© Ekaphon maneechot/Shutterstock.com
Sicherheit in der Kommunikation zwischen Unternehmen und Cloud-Anwendungen

Sicher in der Wolke


Erweitert man die Ideen von Enterprise SOA auf unternehmensübergreifende Kommunikation und insbesondere auch auf das Nutzen von Shared-Services, die sich nicht mehr im eigenen Rechenzentrum befinden, betritt man das Themenfeld, das heute unter dem Begriff „Cloud“ diskutiert wird. Für die Cloud gelten selbstverständlich viele der Securityempfehlungen, die bereits innerhalb der Grenzen einzelner Unternehmen gelten. Aufgrund der Tatsache, dass die Unternehmensgrenzen überschritten werden, kommen zusätzliche Anforderungen dazu.

Die Autoren haben bereits in einer Artikelserie in diesem Magazin [1 – 4] über das Thema Enterprise SOA Security geschrieben und dabei die Wichtigkeit von Sicherheitsmaßnahmen innerhalb großer Unternehmen, die sich in Richtung einer serviceorientierten Architektur bewegen, erörtert. Insbesondere wurden in den Artikeln die einzelnen Standards [3] beschrieben, auf die auch dieser Artikel Bezug nimmt. Mit der Version 2.1 der Guidance for Critical Areas of Focus in Cloud Computing [5] hat die Cloud Security Alliance (CSA) im Dezember 2009 eine umfassende Reihe von Empfehlungen herausgegeben, um Unternehmen zu helfen, Cloud Computing sinnvoll und sicher umzusetzen. Der Leitfaden enthält Empfehlungen für die operative Sicherheit und behandelt die Themen Applikationssicherheit, Verschlüsselung und Schlüsselmanagement sowie Identity und Access Management. In diesem Artikel sollen die Auswirkungen auf die Security bei REST- und SOAP-basierter Kommunikation zwischen Consumern und Infrastructure-as-a-Service-(IaaS-)Providern betrachtet werden.

Sicherheit von Cloud-Anwendungen

Die Umsetzung der Sicherheit von Cloud-Anwendungen beginnt mit klassischen Maßnahmen der IT-Sicherheit. Ein erster Schritt umfasst daher Maßnahmen wie die Einrichtung einer DMZ mit entsprechenden Firewalls. Dabei sollten auf der Providerseite nur die für die Kommunikation nötigen Ports geöffnet sein, also z. B. 80 und 443 (für HTTP und HTTPS). Ebenso sollten die erlaubten Consumer-Adressen fest vergeben werden. Analoge Maßnahmen sind auf der Consumer-Seite zu treffen. Im zweiten Schritt werden die Prinzipien der Web-Service-Sicherheit angewandt und im dritten Schritt die Sicherheitsmaßnahmen um weitere Anforderungen von Cloud-Anwendungen erweitert, z. B. um Anforderungen wie Mehrmandantenfähigkeit.

IaaS-Provider bieten in der Regel unterschiedliche APIs für verschiedene Nutzergruppen an. Beliebte IaaS-Provider (Amazon EC2, Rackspace, OpSource, GoGrid) veröffentlichen deshalb oftmals parallel REST und SOAP APIs. Damit stellen die Anbieter sicher, dass der Einstieg in ihre Plattformen mit REST einfach gehalten wird, für anspruchsvollere Anwendungen aber die Nutzung des komplexeren SOAP möglich ist (Abb. 1).

Krafzig_Cloud_Sicherheit_1.tif_fmt1.jpgAbb. 1: Die Auslagerung von RZ-Diensten in die Cloud erfordert eine sorgfältige Planung von Sicherheitsaspekten

Bei näherer Betrachtung wird schnell deutlich, dass Cloud-Provider im Gegensatz zu den Cloud Consumern den größeren Teil der Verantwortung für die Umsetzung umfangreicher Maßnahmen zur IT-Sicherheit tragen. Für sie ist es eine Gratwanderung, auf der einen Seite eine möglichst einfache Nutzung des Cloud-Services zu ermöglichen, und auf der anderen die notwendige Sicherheit konsequent umzusetzen. An dieser Stelle ist es wichtig zu verstehen, dass Zuschnitt und Technologie der APIs für Cloud-Provider nicht allein eine sachliche Fragestellung ist, sondern auch durch Marketing- und Vertriebsaspekte überlagert wird.

Aber auch die Cloud Consumer müssen sicherstellen, dass ihre API-Aufrufe innerhalb der Cloud keinen Schaden anrichten. Beispielsweise können schlecht formulierte Anfragen (oder ungünstige Interaktionsmuster) im Backend, ähnlich einem Denial-of-Service-Angriff (DoS), eine so erhebliche Last erzeugen, dass die Cloud-Anwendung für alle anderen Consumer nicht mehr nutzbar ist.

Auswirkungen für Cloud Consumer

Cloud Consumer verwenden in der Regel REST- oder SOAP-basierte APIs für den Aufruf eines IaaS-Providers, um sich Serverinstanzen bereitstellen zu lassen und sie zu verwalten. Standardbasierte API-Aufrufe bieten hierbei einen enormen Grad an Flexibilität und Benutzerfreundlichkeit. Gleichzeitig birg...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang