Suchen

Überwachung der Cloud-Administration Cloud-Kontrolle: Die Blackbox für die Wolke

Cloud-Nutzung entbindet nicht von Verantwortung: Viele Unternehmen versuchen, die Kontrolle über ihre Cloud-Services zu erlangen. Dabei wird meist vergessen, dass auch der Kontrolleur selbst, der Cloud-Administrator überwacht werden muss.

Firmen zum Thema

Nichts gegen Admins, aber die Kontrolle des Cloud-Kontrolleurs sollte auch nicht fehlen.
Nichts gegen Admins, aber die Kontrolle des Cloud-Kontrolleurs sollte auch nicht fehlen.
(© olly - Fotolia.com)

Cloud Computing hat zahlreiche Vorteile, der Wegfall von Verantwortung für den Datenschutz gehört nicht dazu: Anwender von Cloud-Diensten bleiben für ihre Daten verantwortlich und müssen deshalb Wege finden, die von ihnen genutzten Cloud-Services hinsichtlich der Sicherheit der personenbezogenen Daten zu überwachen, so die Aufsichtsbehörden für den Datenschutz (PDF). Der Auswertung der Cloud-Protokolldaten kommt dabei eine wichtige Rolle zu.

Cloud-Logging alleine reicht nicht

Zahlreiche Lösungen bieten inzwischen ein Log-Management für die Sammlung, Speicherung und Analyse der Cloud-Protokolle an. Neben den Cloud-Monitoring-Lösungen der Cloud-Provider gibt es Lösungen, die die Cloud-Anwenderunternehmen selbst betreiben können, um möglichst unabhängig vom Cloud-Anbieter einen Nachweis des aktuellen Cloud-Sicherheitsstatus zu erhalten. Das Ziel dabei ist es, die Sicherheitsmaßnahmen des Cloud-Providers zu kontrollieren. Diese Aufgabe übernimmt in der Regel der eigene Cloud-Administrator. Sein Cloud-Logging jedoch hat eine Schwachstelle, den Administrator selbst.

Bildergalerie

Kontrolle des Cloud-Kontrolleurs darf nicht fehlen

Während der interne Administrator die Aktivitäten des Cloud-Providers kontrolliert, fehlt in vielen Fällen noch die nächste Stufe der Überwachung. Dies ist kein Problem, das nur bei der Cloud-Nutzung auftritt, sondern häufig fehlt eine Überwachung der privilegierten Zugänge und Zugriffe auf sensible Daten. Die Forderung, auch und gerade die Administratoren zu überwachen, findet sich in vielen Compliance-Vorgaben, wie zum Beispiel PCI DSS (Payment Card Industry Data Security Standard) oder ISO 27002. Die Forderung lässt sich auch erfüllen, es gibt Möglichkeiten zur unabhängigen Kontrolle der Administratoren, auch für die Cloud.

Benötigt werden „Flugschreiber“ für die Wolke

Wie eine Blackbox, ein Flugschreiber im Flugzeug können spezielle Überwachungslösungen auch die Cloud-Administration protokollieren. Entscheidend dabei ist die Manipulationssicherheit. Selbst ein Superuser darf nicht die Chance haben, die Aufzeichnungen zu verändern. Solche Lösungen müssen unabhängig vom Administrator laufen, ausfallsicher sein und automatisch wiederanlaufen.

Die Protokolle benötigen eine vom Administrator getrennte Verschlüsselung und unabhängige digitale Signatur und Zeitstempel. Zugang zu den Aufzeichnungen der Cloud-Blackbox sollte kein einzelner Nutzer erhalten, ob Administrator oder nicht. Das Vier-Augen-Prinzip mit zwei separaten Schlüsseln zur Entschlüsselung der Loggings ist Pflicht.

Artikelfiles und Artikellinks

(ID:42591271)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research