Service (SaaS) als bei Platform as a Service (PaaS), aber mehr relevant noch für Everything as a Service (IaaS).

Informationsressourcen und Risiko

Die zentrale Frage mit Risiko ist Unsicherheit. Anwendung dieses Faktors zu Ihrer Frage, müssen Sie Ihre Informationsressourcen in ein wenig genauer untersuchen. Identifizieren von Informationsressourcen kann schwer, vor allem mit der "erstellen-einmal, Kopie-oft" Aspekt von digitalen Inhalten.

Die typische Organisation hat selten ausreichend Kontrolle über ihre Informationen. Dies ist häufig minimal Gewissheit, dass es keine anderen Kopien des bestimmten Daten gibt. Aus der Sicht der digitale Daten, die möglicherweise der schlimmste Aspekt zu schützen. Die meisten Organisationen haben viele andere Probleme, die Verwaltung ihrer Informationsbestände, obwohl.

Wenn Sie planen, Ihre Informationsressourcen in der Wolke verschieben, müssen Sie den Prozess der kategorisieren Klassen Informationen gegen bestimmte Bits von Informationen zufrieden sein. Leider, auch hier, es ist im Allgemeinen ein Problem. Dies möglicherweise nicht so schlimm, wenn unsere Computersysteme erzwungen Informationen bezeichnen, aber sie in der Regel nicht. Beschriftung auf den meisten Computersystemen Informationen basiert auf realen Prozesse der Personen mit ein Bedürfnis zu wissen und die entsprechenden Freiraum für Informationen.

Dies ist organisatorisch kontrollierten nach dem Vorbild der Informationsklassifizierung und zusätzliche Umgang mit Einschränkungen (z. B. Projekt X Only). Die entsprechenden Steuerelemente sind in der Regel nicht ausreicht, um digitale Vervielfältigung und beabsichtigte oder unbeabsichtigte Blutungen zu verhindern.

Erinnerung an die Triade von Sicherheitsfaktoren (Vertraulichkeit, Integrität und Verfügbarkeit), können Sie eine Reihe von gezielten Fragen rund um Informationen Vermögenswerte nach dem Vorbild dessen, was wäre die Folge sein, wenn:

• Ausgesetzt die Informationsressource war?
• Geändert die Informationsressource wurde von einer externen Entität?
• Manipuliert die Informationsressource wurde?
• Wurde die Informationsressource nicht verfügbar?

Wenn diese Fragen Bedenken unannehmbares Risiko erhöhen, können Sie das allgemeine Problem Ansatz indem risikosensitive Verarbeitung an eine private Cloud (Vermeidung von der Einführung des neuen Risiko) begrenzt. Verwenden Sie die öffentliche Cloud für Risiko-sensible Daten. Annahme eine private Cloud umgehen nicht die Notwendigkeit einer angemessenen Kontrollen.

In diesem Sinne können Sie die Ergebnisse prüfen:

• Durch das Mischen Auslagerung in einer öffentlichen Cloud für nicht-sensibler Daten und interne Systeme für sensible Daten reservieren, können Sie einige Kostenvorteile gewinnen, ohne neues Risiko.
• Bei Verwendung einer privaten Wolke keine neuen Risiken für Ihre Informationsressourcen darstellen würde, könnte ein Hybrid oder öffentlichen Cloud-Modell.
• Der Wechsel von einer traditionellen es Modell für interne Verarbeitung zu einem privaten Cloud-Modell möglicherweise Risiko verringern.

Dies sind die angemessenen Anweisungen, die Annäherung an die Bedeutung der unsere Informationsressourcen in Richtung Bereitstellungsmodelle und Service-Modelle ausrichten.

Datenschutz und Vertraulichkeit Anliegen

Über diese Risiken zur Informationsbestände werden Sie Verarbeitung, Speicherung oder Übermittlung von Daten zu rechtlichen Thema hat und Compliance-Anforderungen. Wenn Daten fällt unter rechtlichen oder Einhaltung Einschränkungen, Ihre Wahl der Wolke Bereitstellung (ob private, Public oder Hybrid) Scharniere, davon überzeugt, dass der Anbieter vollständig kompatibel ist. Andernfalls riskieren Sie, Datenschutz, rechtliche oder andere gesetzlichen Vorschriften zu verletzen.

Diese Verpflichtung für die sichere Verwaltung von in der Regel Bestätigung fällt auf den Mieter oder Benutzer. Die Implikationen für die Aufrechterhaltung der Sicherheit in der Informationstechnik sind bedeutende, wenn es darum geht, Privatsphäre, Business und nationale Sicherheit.

Privatlebenverletzungen treten häufig genug im Cloud computing-Infrastrukturen für Sie über jedes System betroffen sein — Cloud-basierte oder traditionell. Dies gilt insbesondere, wenn Sie speichern, verarbeiten oder übertragen besonders sensiblen Informationen wie finanzielle oder Gesundheits-Daten.

Im Jahr 2010 gab es mehrere Wolke Privatsphäre Informationen Kredite, die mit einer Reihe von Cloud-basierter Dienste, einschließlich Facebook, Twitter Inc. ist aufgetreten und Google Inc. Also, sind Bedenken hinsichtlich der Privatsphäre mit der Cloud-Modell nicht grundlegend neu.

Als Wolke Mieter rechtliche Datenschutz Verpflichtungen ist die Art und Weise, in der Sie Informationen zum Datenschutz behandeln, nicht unterscheiden, ob Sie Wolke oder traditionellen Speicher verwenden. Wie Sie diese Informationen auf einem Server würde nicht, die angemessene Kontrollen fehlte speichern, würde nicht Sie jede Wolke Anbieter auswählen, ohne zu überprüfen, dass sie erfüllen den gleichen Benchmarks für wie schützen sie Daten im Ruhezustand, bei der Übertragung oder während es verarbeitet wird.

Das ist um nicht zu sagen, dass Ihre Politik nach vernünftigem Ermessen externen Anbieter verwalten diese Informationen für Sie, Wolke enthalten ausschließen kann. Und während eine Wahrnehmung, die der Computer auf Ihrem Schreibtisch ist sicherer als eine, die in einer öffentlichen Wolke ist es könnte, wenn Sie ungewöhnliche technische und verfahrenstechnische Sicherheitsvorkehrungen mit Ihrem desktop Computer nehmen, ist es passender, die mit der schwächeren Sicherheit sein.

Daten-Governance

Sie müssen erkennen, dass die Sicherheit vertraulicher Daten und seine Regierungsführung zwei separate Probleme sind. Als Teil der gebührender Sorgfalt, du musst verstehen, ein Anbieter Privatsphäre regieren zusammen mit ihren Sicherheitsmethoden und Leitlinien.

Persönlichen Daten unterliegt Datenschutzgesetze. Andere Klassen von geschäftlichen Informationen und alles, was mit Bezug zur nationalen Sicherheit ist sehr viel strengeren Vorschriften und Gesetze. Nationale Sicherheitsinformationen und Prozesse profitieren von einem stark und entwickelte Korpus von Gesetz, Verordnung und Leitfäden.

Obwohl die Wolke ein relativ neues Modell ist, sollte eine studierte Auseinandersetzung mit den Anleitungen ausreichend um absolut klassifizierten Informationen aus ihren Wohnsitz in einer öffentlichen Cloud zu beschränken. Der Problembereich wahrscheinlich liegt mit anderen staatlichen Funktionen, die sensible oder klassifizierte Daten verarbeiten nicht.

Es genügt zu sagen, wenn Sie die Möglichkeit für die Verwendung der öffentlichen Wolken untersuchen, gibt es viele unterschiedliche und separate Geschäftszweige vom nationalen Regierung nach lokalen Gerichtsbarkeiten. Angesichts der Größe der Regierung und die Anzahl der Ebenen und Gerichtsbarkeiten, scheint es, als ob Regierung selbst eine Reihe von gemeinschaftlichen Wolken ausschließlich zur eigenen Verwendung, damit die Vorteile und vermeidet die Probleme mit Zusammenleben in einer öffentlichen Cloud betreiben konnte.

Auf der anderen Seite, wenn Regierung ist es, eine öffentliche Wolke verwenden, muss dann diesen Dienst vollständig die Interessen der Mieter und alle geltenden Vorschriften und Gesetze erfüllen. Es ist möglich, dass ein Mieter zusätzliche Sicherheitskontrollen, die behördlichen und rechtliche Anforderungen auch bei einem zugrunde liegenden öffentlichen IaaS erfüllen implementieren oder PaaS nicht vollständig die gleichen Anforderungen erfüllen kann.

Jedoch, Sie müssen verstehen, dass die Palette der zusätzliche Steuerelemente, die von einem Mieter hinzugefügt werden können sind begrenzt und können nicht überwinden viele Lücken in einigen öffentlichen Cloud-Services. Ihre Augen auf den ball zu halten, wenn es um Sicherheit geht, ist wichtig, unabhängig davon, welche Sie wählen Sie Cloud-Modell oder je nachdem, was passt Ihre organisatorischen Anforderungen.

Vic (j.r.) Winkler Senior ist associate bei Booz Allen Hamilton, die technischen Beratung vor allem USA Regierung Kunden. Er ist ein veröffentlichten Informationen-Sicherheit und Cyber-Sicherheitsexperte sowie ein Experte in Intrusion-Anomalie-Erkennung.

© 2011 Elsevier Inc. Alle Rechte vorbehalten. Gedruckt mit freundlicher Genehmigung von Syngress, ein Abdruck von Elsevier. Copyright 2011. "Sicherung der Wolke" von Vic (j.r.) Winkler. Für weitere Informationen über diesen Titel und andere ähnliche Bücher, besuchen Sie bitte elsevierdirect.com.

Verwandte Inhalte

• Cloud-Computing: Planung einer Microsoft Private Cloud
• Cloud Security: Teilen Sie es sicher Lösungen
• Microsoft Forefront: Sicherer Zugriff auf Ihre Cloud-Services