Cloud Computing ist ein Oberbegriff für eine neue Klasse netzwerkbasierter Rechenlösungen, die das Internet nutzen und von einem Dienstanbieter bereitgestellt werden. Es ermöglicht bedarfsgerechten Netzwerkzugriff und integriert einen gemeinsam genutzten Pool konfigurierbarer Rechenressourcen. Die Plattform integriert eine Gruppe vernetzter Hardware/Software und Internetinfrastruktur. Sie nutzt das Internet für Kommunikation und Informationstransport und stellt Clients Hardware-, Software- und Netzwerkdienste bereit. Diese Plattformen verbergen die Komplexität und Details der zugrunde liegenden Infrastruktur vor Benutzern und Anwendungen durch eine einfache grafische Benutzeroberfläche oder API (Programmierschnittstelle). Die Plattform bietet bedarfsgerechte Dienste, die unabhängig von Ort, Datum und Uhrzeit jederzeit verfügbar sind. Benutzer zahlen bedarfsgerecht für die Dienste, die flexibel skalierbar sind und sowohl eine Erhöhung als auch eine Reduzierung von Kapazität und Funktionalität ermöglichen. Hardware- und Softwaredienste stehen Unternehmen, Großkonzernen, dem B2B-Markt und der breiten Öffentlichkeit zur Verfügung.
Wesentliche Merkmale. Werte und Risiken.
Die wesentlichen Merkmale, die Cloud-Daten, Anwendungsdienste und Infrastruktur definieren, sind:
(i) Dienste oder Daten werden auf entfernten Infrastrukturen gehostet.
(ii) Ubiquitäre Verfügbarkeit: Dienste oder Daten sind überall mit Internetzugang verfügbar (und wie sieht es mit Störangriffen, elektromagnetischen Störungen und Funkstörungen aus?).
(iii) Es handelt sich um ein nutzungsbasiertes Abrechnungsmodell, ähnlich wie bei traditionellen Versorgungsunternehmen wie Gas, Wasser und Strom, bei dem man nur für den tatsächlichen Verbrauch zahlt. Cloud Computing verzeichnet derzeit ein gewisses Wachstum; diese Technologie birgt jedoch weiterhin einige ungelöste Probleme im Bereich Cybersicherheit und Datenschutz und ist in mancher Hinsicht noch nicht ausgereift.
Der Hauptnutzen von Cloud Computing liegt in seiner Fähigkeit, Ressourcen (IaaS: Computing Infrastructure as a Platform Virtualization Environment, PaaS: Computing Platform for Development of Applications, SaaS: Software Applications selbst usw.) transparent und unabhängig vom Standort des Nutzers sowie auf allen Arten von Hardwaregeräten wie Tablets, Smartphones, Spielekonsolen, PCs, Augmented-Reality-Brillen, medizinischen Prothesen usw. mit Internetanschluss verfügbar zu machen.
VMware, ein weltweit führender Anbieter von Virtualisierungs- und Cloud-Infrastruktur, definiert Cloud Computing als einen neuen Ansatz, der die IT-Komplexität durch die effiziente Kombination von selbstverwalteter, bedarfsgerechter virtueller Infrastruktur als Dienstleistung reduziert. Zu den wichtigsten Cloud-Entwicklungen zählen Google App Engine (PaaS), IBM Blue Cloud (ehemals Salesforce), Microsoft Azure und Amazon AWS.
Dell arbeitet an einem Projekt namens Ophelia, einem virtuellen Computer in der Cloud, der von überall mit Internetverbindung zugänglich ist. Ziel ist es, Nutzern den Zugriff auf ihren eigenen Computer und ihre Anwendungen von jedem beliebigen internetfähigen Gerät aus zu ermöglichen. Der Dienstanbieter überwacht die Leistung, um eine gleichbleibende Verfügbarkeit zu gewährleisten und mehreren Nutzern die gleichzeitige Nutzung der bereitgestellten Ressourcen und Dienste zu ermöglichen. Laut dem Institute of Engineering and Technology (IHS) wird der Trend bei Cloud-Speicher von etwa 625 Millionen Nutzern im Jahr 2013 auf rund 820 Millionen im Jahr 2015, dann auf etwa 1 Milliarde im Jahr 2016 und schließlich auf rund 1,3 Milliarden im Jahr 2017 ansteigen. Die Government Technology Research Alliance (GTRA) weist darauf hin, dass Cybersicherheit weiterhin die größte Herausforderung bei der Implementierung von Cloud Computing darstellt.
Nachteile und Probleme des Cloud Computing:
Cloud-Computing-Lösungen erfreuen sich zunehmender Beliebtheit und umfassen eine wachsende Anzahl von Anwendungen, von Textverarbeitungsprogrammen wie Word über Antivirensoftware, Foto- und Kalenderanwendungen, Kartendienste, Videokonferenzsysteme, CRM-Software und Datenspeicher bis hin zu sozialen Netzwerken. Zu den Cloud-Diensten gehören beispielsweise Dropbox, WorldCat, Mendeley, ExLibris, LibraryThing und ResearchGate sowie Google Apps, YouTube, RemoteXS, Zimbara, Facebook, Cybrarian, Word 365 und Liblime Koha. Cloud-Dienste sind attraktiv, da sie Verfügbarkeit, Zuverlässigkeit, weltweiten Zugriff usw. bieten, was bei Desktop-Anwendungen nicht so einfach ist.
Leider gehen diese Vorteile mit dem Risiko einher, dass wir dem Cloud-Anbieter die Vertraulichkeit, Integrität und Verfügbarkeit unserer Kundendaten anvertrauen müssen. Unsere bei Cloud-Anbietern gespeicherten privaten Daten können kopiert, gestohlen, weitergegeben oder auf andere Weise offengelegt werden – ohne jegliche Garantie für böswillige Akteure von außen (Wettbewerber), innen (unredliche Mitarbeiter) oder Regierungen (im In- oder Ausland). Ein kompromittierter oder bösartiger Cloud-Anbieter kann Nutzerdaten manipulieren oder sogar verschiedenen Nutzern fälschlicherweise widersprüchliche Ansichten des Systemstatus anzeigen. Zwar werden einige Gegenmaßnahmen auf Basis der Sicherheit des kryptografischen Schlüsselmanagements eingesetzt, doch selbst dann ist es möglich, die Schlüsselgeheimhaltung und Verschlüsselung mithilfe fortgeschrittener Techniken wie Reverse Engineering, Kryptoanalyse, Seitenkanalangriffen usw. zu umgehen.
Bereiche von Cyberangriffen. Cybersicherheitsmaßnahmen im Cloud Computing.
Eine gründliche Analyse der Cybersicherheitsprobleme im Zusammenhang mit der Cloud ermöglicht es uns, verschiedene Bereiche von Cyberangriffen zu identifizieren:
(1) Cyberangriffe auf die Verfügbarkeit. Manche Anwendungen, wie beispielsweise SAPvX, lassen sich aufgrund des Ausfallrisikos – bedingt durch die Anzahl der beteiligten Personen oder den benötigten Rechenaufwand – nicht in der Cloud ausführen. Wie stellt der Cloud-Anbieter die Integrität der Berechnungen sicher? Beispielsweise durch sein Wort oder indem er dieselbe Aufgabe/Anwendung von mehreren Prozessoren ausführen lässt, bis ein Konsens über das korrekte Ergebnis erzielt wird? Die Verfügbarkeit kann durch zahlreiche Angriffspunkte beeinträchtigt werden: Verbindungen, Server, Betriebssysteme, Hypervisoren, Anwendungen, Treiber, Daten usw.
(2) Traditionelle Cyberangriffe. Dieser Abschnitt umfasst Angriffe auf: (i) Virtuelle Maschinen. Schwachstellen in der von Cloud-Anbietern in ihren Mandantenarchitekturen verwendeten Virtual-Machine-/Hypervisor-Technologie. Zu den Abwehrmaßnahmen gehören Firewalls, Überwachung und IDS/IPS/IAM. (ii) Schwachstellen von Cloud-Anbietern. Dies umfasst SQL-Injection, XSS usw. Zu den Abwehrmaßnahmen gehören Tools für Schwachstellenmanagement und -prüfung. (iii) Professionelle Cloud-Forensik, selbst gegen Anti-Forensik-Techniken. Derzeit ist dies eine unmögliche Aufgabe. (iv) Phishing-Angriffsvektoren. Die Cloud kann als Angriffsvektor für Social Engineering dienen. (v) Authentifizierungs- und Autorisierungsaufgaben. Diese können nicht auf die Cloud erweitert werden. (vi) Extrem erweiterte Netzwerkangriffsfläche. Cloud-Nutzer müssen die Infrastruktur schützen, die für die Verbindung und Interaktion mit der Cloud verwendet wird – eine sehr komplexe Aufgabe.
(3) Cyberangriffe auf die Datenkontrolle Dritter. Dieser Abschnitt umfasst Angriffe auf: (i) Spionage gegen Cloud-Anbieter; (ii) die Durchsetzung vertraglicher Verpflichtungen und SLAs (Service Level Agreements) mit dem Cloud-Anbieter; (iii) Audits und Compliance-Standards. Bestimmte Vorschriften schreiben die Speicherung und den Betrieb von Daten an bestimmten geografischen Standorten vor. Einige Anbieter bieten bereits standortbezogene Dienste an.
(4) Cyberangriffe auf die Schlüsselverwaltung. Die kryptografische Verschlüsselungsschlüsselverwaltung wurde für physische Server entwickelt und funktioniert in der Virtualisierung nicht ordnungsgemäß. Es ist nicht sicher, Passwörter oder Zertifikate in einzelnen virtuellen Maschinen zu speichern.
(5) Sonstige Cyberangriffe. Angriffe auf Prozess-/VM-Isolation, Datentrennung, Mandantenfähigkeit, Datenlokalisierung, Authentifizierung, Datenaustausch, Datenzugriff, Verschlüsselung/digitale Signatur/Nonce-Generierung/Pseudozufallszahlengenerator, Delegierung von Zugriffsberechtigungen, IAM/AAA, Sicherheitsarchitekturen/-modelle usw. Wenn die VM-Plattform Hochverfügbarkeit bietet, gilt dies nicht für die Anwendungen und umgekehrt. Angriffe auf den Datenschutz in drei Richtungen: Sicherheit personenbezogener Daten, Lokalisierung personenbezogener Daten und Zugriff auf diese personenbezogenen Daten.
Virtualisierungs- und Cloud-Computing-Technologien. Xen.
Virtualisierungstechnologie ist eine Schlüsseltechnologie im Cloud Computing. Bekannte Virtualisierungsprodukte sind beispielsweise Xen (ursprünglich von Cambridge entwickelt, jetzt Citrix für Linux), VMware (für Linux und Windows) und Parallel Desktop (für Mac). Virtualisierungstechnologie ermöglicht es mehreren Betriebssystemen, einen Rechner gemeinsam zu nutzen. Eine Instanz eines Gastbetriebssystems wird als VM (Virtual Machine) bezeichnet. Virtualisierungstechnologie kann Hunderte von virtuellen Maschinen hosten. Die Hauptvorteile der Virtualisierung sind Ressourcenkonsolidierung, VM-Migration, Lastverteilung und Umgebungsisolation.
Die Komponenten von Xen sind:
(i) Der Hypervisor. Er befindet sich zwischen der Hardware und dem Betriebssystem. Er ist für die CPU- und Speicherpartitionierung der VMs zuständig. Er ermöglicht die Kontrolle über die Ausführung anderer Domänen und folgt dem Prinzip „Weniger ist mehr“ (eine neue Version ist kleiner als die alte und implementiert keine vom Betriebssystem bereitgestellten Funktionen wie Netzwerk und E/A neu).
(ii) Domäne 0. Sie ist ein modifizierter Linux-Kernel mit Domänenverwaltung und -steuerung. Sie enthält Gerätetreiber für den Hardwarezugriff (z. B. ND-Netzwerktreiber und BBD-Block-Backend-Treiber) und interagiert mit anderen VMs.
(iii) Domäne U. Sie hat keinen direkten Zugriff auf die Hardware; sie teilt Ressourcen mit anderen Domänen (die Ressourcen werden virtualisiert). In Xen 3.X sind modifizierte Betriebssysteme (Linux, Windows, Solar, UNIX) erforderlich. Ab Xen 4 werden die Originalbetriebssysteme unterstützt. Das Schreiben in Xen ähnelt dem Schreiben in das Linux-Betriebssystem. Beispielsweise sind Systemaufrufe Hyperaufrufe, Signale Ereignisse und Dateisysteme XenStores. Typische Hypervisoren in Virtualisierungsumgebungen sind unter anderem KVM, Xen/XCP, Hyper-V, VMware und Grizzly.
Abschließende Betrachtungen:
Das Cloud-Computing-Paradigma ist ein aktives Forschungsgebiet. So wurden beispielsweise Cloud-Speichermethoden entwickelt, die einen höheren Datenschutz als Dropbox, Google Drive oder iCloud bieten, wie etwa OwnCloud und Tahoe-lafs. Ebenso wurden Open-Source-Lösungen wie Seafile (das den Aufbau einer privaten Cloud für Dateifreigabe und Netzwerkzusammenarbeit ermöglicht und ähnlich wie Dropbox mit transparent synchronisierenden Clients funktioniert) und Duplicati (ein verschlüsseltes Backup-Tool, das sich mit Cloud-Speichersystemen wie Amazon S3, Google Drive, Windows OneDrive und Rackspace sowie mit persönlichen Servern mit SSH/FTP-Zugriff verbindet) entwickelt. Unsere Forschungsgruppe evaluiert, analysiert, synthetisiert und implementiert seit über fünfzehn Jahren Schutzsysteme zur Verbesserung der Cybersicherheit und des Datenschutzes, die insbesondere in öffentlichen und hybriden Cloud-Umgebungen von großer Bedeutung sind.
Dieser Artikel ist Teil der Aktivitäten, die im Rahmen des LEFIS-Netzwerks durchgeführt wurden.
Autor:
Prof. Dr. Javier Areitio Bertolín – E-Mail:
Professor an der Fakultät für Ingenieurwissenschaften der Universität Deusto.
Leiter der Forschungsgruppe Netzwerke und Systeme.
Literatur
Areitio, J. „Informationssicherheit: Netzwerke, Computer und Informationssysteme“. Cengage Learning-Paraninfo. 2013.
Areitio, J. „Identifizierung, Analyse und Korrelation zwischen physischem Schutz und Cybersicherheit“. Conectrónica Magazine. Nr. 161. Oktober 2012.
Areitio, J. „Risikoanalyse in der Cybersicherheit und im Datenschutz von Informationen im Umfeld von AmI-Systemen“. Conectrónica Magazine. Nr. 163. Januar 2013.
Areitio, J. „Entwicklung von Bedrohungen und Trends in der Netzwerksicherheit im Webkontext“. Conectrónica Magazine. Nr. 142. November 2010.
Winkler, V. „Die Cloud sichern: Techniken und Taktiken für die Cloud-Computersicherheit“. Syngress Publications. 2011.
Mather, T., Kumaraswamy, S. und Latif, S. „Cloud-Sicherheit und Datenschutz: Eine Unternehmensperspektive auf Risiko und Compliance“. O'Reilly Media.URL
Halpert, B. „Auditing Cloud Computing: A Security and Privacy Guide.“ Wiley. 2011.
: http://www.cloudsecurityalliance.org
Krutz, RL und Vines, RD, „Cloud Security: A Comprehensive Guide to Secure Cloud Computing.“ Wiley. 2010.
Murugesan, S. „Cloud Computing“. Chapman and Hall/CRC. 2012.
Smoot, SR und Tan, NK „Private Cloud Computing.“ Morgan Kaufmann. 2012.
Bauer, E. und Adams, R. „Reliability and Availability of Cloud Computing.“ Wiley-IEEE Press. 2012.
Buchanan, W.J. „Advanced Cloud Computing and Virtualization.“ Auerbach Publishers. 2012.
Lim, I, Hourani, P. und Coolidge, E.C. „Securing Cloud and Mobility: A Practitioner's Guide.“ Auerbach Publications. 2012.
McNab, C. „Secure Cloud Deployment.“ McGraw-Hill Osborne Media. 2012.
Siepmann, F. „Managing Risk and Security in Outsourcing IT Services: Onshore and the Cloud.“ Auerbach Publications. 2013.
Rountree, D. und Castrilllo, I. „The Basics of Cloud Computing: Understanding the Fundamentals of Cloud Computing in Theory and Practice.“ Syngress. 2013.
Nepal, S. und Pathan, M. „Security, Privacy and Trust in Cloud Systems.“ Springer. 2013.
