Die sichere Cloud wird wie folgt definiert:
"Der Schutz Ihrer personenbezogenen Daten in der Cloud verlangt angemessene technische und organisatorische Maßnahmen der IT-Sicherheit" (§ 9 Bundesdatenschutzgesetz)."
Ihre Compliance-Anforderungen und gesetzliche Regelungen für spezifische Daten setzen zusätzliche Kriterien für die IT-Sicherheit. Die Umsetzung erfordert nicht nur die Analyse und Bewertung der Sicherheitsmaßnahmen Ihres Cloud Providers oder Ihrer eigenen privaten Cloud Umgebung, sondern notwendige Maßnahmen sind vor Beginn der Nutzung der (hybriden) Cloud-Lösung zu vereinbaren und zu realisieren.
Wir unterstützen Sie bei der Verwaltung und Orchestrierung von sicheren hybriden Cloud Lösungen und schützen Ihre vertraulichen Daten durch neuartige Sicherheitstechnologien.
Um den richtigen Cloud Service Provider (CSP) für Ihre sichere Cloud Lösung zu finden, haben wir für Sie einige Fragen zusammengestellt, die Sie Ihrem CSP stellen sollten.
Fragen die Sie ihrem Cloud Service Provider stellen sollten:
Anwendungssicherheit (Saas)
- Wo finden sich Details, wie gemeinsam genutzte Systeme und Applikationen voneinander isoliert werden? (Für sichere Cloud Lösungen benötigen Sie eine aussagekräftige, detaillierte Dokumentation der Maßnahmen zur Kapselung und sauberen Trennung)
- Wie können Sie garantieren, dass der Zugriff auf die Daten und Anwendungen auf die Nutzer Ihres Unternehmens beschränkt ist?
- Wie stellen Sie sicher, dass Ihre Plattform auf neue Software-Fehler und Schwachstellen gemonitort wird?
- Beinhaltet Ihr Sicherheits-Konzept die Authentifizierung von Benutzern, Single Sign On (SSO), Autorisierung (privileged management) und SSL/TLS (zugänglich über API)?
- Welche Verwaltungsmöglichkeiten oder Tools bietet Ihre Lösung und können diese dazu benutzt werden, anderen Nutzern Lese- und Schreibrechte zu gewähren?
- Ist der Zugriff auf SaaS (Software as a Service) fein granuliert und kann er an die Richtlinien und Prozesse Ihres Unternehmens angepasst werden?
Angebotene Identitäts- und Zugriffsmanagementsysteme zur eigenen Nutzung und Kontrolle
- Gibt es ein Identitätsmanagement System?
- Erlaubt das System ein föderiertes Identitätsmanagement (IDM), das interoperabel ist sowohl für die Hochsicherheit (einmalige Passwortsysteme, wo erforderlich) als auch für den schwächeren Schutz (z. B. Benutzername und Passwort)?
- Sind Sie mit IDM Systemen von Drittanbietern interoperabel?
- Gibt es die Möglichkeit, Single Sign-On zu integrieren (ersetzt einzelne Anmeldeverfahren mit verschiedenen Userdaten und nutzt eine übergreifende Identität des Anwenders)?
- Ermöglicht unsere Identifikationstechnik die Trennung von Rollen und Verantwortlichkeiten auch für mehrere Domains (oder Einzelschlüssel für mehrere Domains, Rollen und Verantwortlichkeiten)?
- Wie gelingt Ihnen der Zugriff auf unser Systemabbild - und wie stellen Sie sicher, dass die Authentifizierungs- und Kryptographie-Schlüssel nicht darin enthalten sind?
- Wie authentifizieren Sie sich in unserem Unternehmen (d.h. gegenseitige Authentifizierung, wenn wir API-Befehle senden, wenn wir uns in der Management-Schnittstelle anmelden)?
- Unterstützen Sie einen föderierten Mechanismus für die Authentifizierung?
Netzwerkarchitektur Steuerungen & Sicherheit
- Definieren Sie die Steuerelemente, die verwendet werden, um DDoS-Angriffe zu entschärfen.
- Beschreiben Sie die Konzepte die Sie als Defense-in-Depth Strategie implementiert haben (Deep Packet Analyse, Drosselung des Datenverkehrs, Blackholing zur Abwehr eines DDosS Angriffes).
- Bieten Sie Schutz gegen “interne” (aus Ihrem eigenen Netzwerk) und „externe“ (aus dem Internet oder Kunden Netzwerke) Angriffe?
- Welche Isolationsstufen werden verwendet (für virtuelle Maschinen, physikalische Maschinen, Netzwerk-, Speicher-, Management-Netzwerke und Management-Support-Systeme, etc.)?
- Ist Ihre virtuelle Netzwerkinfrastruktur (in Private VLANs und VLAN-Tagging 802.1q-Architektur) durch Lieferanten und/ oder Best Practice-spezifische Standards gesichert (z. B. MAC-Spoofing, ARP-Vergiftungsangriffe usw., die über eine bestimmte Sicherheitskonfiguration verhindert werden)?
- Welche Garantien bieten Sie für die vollständige Isolierung von Ressourcen (z. B. separate virtuelle Instanzen, separate VPNs, separate physikalische Maschinen ...)?
Patch Management
- Informieren Sie uns über Einzelheiten des Patch-Management-Verfahrens.
- Können Sie sicherstellen, dass der Patch-Management-Prozess alle Ebenen der Cloud-Delivery-Technologien abdeckt, d.h. Netzwerk (Infrastrukturkomponenten, Router, Switches etc.), Server-Betriebssysteme, Virtualisierungssoftware, Anwendungen und Sicherheitssubsysteme (Firewalls, Antivirus-Gateways, Angriffserkennungssystem, etc.)
Ressourcenbereitstellung
- Im Falle einer Ressourcenüberlastung (Verarbeitung, Speicher, Speicherung, Netzwerk) welche Information über die zugeordnete Priorität bekommen wir, die unserer Anfrage im Falle eines Versagens bei der Bereitstellung zugewiesen wurde?
- Gibt es eine Vorlaufzeit bei Service Levels und Änderungen des Bedars?
- Wie viel können Sie skalieren? Bieten Sie Garantien für die Verfügbarkeit von Zusatzressourcen innerhalb eines Mindestzeitraums an?
- Welche Prozesse sind für den Umgang mit großen Entwicklungen in der Ressourcennutzung (z. B. saisonale Effekte) vorhanden?
- Wird der Standort der Daten je nach Kapazität des freien Speicherplatzes umgestellt / geändert?
Rechtliche Anforderungen
- In welchem Land befinden Sie sich?
- Befindet sich Ihre Infrastruktur im selben Land oder in verschiedenen Ländern?
- Arbeiten Sie mit anderen Firmen, deren Infrastruktur sich woanders befindet?
- Wo befinden sich die Daten physisch?
- Arbeiten Sie gemäß den EU-Vorschriften für Datenschutz und den Datenschutzbestimmungen?
- Ist Ihr Unternehmen Safe Harbour zertifiziert?
- Wird die Gerichtsbarkeit über die Vertragsbedingungen und über die Daten geteilt werden? Bitte beschreiben Sie wie.
- Werden Ihre Dienste untervergeben?
- Wie werden die Daten von uns oder unseren Kunden gesammelt, verarbeitet und übertragen?
- Was passiert mit den Ihnen überlassenen Daten nach der Kündigung des Vertrages?
- Ist es möglich, Ihr Unternehmen vor Ort zu auditieren?
- Wer hält die Rechte an gespeicherten Inhalten auf Ihrer Cloud-Infrastruktur im Hinblick auf die Rechte des geistigen Eigentums?
- Wer haftet für Datenverlust und Integrität?
- Ist einer unserer direkten Konkurrenten auch Ihr Kunde?
- Haben Sie alle maßgeblichen Registrierungen, Zulassungen und Lizenzen für die Bereitstellung dieses internetbasierten Dienstes gemäß den örtlichen Gesetzen und Vorschriften? Insbesondere der Datenspeicherung und Datenverarbeitung in Deutschland wie z.B.:
- Keine Speicherung von Daten von öffentlichen Einrichtungen außerhalb Deutschlands
- Lokale Datenschutzanforderungen
- Spezielle Anforderungen an die Datenverarbeitung
- Bitte zeigen Sie uns alle erhaltenen Registrierungen, Zulassungen und Lizenzen für (z.B.) Deutschland auf.