WHITEPAPER

Sicherheit in der Cloud

Updated March 23, 2010
  • Share via AddThis

Beim Cloud Computing werden dynamisch skalierbare und oft virtualisierte Ressourcen als Service bereitgestellt. Die Benutzer müssen keine Kenntnisse, Expertise oder Kontrolle über die technologische Infrastruktur in der „Cloud“ haben, die sie nutzen. Darüber hinaus verwendet Cloud Computing ein Modell für den hochverfügbaren, bequemen On-Demand-Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer IT-Ressourcen (z. B. Netzwerke, Server, Storage, Anwendungen, Dienste), die schnell bereitgestellt und freigegeben werden können, ohne dass nennenswerter Aufwand für Management oder Interaktion mit dem Dienstanbieter entsteht.

F5 Networks Cloud-Umfrage, August 2009

Einleitung

Während Unternehmen sicherlich einen geschäftlichen Vorteil in einem Pay-as-you-go-Modell für Computing-Ressourcen sehen, stehen Sicherheitsbedenken scheinbar stets an der Spitze von Umfragen zum Cloud Computing. Zu diesen Bedenken gehören Authentifizierungs-, Autorisierungs- und Abrechnungsdienste (AAA), Verschlüsselung, Storage, Sicherheitsverletzungen, Einhaltung gesetzlicher Vorschriften, Standort von Daten und Benutzern sowie andere Risiken, die mit der Isolierung sensibler Unternehmensdaten einhergehen. Wenn sich zu diesen Bedenken noch der potenzielle Verlust der Kontrolle über Ihre Daten gesellt, beginnt das Cloud-Modell ein wenig beängstigend zu wirken. Ganz gleich, wo sich Ihre Anwendungen in der Cloud befinden oder wie sie bereitgestellt werden, ein Thema ist immer gleich: Sie hosten und liefern Ihre kritischen Daten an einem fremden Ort, nicht innerhalb Ihrer vier Wände, und die Sicherheit dieser Daten hat höchste Priorität.

Vorsicht beim Einstig in die Cloud

Die meisten Early Adopters testeten das Hosting in der Cloud zunächst mit unkritischen Daten. Leistung, Skalierbarkeit und gemeinsam genutzte Ressourcen standen bei den ersten Cloud-Angeboten im Vordergrund. Dies ist zwar immer noch ein Hauptanreiz, aber Cloud Computing ist gereift und hat sich als eine weitere Option für die IT etabliert, und immer mehr Daten – einschließlich sensibler Daten – finden ihren Weg in die Cloud. Das Problem dabei ist, dass man nicht wirklich weiß, wo in der Cloud sich die Daten zu einem bestimmten Zeitpunkt befinden. IT-Abteilungen sind ohnehin um die Vertraulichkeit und Integrität sensibler Daten besorgt. Das Hosten dieser Daten in der Cloud wirft nicht nur die Frage nach dem Schutz kritischer Daten an einem fremden Ort auf, sondern auch nach der rollenbasierten Zugriffskontrolle auf diese Daten für normale Geschäftsfunktionen.

Unternehmen beginnen zu erkennen, dass sich die Cloud nicht für statische Sicherheitskontrollen eignet. Wie alle anderen Elemente in der Cloud-Architektur muss auch die Sicherheit in eine zentrale, dynamische Steuerungsebene integriert werden. In der Cloud müssen Sicherheitslösungen in der Lage sein, den gesamten Datenverkehr abzufangen, seinen Kontext zu interpretieren und dann entsprechende Entscheidungen über diesen Datenverkehr zu treffen, einschließlich der Anweisung an andere Cloud-Elemente, wie sie damit umgehen sollen. Die Cloud erfordert die Fähigkeit, globale Richtlinien und Tools anzuwenden, die zusammen mit den Anwendungen und Daten migrieren und den Zugriff darauf kontrollieren können, wenn sie vom Rechenzentrum in die Cloud oder innerhalb der Cloud wandern.

Die Rolle der Anwendungsbereitstellung

Im Grunde konzentrieren sich alle F5-Lösungen auf die Anwendungsbereitstellung. Da das ultimative Ziel jeder Cloud, unabhängig von Modell oder Standort, die möglichst effiziente, agile und sichere Bereitstellung von Anwendungen ist, sind die Lösungen von F5 relevant für Aufbau einer Cloud-Infrastruktur. Dies gilt insbesondere, da die Anwendungsbereitstellung die gleichen strategischen Kontrollpunkte erfordert wie die dynamische Kontrollebene der Cloud-Architektur, und die gleichen Fähigkeiten zum Abfangen, Interpretieren und Anweisen bieten muss.

Eine Cloud erfordert natürlich eine Vielzahl von Komponenten (von denen viele nicht in die Domäne von F5 fallen), um eine skalierbare Umgebung zu schaffen, allerdings sind Infrastrukturlösungen für die Anwendungsbereitstellung für F5 von zentraler Bedeutung. Diese Infrastrukturlösungen bieten die Skalierbarkeit, Erweiterbarkeit, Anpassbarkeit, Verwaltbarkeit, Sicherheit, Mobilität und Echtzeit-Performance, die man auf der dynamischen Steuerungsebene braucht.

Um das hohe Trafficvolumen des Cloud Computing gut zu bewältigen, konzentriert sich F5 auf intelligente und strategische Kontrollpunkte unter Verwendung von Proxys (abfangen), Richtlinien (interpretieren/anweisen) und Services (interpretieren/anweisen) in einer einzigartigen, modularisierten Bereitstellungsinfrastruktur. Die Lösungen von F5 können auf einer Vielzahl von Hardware-Plattformen eingesetzt werden und bieten Flexibilität in Bezug auf die Gesamtkapazität und Leistung, sodass mittlere und große Unternehmen sowie Service-Provider eine auf ihre individuellen Anforderungen zugeschnittene Anwendungs- oder Datenbereitstellungslösung wählen können.

Cloud-Sicherung mit F5

Während man beim F5 BIG-IP Local Traffic Manager (LTM) Application Delivery Controller zunächst an ein erweitertes Load Balancing denkt, prüft er auch alle ein- und ausgehenden Anwendungsinhalte. Darüber hinaus ist BIG-IP LTM ein leistungsstarkes Sicherheitstool, das netzwerk- und anwendungsbasierte Protokollangriffe vereitelt. BIG-IP LTM schützt sowohl die selbst bereitgestellten Anwendungen als auch das Netzwerk, zu dem es gehört. Darüber hinaus bietet BIG-IP LTM einen einheitlichen Ansatz für Sicherheitslösungen, die unter anderem Paketfilterung, Port-Sperrung, Schutz vor DoS-Angriffen (Denial of Service), Netzwerk-/Administrationsisolierung, Protokollvalidierung, Rate-Formung, SSL-Terminierung und vieles mehr umfassen.

Trotz dieser beeindruckenden Liste von Sicherheitsvorteilen gibt es Angriffe, die weder von Netzwerkgeräten noch von der Anwendung selbst erkannt werden können, und zunehmend haben es Diebe über webbasierte Angriffe auf Anwendungsdaten abgesehen. Da Layer-7-DoS-Attacken, XSS, SQL-Injections und Brute-Force-Angriffe eine Webanwendung leicht kompromittieren können, müssen zusätzliche Sicherheitsmaßnahmen ergriffen werden.

F5 BIG-IP Application Security Manager (ASM), eine Webanwendungs-Firewall, schützt nicht nur vor gängigen Schwachstellen, wie sie in den OWASP Top 10 aufgeführt sind, sondern verschärft auch die Kontrolle über die Daten mit detaillierten Richtlinien. BIG-IP ASM Application Security-Vorlagen für viele gängige Anwendungen ermöglichen die schnelle Bereitstellung von Anwendungssicherheit mit den optimalen Einstellungen. Mit BIG-IP ASM können Sie kontrollieren, wer Zugriff auf die Daten hat, welche Art von Daten verfügbar ist und ob die Daten ausgetauscht werden können, sowie detaillierte Protokolle und Berichte erhalten. BIG-IP ASM bietet zusätzliche Schutzmaßnahmen wie das Scrubbing von Kreditkartennummern und anderen hochsensiblen Daten in wählbaren Feldern sowie die Maskierung sensibler Daten, die selektive Verschlüsselung von Server-Cookies und Kennwortfeldern, Beschränkungen auf Verzeichnis- oder Dateitypbasis sowie Resource Cloaking zum Verbergen der Versionsinformationen Ihres IIS-Servers.

Einer der wichtigsten Bereiche sowohl für Cloud-Anbieter als auch Kunden ist die starke Authentifizierung, Autorisierung und Verschlüsselung von ein- und ausgehenden in der Cloud.

Benutzer und Administratoren müssen gleichermaßen authentifiziert werden – mit starker oder Zwei-Faktor-Authentifizierung – um sicherzustellen, dass nur autorisiertes Personal auf die Daten zugreifen kann. Die Daten selbst müssen außerdem segmentiert werden, damit es keine Lecks zu anderen Benutzern oder Systemen geben kann. Die meisten Experten sind sich einig, dass AAA-Dienste zusammen mit sicheren, verschlüsselten Tunneln zur Verwaltung Ihrer Cloud-Infrastruktur ganz oben auf der Liste der von den Anbietern angebotenen grundlegenden Cloud-Dienste stehen sollten. Da Daten an einem weit entfernten Ort untergebracht werden können, an dem Sie weniger physische Kontrolle haben, wird die logische Kontrolle zu einem entscheidenden Faktor, und die Durchsetzung eines strikten Zugriffs auf Rohdaten und der Schutz von Daten bei der Übertragung (z. B. beim Hochladen neuer Daten) wird für das Unternehmen entscheidend. Verlorene, geleakte oder manipulierte Daten können verheerende Folgen haben.

Auch hier kann F5 sowohl Anbietern als auch Kunden mit Lösungen wie BIG-IP Edge Gateway und BIG-IP Access Policy Manager (APM) helfen. BIG-IP Edge Gateway nutzt die SSL-Technologie, um Dienste für Zugriffssicherheit, Beschleunigung und Anwendungsverfügbarkeit zu vereinen, um einen kontextabhängigen, richtliniengesteuerten, sicheren und optimierten Zugriff auf Anwendungen zu realisieren. BIG-IP APM ist eine flexible, leistungsstarke Zugriffs- und Sicherheitsplattform, mit der Sie den Zugriff auf Netzwerke und Anwendungen durch die Implementierung solider Sicherheitsrichtlinien verwalten können. Durch die Zusammenführung dieser Dienste und die Einbindung der Benutzer- und Gruppenidentität in das Netzwerk können Richtlinien und Service-Levels auf der Grundlage von Identität und Standort festgelegt werden. Der kontextabhängige Zugriff macht das Internet und die Cloud zu einem schnelleren, berechenbareren und sichereren Netzwerk für das Unternehmen, was insbesondere für mobile Benutzer und IT-Administratoren von Vorteil ist.

Diagramm
Abbildung 1: F5 bietet umfassenden Schutz vom Client bis zur Cloud.

Mobile Benutzer sind in aller Welt verstreut und benötigen schnellen und sicheren Zugriff auf Anwendungen. IT-Administratoren müssen die Cloud-Architektur und Cloud-Anwendungen verwalten. BIG-IP Edge Gateway und BIG-IP APM sind vollgepackt mit Sicherheitsfunktionen, um die Anforderungen von mobilen Benutzern und IT-Administratoren gleichermaßen zu erfüllen.

Sichere Dienste auf Basis von SSL-VPN bieten Endpunktsicherheit und liefern IT-Administratoren Informationen über die Identität zugreifender Anwender und den Status von Endpunktgeräten zur Validierung anhand der Zugriffsrichtlinien des Unternehmens. Starke AAA-Services, L4- und L7-Access Control Lists und integrierte Anwendungssicherheit tragen zum Schutz der Unternehmensressourcen und zur Einhaltung gesetzlicher Vorschriften bei. Verfügbarkeitsdienste bieten Administratoren globale Traffic Management-Funktionen, um Benutzer je nach Standort zum besten Rechenzentrum zu leiten, L2-L4-Switching, integriertes Routing und ein IPv6 Gateway. Beschleunigungsdienste bieten asymmetrische und symmetrische Netzwerk- und Anwendungsbeschleunigung zusammen mit Caching, Komprimierung und Deduplizierung für eine bessere Benutzererfahrung.

Anwender, die sich über BIG-IP Edge Gateway verbinden, erhalten ihre Anwendungen schnell, egal wo sie sich befinden. BIG-IP LTM-Geschwindigkeit bedeutet einen SSL-Verschlüsselungsdurchsatz von mehreren Gigabit pro Sekunde bei HTTP und HTTPS. Clientseitige Dienste ermöglichen es mobilen Anwendern, mit dem Smart Connection Access Intelligence System dynamisch auf das Unternehmensnetzwerk und die Anwendungen zuzugreifen. Der intelligente Verbindungszugang, der mit dem BIG-IP Edge Gateway gebündelt ist, bietet Roaming-Benutzern sofortigen sicheren Zugang, indem er ihnen mitteilt, wenn sie nicht mit der Unternehmensdomäne verbunden sind. Smart Connection Access bietet außerdem Anwendungsbeschleunigung durch Traffic Shaping für dynamische, anpassungsfähige Komprimierung. Mit dem clientseitigen Traffic Shaping können Administratoren bestimmten Protokollen, wie z. B. Server Message Block (SMB), Priorität einräumen und so sicherstellen, dass sowohl Dateiübertragungen als auch VoIP-Verkehr durchgelassen werden.

Mit den integrierten iSessions des BIG-IP WAN-Optimierungsmoduls können sich IT-Abteilungen über einen optimierten, verschlüsselten Tunnel mit ihrer Cloud-Umgebung verbinden. Da es von höchster Wichtigkeit ist, die Kontrolle über die Daten in der Cloud zu behalten, möchten einige Unternehmen ihre Daten im Unternehmensrechenzentrum zu „beheimaten“ und die Cloud bei Bedarf auf sie zugreifen lassen. Das kann natürlich Auswirkungen auf die Leistung haben, aber auch hier stellt der sichere, optimierte iSessions-Tunnel die Verbindung zwischen den Daten und der Cloud her. Durch die symmetrische, adaptive Komprimierung verwendet der Tunnel die beste Komprimierungsrate für die verfügbare Bandbreite und optimiert Datenstrom für eine bessere Nutzung von Bandbreite, CPU und Komprimierungsraten. Auch Zweigstellen profitieren von den Beschleunigungsdiensten. Ob beim Backup oder der Datensynchronisierung – die symmetrische Datendeduplizierung aktualisiert nur die Änderungen an den Daten (anstatt die gesamte Datei zu übertragen) und spart so Bandbreite. Darüber hinaus werden CIFs und MAPI-Beschleunigung sowie Hardware-Beschleunigung (SSL und Kompression) und L7-Rate-Shaping, einschließlich eines QoS-Modus, unterstützt.

Das Management der Cloud war schon immer eine Herausforderung für IT-Abteilungen. Ein zentraler Kontrollpunkt für den Zugriff sowohl für die Webzugriffsverwaltung als auch für SSO macht die richtlinienbasierte Zugriffskontrolle über Ressourcen für kontextbezogenes Networking schnell einsetzbar und einfach zu verwalten. BIG-IP Edge Gateway-Richtlinien können importiert und exportiert werden, Webanwendungen sind sicher und beschleunigt und bietet Modi für den Fernzugriff, die interne LAN-Kontrolle sowie Public und Private Wireless.

Schlussfolgerung

Während Cloud Computing sich schnell weiterentwickelt, bietet es IT-Abteilungen eine leistungsstarke Alternative für die Bereitstellung von Anwendungen. Cloud Computing verspricht skalierbare On-Demand-Ressourcen, flexible, selbstbediente Bereitstellung, niedrigere TCO, schnellere Markteinführung und eine Vielzahl von Service-Optionen, die Ihre gesamte Infrastruktur hosten, Teil Ihrer Infrastruktur sein oder einfach nur eine einzelne Anwendung bereitstellen können.

Unabhängig davon, wie weit Sie sich bereits in der Cloud befinden oder ob es sich um eine Public, Private oder Hybrid Cloud handelt, können F5-Lösungen dazu beitragen, Ihre Cloud-Infrastruktur oder -Bereitstellung sicherer, zuverlässiger und widerstandsfähiger zu machen. Sichere Fernzugriffstechnologie bietet kontextbezogenen, sicheren Zugriff auf Cloud-basierte Anwendungen; Web Application Firewalls bieten die Möglichkeit, die Anwendungssicherheit zu zentralisieren; netzwerkseitiges Skripting bietet eine agile, unmittelbare Methode zur Behebung von Sicherheitsschwachstellen auf On-Demand-Basis. Dies alles trägt zu einer dynamischen, flüssigen und sicheren Cloud bei. IT-Administratoren können die Konfiguration und Verwaltung isolieren, um den Zugriff auf die Cloud-Computing-Infrastruktur detailliert zu steuern, und sie können Anwendungstraffic isolieren, um die Sicherheit von Anwendungsdaten zu verbessern, die gemeinsame Ressourcen nutzen.

Die Absicherung der Cloud mit F5 umfasst eine Reihe flexibler, einheitlicher Lösungen. Jede trägt auf ihre Weise dazu bei, Ihre spezifischen Anforderungen an die Cloud-Bereitstellung von Anwendungen zu erfüllen.