SaaS Sicherheitsprofil für eine Collaboration Platform - Teil 3:
Sicherheitsmaßnahmen für das CP SaaS ModellTeil 3:
Sicherheitsmaßnahmen für das CP SaaS Modell
CSC Deutschland Solutions GmbH Abraham-Lincoln.Park1 65189
Wiesbaden www.csc.com/de
Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03
63 53133 Bonn E-Mail:
[email protected] Internet:
https://www.bsi.bund.de/cloud © Bundesamt für Sicherheit in der
Informationstechnik 2014
Einleitung 1
1 Einleitung
In Teil 2 dieses Sicherheitsprofils wurden für eine als
Software-as-a-Service in einer Cloud Computing Umgebung zur
Verfügung gestellte Collaboration Platform dreizehn wichtige
Bedrohungen für die Schichten des IETF Cloud Stacks identifiziert
und in Form von „Steckbriefen“ detailliert beschrieben:
• für das Access & Delivery Layer: • Spoofing, • Tampering, •
Repudiation, • Information Disclosure, • Denial of Service und •
Elevation of Privilege,
• für das Cloud Service Layer: • Tampering und • Information
Disclosure
• für die Cloud Management Plane: • Tampering und • Elevation of
Privilege
• für das Cloud Ressource & Orchestration Layer: • Information
Disclosure und • Denial of Service
• für die Kommunikation des Serviceabonnenten mit der Access &
Delivery Layer • Denial of Service.
Das vorliegende Dokument Teil 3 des Sicherheitsprofils für eine
SaaS Collaboration Platform beschreibt Sicherheitsmaßnahmen
organisatorischer, technischer und personeller Natur, die geeignet
sind, den in Teil 2 genannten Bedrohungen entgegen zu wirken.
Übergreifende Bedeutung haben dabei Maßnahmen, die Kommunikation
mit der Cloud sowie die Verarbeitung und Speicherung von Daten in
den Schichten des Cloud Stacks in besonderer Weise zu schützen.
Dazu gehören:
• die zuverlässige Kennzeichnung (Attribuierung) von Informationen
und Daten gemäß der durch den Serviceabonnenten definierten
Schutzbedürftigkeit,
• die strikte Trennung des Zugangs und des Zugriffs auf
Informationen und Daten verschiedener Mandanten
• die strikte Trennung des Zugangs und des Zugriffs auf
Informationen und Daten durch die End nutzer eines gemäß dem
festgelegten Schutzbedarf und den Endnutzern zugewiesenen Zugriffs
rechten,
• sichere und nicht zu umgehende Authentifikationsprozesse zur
Verhinderung einer Eskalation von Zugriffsrechten,
• die sichere Konfiguration der in der Bereitstellung des Service
involvierten Komponenten des Cloud Stacks sowie
• die strikte und sichere Segmentierung virtueller und physischer
Ressourcen.
Jede Maßnahme wird in Anlehnung an [RFC2119] explizit als
verpflichtend, empfohlen oder als optional spezifiziert und den
Bedrohungsklassen nach dem STRIDE Modell zugeordnet.
Bundesamt für Sicherheit in der Informationstechnik 5
1 Einleitung
• Verpflichtende Anforderungen (MUSS-Anforderungen), sind
Anforderungen, deren Umsetzung zwingend gefordert wird. Sie sind im
Text mit den Worten muss (müssen) / ist (sind) / darf (dürfen) nur
/ darf (dürfen) nicht, ausgezeichnet.
• Empfohlene Anforderungen (SOLL-Anforderungen) sollten umgesetzt
werden. Sie sind im Text mit den Worten soll (sollen) / empfohlen
ausgezeichnet.
• Optionale Anforderungen (KANN-Anforderungen) können umgesetzt
werden. Sie sind im Text mit den Worten kann (können) / darf
(dürfen) ausgezeichnet.
STRIDE ist ein Akronym und steht für Spoofing (nachahmen,
Vortäuschen einer Identität), Tampering (fälschen, manipulieren von
Daten), Repudiation (Abstreiten einer Handlung), Information
Disclosure (aufdecken, veröffentlichen von Informationen), Denial
of Service (Dienstverweigerung) und Elevation Privilege
(unzulässige Erweiterung von Rechten). STRIDE wurde 2002 von
Microsoft für die Klassifizierung von Angriffsmustern
entwickelt.
In Teil 4 dieses Dokumentes werden die Sicherheitsmaßnahmen in
einer Kreuzreferenztabelle auf die Be drohungen abgebildet. Auf
diese Weise lässt sich nachvollziehen, inwieweit durch die
Sicherheitsmaß nahmen eine Abdeckung und damit auch eine
erfolgreiche Abwehr der aufgezeigten Bedrohungen möglich
wird.
6 Bundesamt für Sicherheit in der Informationstechnik
2 Sicherheitsmaßnahmen
M1.01 Informations- und Sicherheitsmanagement M1.01-1 Der Cloud
Service Provider muss über formale und dokumentierte
Sicherheitsrichtlinien ver fügen. Die Sicherheitsrichtlinien
müssen Ziele, Geltungsbereiche, Rollen und Verantwortlichkeiten,
die Koordination unterschiedlicher Unternehmensbereiche,
Sicherheitsarchitekturen und -maßnahmen zum Schutz von Daten,
IT-Systemen und IT-Infrastrukturen, sowie Maßnahmen zur Einhaltung
rechtlicher An forderungen (Compliance) beschreiben.
M1.01-2 Vor dem Hintergrund der in Teil 2 dieses Sicherheitsprofils
beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende
(Detail-) Aspekte zu berücksichtigen:
(1) IAM, Zutritts-, Zugangs- und Zugriffskontrolle: In
Zusammenarbeit bzw. nach den Vorgaben des Serviceabonnenten muss
ein Konzept zur Kontrolle und zur Steuerung von Zugriffsrechten
(Identity & Access Management), auf die Funktionen des Cloud
Self-Service Portals und die Kundendaten des Serviceabonnenten
(siehe M1.03-3(1)) definiert und umgesetzt werden. Zugangs- und
Zugriffsberechtigungen sind nicht nur auf der Basis der Identität
der Akteure festzu legen, sondern auch auf der Grundlage
zusätzlicher Regeln und Eigenschaften der Komponenten und
Funktionen der Collaboration Platform sowie der Zugriffsobjekte
(bspw. auf der Grundlage der Klassi fizierung/Einstufung gem. der
Schutzbedarfsfeststellung des Serviceabonnenten). Das Identity
& Access Management (IAM) Konzept soll imstande sein,
systemtechnisch erzwungene Zugangs- und Zugriffskontrollen
(Mandatory Access Controls) und benutzerbestimmbaren / benutzer
bestimmten Zugangs- und Zugriffskontrollen (Discretionary Access
Controls) auf der Grundlage zuver lässiger elektronischer
Identitäten und Attribute (Autorisierungen) abzubilden und
durchzusetzen. Zusätzlich müssen verbindliche Regelungen zur
regelmäßigen Überprüfung der Notwendigkeit und Zulässigkeit bzgl.
der Aufrechterhaltung erteilter Berechtigungen festgelegt
werden.
(2) Sicherheitsüberprüfungen von Personal:
Siehe M3.01
M1.01-3 Auf der Grundlage dieser Sicherheitsrichtlinien sind durch
den der Cloud Service Provider
M1.01-1: Spoofing Tampering Repudiation Information Disclosure
Denial of Service Elevation of Privilege
M1.01-2(1): Spoofing Repudiation Information Disclosure Elevation
of Privilege
M1.01-2(2): Spoofing Tampering Repudiation Information
Disclosure
dokumentierte Prozesse zu etablieren, welche die Aktualität und
Umsetzung der Sicherheitsrichtlinien durchsetzen, kontrollieren und
ihre Wirksamkeit regelmäßig überprüfen und nachvollziehbar
dokumentieren.
Denial of Service Elevation of Privilege
M1.02 Risiko- und Incidentmanagement M1.02-1 Der Cloud Service
Provider muss über formale und dokumentierte Richtlinien zum
Risiko management verfügen.
Die Richtlinien müssen Ziele, Geltungsbereiche, Rollen und
Verantwortlichkeiten sowie Festlegungen zur regelmäßigen Analyse
und Bewertung möglicher Bedrohungen von Informationen und
Informations systemen und zum Umgang mit sicherheitsrelevanten
Ereignissen umfassen.
M1.02-2 Auf der Grundlage dieser Richtlinien sind durch den Cloud
Service Provider dokumentierte Prozesse zu etablieren, die eine
angemessene Reaktion auf sicherheitsrelevante Ereignisse auslösen
sowie die in den Richtlinien beschriebenen Maßnahmen zur Abwehr von
Sicherheitsbedrohungen und Dokumentation durchsetzen.
M1.02-3 Der Cloud Service Provider muss dokumentierte Prozesse
etablieren, welche die Umsetzung der Richtlinien durchsetzen und
kontrollieren sowie ihre Wirksamkeit und Aktualität regelmäßig
überprüfen und nachvollziehbar dokumentieren. Dazu gehört auch die
regelmäßige Informationsbeschaffung über bekannte und neue
Sicherheitslücken oder Schwachstellen, sowie dagegen anwendbare
Maßnahmen, unter Nutzung unterschiedlichster, unabhängiger Quellen
(bspw. Hersteller, CERT's etc.).
M1.02-4 Die Zuverlässigkeit und Angemessenheit der in den
Richtlinien beschriebenen Abläufe und Maßnahmen soll durch
regelmäßige Assessments vor dem Hintergrund der aktuellen
Bedrohungslage überprüft werden.
M1.02: Spoofing Tampering Repudiation Information Disclosure Denial
of Service Elevation of Privilege
M1.03 Schutz von Informationen M1.03-1 Aufbauend auf M1.01 muss der
Cloud Service Provider über formale und dokumentierte Richt linien
zum Umgang mit und zum Schutz von sicherheitsrelevanten
Informationen bei der Verarbeitung, dem Transport, der Migration
(einschließlich der involvierten virtuellen und physischen
Ressourcen), der Speicherung und der Löschung von Daten
verfügen.
Dazu gehören Kundendaten, Konfigurations- und Prozessdaten der
involvierten IT-Infrastruktur wie auch Protokolldaten über
Aktivitäten und sicherheitsrelevante Ereignisse.
M1.03-2 Die Richtlinien müssen Ziele, Geltungsbereiche,
einschließlich stufenweiser und voneinander getrennter
Architekturen, logischer Zonen und Bereiche, Rollen und
Verantwortlichkeiten, die Einstufung des Schutzbedarfes und
Festlegungen für eine in Systematik und Durchsetzung wirksame
Zugriffs kontrollstrategie, mit der ein unbefugter Zutritt und
Zugang zu, sowie Zugriff auf oder der Verlust von Informationen
nicht unentdeckt bleibt und zuverlässig verhindert werden kann,
umfassen.
M1.03-3 Vor dem Hintergrund der in Teil 2 dieses Sicherheitsprofils
beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende
(Detail-) Aspekte zu berücksichtigen:
(1) Klassifizierung/Einstufung und Kennzeichnung von
Informationen/Daten:
Der Cloud Service Provider muss eine eindeutige
Klassifizierung/Einstufung und unverwechselbare digitale
Kennzeichnung von Informationen und/oder Daten des jeweiligen
Serviceabonnenten unter stützen und umsetzen.
Dabei sind sowohl die kritischen Kundendaten auf den
Datenhaltungsschichten und -systemen zu be rücksichtigen, als auch
die Konfigurationsdaten der involvierten Komponenten. Die
Einstufung des Schutzbedarfes von Kundendaten muss in Abstimmung
mit den Serviceabonnenten erfolgen.
Die Sicherheitsziele und -maßnahmen des CSP dürfen nicht zu einer
Minderung von Schutzbedarfs feststellungen des Serviceabonnenten
oder zur Verletzung rechtlicher Anforderungen führen.
Die unverwechselbare, digitale Kennzeichnung von Informationen und
Daten soll Grundlage für die er forderliche Separierung von
anderen Mandanten und externen Dritten sowie für die Trennung von
Zu griffsberechtigungen bzgl. der (internen) Akteure des
jeweiligen Dienstabonnenten sein.
(2) Storage Security: Die wichtigen Komponenten der Infrastruktur
(hier vor allem der Speicherressourcen), die kritischen Anwendungen
und Datenbestände auf Speicher-Arrays und Bändern sind so
abzusichern, dass sie gegen Missbrauch und Datenkorruption
geschützt sind. Ein möglicher Datendiebstahl darf aufgrund einer
durchgängigen und starken Storage-Verschlüsselung keine
Folgeschäden für den betroffenen Serviceabonnenten/Mandanten hat.
Das Storage Security Konzept des Cloud Service Providers soll sich
in einem selektiven und ab gestuften Ansatz am Wert der zu
sichernden Daten gemäß der Schutzbedarfsfeststellung des jeweiligen
Dienstabonnenten orientieren (siehe dazu auch M1.03-3(1)). Dieses
Storage Security Konzept ist Bestandteil der
IT-Sicherheitsleitlinie des CSP und entsprechend auf die
Bedürfnisse eines jeden Serviceabonnenten/Mandanten anzuwenden. Das
Konzept soll den Aufbau einer mehrstufigen Storage Security
Architektur beim CSP ermöglichen, welche die Anforderungen für
Data-at-Rest und Data-in-Motion auf der Grundlage eines stringent
ge planten Zonenkonzepts berücksichtigt. Diese Anforderungen
sollen unter Einsatz ausschließlich ge eigneter Produkte
(Speicherlösungen) erfolgen. Das Storage Security Konzept muss die
Grundlage zur Sicherstellung und Gewährleistung der Integri tät
aller schützenswerten Daten sein und eine regelmäßige Überprüfung
der erforderlichen organisatorischen Maßnahmen und Prozesse
festlegen.
(3) Datensicherung, Archivierung, Backup & Recovery: Zur
Sicherstellung der Verfügbarkeit von Informationen bzw. zur
Vermeidung von Datenverlusten,
M1.03-3(1): Spoofing Information Disclosure Elevation of
Privilege
M1.03-3(2): Tampering Information Disclosure Denial of
Service
M1.03-3(3): Tampering
sowie der erforderlichen Integrität, sind zuverlässige Prozesse
einer regelmäßigen Datensicherung (Backup) und Wiederherstellung
von Daten (Recovery) etablieren, einschließlich der Maßnahmen zur
regelmäßigen Überprüfung der Wiederherstellbarkeit von
Datensicherungen. Gesetzliche sowie datenschutzrechtliche Maßgaben
sind hierbei ebenso zwingend zu berücksichtigen, wie der durch den
Serviceabonnenten festgelegte Schutzbedarf. Vertrauliche und
besonders schutzbedürftige Daten sind vor der Sicherung so zu
verschlüsseln, dass diese über den gesamten Zeitraum des Vertrages
wieder entschlüsselt und verwendet werden können. Dabei ist
insbesondere für den sicheren Umgang mit Archivdatenträgern
eindeutig zu regeln, welche Daten wann, wie und durch welches
hierzu berechtigte Personal gesichert sowie ggf. im Anschluss zu
welchem Zweck und wohin transportiert sowie am Zielort wie
aufbewahrt werden. Diese Tätigkeiten sind nachweisbar durchgängig
und lückenlos zu dokumentieren. Maßgaben der Kennzeichnung von
Information (siehe M1.03-3(1)) und der sicheren Löschung bzw.
Vernichtung von Daten (siehe M1.03-3(4)) sind hierbei zwingend
anzuwenden. Zusätzlich sollen diese Konzepte und Richtlinien im
jeweiligen Notfallkonzept (Disaster Recovery) integriert
werden.
(4) Sichere Löschung und Vernichtung von Daten:
Auf Verlangen des Serviceabonnenten oder nach Beendigung des
Servicevertrages müssen sämtliche Daten des Serviceabonnenten,
einschließlich der auf Backup-Systemen gespeicherten Daten,
innerhalb eines vertraglich vereinbarten Zeitraums sicher auf den
Speichermedien des Cloud Service Providers gelöscht werden. Die
Löschung ist durch Vorlage eines Löschprotokolls zu belegen.
Anmerkung: Falls diese Löschung lediglich darin besteht, die
Referenz auf die Daten zu löschen (bspw. die konkrete LUN), sollte
der CSP den Abonnenten über die (durchschnittliche) Zeitdauer
informieren, innerhalb derer die auf den physischen Sektoren im
Speichernetz des CSP abgelegten Daten als nicht wiederherstellbar
gelten dürfen. Das dafür eingesetzte Verfahren (Bspw. basierend auf
dem 'National Industrial Security Program Operating Manual (NISPOM
DoD 5520-22M vom Februar 2006. Bei dieser Variante, die 7
Durchläufe ausführt, (DoD 5220.22-M ECE) werden die Daten zunächst
mit den 3 Durchläufen des DoD 5220.22-M (E) Standards
überschrieben, danach mit einem Zufalls wert, anschließend erneut
durch DoD 5220.22-M (E)). Das Verfahren und der Zeitraum sollten
ver traglich festgehalten werden.
Die Löschung und Vernichtung von Daten bezieht sich auch auf
Informationen bzgl. der Authenti fikation und Berechtigung von
Akteuren/Subjekten (siehe M1.01-2(1)). Wenn ein Mitarbeiter des CSP
das Unternehmen verlässt oder der Vertrag mit Servicepartnern
erlischt bzw. beendet wird, müssen Authentifikationsdaten und
Berechtigungen unverzüglich gelöscht werden. Jede Löschung ist
akten kundig nachweisbar festzuhalten.
M1.03-4 Der Cloud Service Provider muss dokumentierte Prozesse
etablieren, die die Umsetzung dieser Richtlinien durchsetzen,
kontrollieren und ihre Wirksamkeit regelmäßig überprüfen und
nachvollziehbar
Information Disclosure Denial of Service
M1.03-3(4): Tampering Information Disclosure Denial of
Service
dokumentieren.
M1.04 Schutz von Informationssystemen M1.04-1 Aufbauend auf M1.01
muss der Cloud Service Provider über formale und dokumentierte
Richt linien für die Identifikation und Authentifikation beim
Zutritt und Zugang zu, sowie den Zugriff auf Komponenten und
Systeme des Service verfügen.
M1.04-2 Die Richtlinien sollen Ziele, Geltungsbereiche,
einschließlich der Gestaltung dement sprechender Infrastrukturen
und physisch gesicherter Bereiche, die physische Redundanz von
Systemen und Infrastrukturen sowie deren Überwachung (Monitoring)
umfassen. Die Richtlinien müssen Rollen und Verantwortlichkeiten,
die Koordination unterschiedlicher Unternehmenseinheiten sowie ein
in Systematik und Durchsetzbarkeit wirksames Rollen- und
Rechtekonzept beschreiben, welches einen unbefugten oder
unentdeckten Zutritt und Zugang zu, sowie Zugriff auf
Informationssysteme zu verhindern imstande ist.
M1.04-3 Vor dem Hintergrund der in Teil 2 dieses Sicherheitsprofils
beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende
(Detail-) Aspekte zu berücksichtigen:
(1) Gesicherte Infrastruktur:
Das kann bspw. eine durch ein Sicherheitsunternehmen unter
Zuhilfenahme angemessener Sicher heitssysteme – Zäune mit Sensoren
und Meldegruppen sowie einer Videoüberwachung (CCTV) oder sonstige
Einfriedung sein, für die mittels unterschiedlicher Mehr-Faktor
Zugangskontrollsysteme (Passwort und Smart-Card, Passwort und/oder
Überprüfung biometrischer Merkmale, etc.) der Zutritt nur für
autorisiertes Personal ermöglicht wird.
(2) Schutz vor Schadprogrammen:
Um die Informationssysteme, einschließlich der darauf verarbeiteten
bzw. gespeicherten Daten vor Schadprogrammen schützen zu können,
muss der CSP vorbeugende Maßnahmen definieren sowie das Vorgehen im
Fall einer Infektion mit Schadprogrammen bzw. der Feststellung von
Schadprogrammen regeln.
Dabei ist sicherzustellen, dass sowohl alle relevanten
organisatorischen Prozesse (bspw. Datenaus tausch mittels mobiler
Datenträger), wie auch die technische Umsetzung (bspw. durch
Bildung von Teilnetzen und die sichere Grundkonfiguration von
Systemen) bzgl. des Infektionsschutzes gewähr leistet werden und
die Verbreitung sowie die Schadenswirkung von bereits auf den
Systemen be findlichen Schadprogrammen effektiv minimiert wird
(zweckmäßige Definition von Gegenmaßnahmen).
Dafür ist die Planung und der Einsatz geeigneter Hardware- und
Softwarekomponenten erforderlich,
M1.04-3(1): Repudiation Information Disclosure Denial of Service
Elevation of Privilege
M1.04-3(2): Spoofing Information Disclosure Denial of Service
Elevation of Privilege
welche mittels eines zentralen Managementwerkzeugs verwaltet und
überwacht werden können. Dieses zentrale Management soll sicher
stellen, dass alle relevanten Komponenten mindestens ein Mal
täglich mit aktuellen Angriffsmustern und Signaturen versorgt
werden können und zugleich über eine Schnittstelle für Alarme und
Meldungen zu weiteren Überwachungs- und Korrelationssystemen ver
fügen.
Die im Rahmen des Schutzes vor Schadprogrammen definierten
Richtlinien sollen darüber hinaus im Konzept bzgl. der Pflege von
Informationssystemen, Patches, Updates und Upgrades berücksichtigt
werden, um einerseits einen präventiven Schutz gewährleisten zu
können und andererseits – ins besondere im Rahmen von
Gegenmaßnahmen – auch auf bestehende Gefährdungen durch
Schadprogramme reagieren zu können (bspw. durch das Schließen von
Schwachstellen in einer Soft ware).
(3) Schutz vor APT (Advanced Persistent Threats):
Die Cloud-Umgebung des CSP muss gegen APT-Attacken geschützt
werden. Dazu müssen geeignete Network Access Control-Mechanismen
(NAC) implementiert werden, welche als (mehrstufige) Schutz zonen
sich über alle in Kommunikation miteinander befindlichen
Komponenten (dazu zählen auch die Anwendungen und Schnittstellen)
und Systeme erstrecken.
Die Umsetzung sollte mittels effizienter NAC in Verbindung mit
anderen Secure Remote Access-Technologien, wie bspw. Firewalls und
Hybrid IPsec/SSL VPNs erfolgen.
Anmerkung: Da APT-Attacken häufig auch durch den Missbrauch von
Social Engineering ausgelöst werden, sind die Mitarbeiter des CSP
regelmäßig auf die Gefahren und den Umgang mit Social Engineering
hinzuweisen (siehe dazu auch M3.03-4).
(4) Notfallkonzepte (Disaster Recovery):
Der Cloud Service Provider muss über formale und dokumentierte
Richtlinien für den Schutz von Informationssystemen für den Fall
verfügen, dass unerwartete, aber technisch beherrschbare Ereig
nisse eintreten. Zu diesen Ereignissen zählen unter anderem der
Ausfall technischer Komponenten oder Bedrohungen durch
Elementarereignisse wie Feuer, Wasser oder andere
Umwelteinflüsse.
Diese Richtlinien sollten Teil eines umfassenden Notfallmanagements
(Business Continuity Management) auf der Basis etablierter
Standards (z.B. ISO 22301 oder BSI-Standard 100-4) sein. Die darin
beschriebenen Regelungen und Maßnahmen sollten regelmäßig, auf der
Basis etablierter Prozesse erprobt und auf ihre Wirksamkeit und
Zulässigkeit hin überprüft werden.
(5) Pflege von Informationssystemen, Patches, Updates und
Upgrades:
Die Systeme und Komponenten der Cloud-Umgebung des CSP müssen in
regelmäßigen Intervallen sowie bei aktuell gegebenem Bedarf mit
verifizierten und zuvor erfolgreich getesteten Patches,
M1.04-3(3): Tampering Repudiation Information Disclosure Denial of
Service Elevation of Privilege
M1.04-3(4): Information Disclosure Denial of Service
M1.04-3(5): Tampering Information Disclosure Denial of
Service
Updates aktualisiert werden.
Vor der Aktualisierung oder sonstigen Pflegemaßnahme müssen diese
Maßnahmen erfolgreich inner halb einer separaten Test- und
Referenzumgebung getestet worden sein. Dies muss der Aktualisierung
vorangehen, um die aus der gegebenen Komplexität nicht
kalkulierbaren Sachverhalte vorher fest stellen und evaluieren zu
können, ohne die Grundschutzwerte des operativen Systems/der
operativen Umgebung zu gefährden.
Diese Aktualisierungen sollen der zu gewährleistenden Verfügbarkeit
der Cloud Services, aber auch zur Sicherstellung der gewünschten
Funktionsweise im Rahmen der erforderlichen Vertraulichkeit dienen.
Zugleich müssen die betroffenen Systeme und Komponenten so gepflegt
werden, dass ihre sichere Konfiguration uneingeschränkt gegeben ist
und erforderliche Anpassungen somit auch zeitnah erfolgen
können.
Zur Sicherstellung der Verfügbarkeit der Cloud Services für die
Serviceabonnenten sind derartige Maßnahmen rechtzeitig vorher
anzukündigen bzw. bei einem größeren Umfang (bspw. beim Upgrade von
Hard- und Software) mit dem jeweiligen Mandanten gemeinsam
abzustimmen.
M1.04-4 Der Cloud Service Provider muss dokumentierte Prozesse
etablieren, welche die Realisierung dieser Richtlinien durchsetzen,
kontrollieren und ihre Wirksamkeit regelmäßig überprüfen und nach
vollziehbar dokumentieren.
2.2 Technische Sicherheitsmaßnahmen
M2.01 Authentifizierung und Autorisierung M2.01-1 Die
Informationssysteme des Cloud Service müssen eine
• zuverlässige Replay-resistente Multifaktor-Authentisierung für
Netzwerkzugriffe auf privilegierte und nicht-privilegierte
Nutzerkonten eines Serviceabonnenten und eine
• zuverlässige Replay-resistente Multifaktor-Authentisierung für
Zugriffe auf Komponenten, Systeme und Daten des Service durch
Mitarbeiter des Serviceproviders sowie in die Bereitstellung des
Service involvierter Dritter durchsetzen.
M2.01-2 Dabei ist sicherzustellen, dass rollen- und regelbasierte
Zugriffe auf Komponenten und Systeme nur in Verbindung mit einer
eindeutigen, individuellen (d. h. personenbezogenen oder für
Dienste mittels
M2.01: Spoofing Repudiation Information Disclosure Elevation of
Privilege
einer systembezogenen) Authentifizierung auf der Grundlage sicherer
und verifizierbarer elektronischer Identitäten möglich sein
dürfen.
Die personen- oder systembezogene Authentisierung muss der rollen-
und regelbasierten Authentisierung übergeordnet sein. Eine Umgehung
von Authentifizierungsmaßnahmen beim Zugriff auf Anwendungen,
Komponenten und Daten darf nach dem Stand der Technik nicht möglich
sein.
Ein nicht autorisierter Zugriff auf und die Manipulation von
Authentifizierungsinformationen muss nach Maßgabe zu erwartender
Bedrohungen ausgeschlossen werden können.
Anmerkung: Um darüber hinaus einen sicheren nach Mandanten und nach
Akteuren getrennten Zugriff etablieren zu können, ist die
Kennzeichnung (Attribuierung) von Informationen und Daten gem. der
Schutzbedarfsfeststellung des Serviceabonnenten eine wesentliche
Voraussetzung. Auf der Grundlage dieser Kennzeichnung kann im
Anschluss an die erfolgreiche Authentifikation des jeweiligen
Akteurs auch die Autorisierung für den Zugriff auf Anwendungen und
Objekte zweifelsfrei festgestellt werden.
M2.02 Schutz gespeicherter Daten M2.02-1 Die Informationssysteme
des Cloud Service müssen sicher stellen, dass ein Zugriff auf
Kundendaten erst nach erfolgreicher und zweifelsfreier
Identifikation und Authentifikation (sowohl bzgl. aller Akteure,
als auch infrage kommender Dienste) möglich ist (siehe auch M1.01,
M1.03, M1.04 und M2.01). Durch die zwingende Verknüpfung rollen-
und regelbasierter Zugriffe mit individuellen Authenti
fikationsinformationen muss eine unbemerkte Eskalation von
Zugriffsrechten verhindert werden können. Mandantenbezogene
Speicherressourcen sind strikt und zuverlässig voneinander zu
trennen (siehe auch M2.02-2(2).
M2.02-2 Vor dem Hintergrund der in Teil 2 dieses Sicherheitsprofils
beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende
(Detail-) Aspekte zu berücksichtigen:
(1) Verschlüsselung von Daten:
Storage-Security-Appliances müssen für die Data-at-Rest-Sicherheit
über Funktionen wie Datenver schlüsselung
(Storage-Verschlüsselung), Zugangsschutz, Firewall, Logging und
Auditing sowie Key-Management verfügen. Die Sicherheit und die
Zuverlässigkeit der kryptographischen Maßnahmen und Komponenten
sowie die Integrität verschlüsselt gespeicherter Daten ist
regelmäßig zu überprüfen und zu nachzuweisen.
M2.02-2(1): Tampering Information Disclosure Denialof Service
(2) Sichere Trennung von Komponenten, Diensten und Daten
(Multi-Mandanten-Fahigkeit):
Die Informationssysteme des Cloud Service müssen eine strikte und
sichere Trennung von Komponenten, Diensten, Anwendungen und Daten
verschiedener Serviceabonnenten durchsetzen. Dazu zählen auch bspw.
die sichere Authentifizierung zwischen Switchen, die Trennung von
Mandanten auf Netzebene und die ausschließliche Verwendung von
sicheren Zugriffsmechanismen für die Fern administration sowie der
Sicherstellung von Zugriffen auf Systemkonsolen nur über
verschlüsselte Verbindungen. Eine Kompromittierung der Integrität
ausführbarer Programme und/oder Programm instanzen darf nach
Maßgabe zu erwartender Bedrohungen nicht unbemerkt bleiben. Der
Zugang zu diesen Komponenten, insbesondere zu genutzten
Speichermedien, darf nur ausdrücklich autorisierten Personen
möglich sein (siehe M1.01).
Anmerkung: Die Trennung von Mandanten und Ressourcen muss stringent
und fehlerfrei beginnend mit der Anmeldung im ADL bis hin zum
Informations-/Datenobjekt, auf welches durch die jeweilige
Anwendung zugegriffen werden soll, durchgesetzt werden. Dazu
braucht es eindeutige und zweifels freie elektronische Identitäten
sowie sichere und nicht zu umgehende Authentifikationsprozeduren,
mit denen einer Eskalation von Zugriffsrechten zuverlässig begegnet
werden kann.
(3) Sichere Konfiguration von Speicher-Arrays/SAN: Die
Speicherressourcen des CSP müssen gegen die unbefugte Kenntnisnahme
und den unbefugten Zugriff durch Dritte geschützt werden.
(Virtualisierte) Speicherressourcen sind durch Segmentierung
abzusichern und sicher zu konfigurieren, bspw. durch sicheres
Zoning und/oder LUN Maskerading, so dass eine Überwindung der
logischen Netzwerkseparierung sowie eine fehlerhafte Zuordnung von
Speicherressourcen ausgeschlossen werden können. Anmerkung: Zur
Sicherstellung der Vertraulichkeit der in der Cloud-Umgebung
gespeicherten Informationen und Daten eines jeden einzelnen
Mandanten, ist es erforderlich, dass der jeweilige Serviceabonnent
zusammen mit dem CSP auf der Grundlage der
Schutzbedarfsfeststellung des Serviceabonnenten prüft und festlegt,
welche Form des Zoning und/oder Masquerading genutzt werden
müssen.
(4) Überprüfung der Integrität und Sicherstellung der
Verwendbarkeit:
Die Integrität gespeicherter Daten und die Lesbarkeit bzw. die
Verwendbarkeit der Speichermedien (einschließlich der Integrität
der SAN-Fabric) und der darauf befindlichen Daten sind regelmäßig
und unabhängig vom Speicher- oder Aufbewahrungszeitraum zu
überprüfen und zu protokollieren.
Für Daten oder Dokumente mit hohem Schutzbedarf muss gewährleistet
sein, dass unzulässige Änderungen – auch im Falle einer erneuten
Speicherung – nicht unbemerkt bleiben.
(5) Datensicherung, Backup und Archivierung:
Die gemäß M1.04-3(3) definierten Richtlinien sind so umzusetzen,
dass erforderliche Daten
M2.02-2(2): Tampering Information Disclosure
M2.02-2(4): Tampering Denial of Service
M2.02-2(5): Denial of Service
sicherungsmaßnahmen zu den definierten Intervallen
unterbrechungsfrei und sicher stattfinden. Bei erhöhtem
Schutzbedarf sind voneinander unabhängige Datensicherungssysteme
(DSS) einzusetzen (bspw. ein DSS für Daten mit dem Schutzbedarf
„normal“ und ein DSS für Daten mit dem Schutzbedarf „hoch“).
Insbesondere bei der Nutzung von Backup- und Archivsystemen, bei
welchen die Daten auf externe Datenträger gesichert werden (bspw.
Datenbänder (Tapes) oder Festplatten), ist die zusätz liche
Trennung und Kennzeichnung dieser Datensicherungen und Datenträger
nach dem jeweiligen Mandanten erforderlich.
Der CSP muss sicherstellen, dass die hierfür benötigten Systeme und
Speicherkapazitäten unein geschränkt zur Verfügung stehen und
überwacht werden. Regelmäßige Backup-Maßnahmen müssen den Verlust
gespeicherter Daten durch Ausfall oder Störungen von virtuellen
und/oder physikalischen Ressourcen verhindern und eine
unverzügliche Wiederaufnahme des Service in der zugesicherten
Leistungsgüte gewährleisten.
(6) Einstufung und Kennzeichnung von Daten: Die durch den
Serviceabonnenten als schutzbedürftig definierten
Informationen/Daten (sowohl die kritischen Kundendaten auf den
Datenhaltungsschichten und -systemen, als auch die Konfigurations
daten der involvierten Komponenten, siehe auch M1.03-3(1)), sind
gemäß dem dazu gemeinsam er arbeiteten Konzept zu klassifizieren
und zuverlässig zu kennzeichnen (digital classification label).
Ziel ist die Anwendung der getroffenen Definitionen auf alle Daten
des jeweiligen Serviceabonnenten, ein schließlich der separat
gespeicherten Konfigurationsdaten der für die Cloud Services des
jeweiligen Mandanten relevanten Systeme und Komponenten. Hierzu
können Anwendungen oder Scripte für Office-Anwendungen oder Dienste
genutzt werden (bspw. die Kennzeichnung der Daten aufgrund der
Gruppenzugehörigkeit des Erstellers/Besitzers oder auf Grund des
Inhalts/der Schlagworte in einer Datei), welche die vom CSP
etablierten Prozesse zur Einstufung und Kennzeichnung sowie zur
Wahrung der Integrität unterstützen. Anmerkung: Die Kennzeichnung
(Attribuierung) der Information und Daten auf der Grundlage der
Schutzbedarfsfeststellung durch den Serviceabonnenten stellen eine
entscheidende Voraussetzung für Regelungen bzgl. der Gewährung von
Zugang und Zugriff auf diese Daten dar. Nur so ist eine benutzer-
und systembestimmte Trennung von Mandanten und Akteuren eines
Mandanten stringent durchsetz bar.
M2.02-2(6): Tampering Information Disclosure Denial of Service
Elevation of Privilege
M2.03 Schutz von Daten während der Kommunikation/des Transports
M2.03-1 Die Informationssysteme des Cloud Service müssen
vertrauenswürdige Kommunikationskanäle und Kommunikationsendpunkte
für die Kommunikation mit dem Serviceabonnenten sowie der Daten
übertragung zwischen den Servicekomponenten und -systemen
einschließlich der Kommunikation mit in volvierten Drittanbietern
bereitstellen.
M2.03-2 Vor dem Hintergrund der in Teil 2 dieses Sicherheitsprofils
beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende
(Detail-) Aspekte zu berücksichtigen:
(1) Schutz der Kommunikation und Kommunikationsendpunkte:
Die Informationssysteme des Cloud Service müssen vertrauenswürdige
Kommunikationskanäle und Kommunikationsendpunkte für die
Kommunikation mit dem Serviceabonnenten sowie der Datenüber
tragung zwischen den Servicekomponenten und -systemen
einschließlich der Kommunikation mit in volvierten Drittanbietern
bereitstellen. Der hierbei erwartete Funktionsumfang muss unter
anderem die Verschlüsselung der Kommunikation, die zwingende
Zugriffskontrolle für die Management-Schnitt stelle(n), eine
Switch-zu-Switch-Authentifikation und -Autorisierung sowie die
Zugriffskontrolle auf etwaige Device-Level (Ports) umfassen.
Die Vertrauenswürdigkeit muss durch eine ausreichende
Verschlüsselung der Kommunikationskanäle, eine sichere
Authentisierung der Kommunikationsendpunkte, eine sichere
Authentifizierung der diese Kommunikationsverbindungen nutzenden
Akteure, geeignete Maßnahmen zum Schutz der Authentizi tät von
Kommunikationssitzungen sowie die Validierung importierter Daten
unterstützt werden. Daher sind zu diesem Zweck ausschließlich
sicherheitsgeeignete Technologien und Verfahren sowie ver
trauenswürdige Kommunikationsanbieter (ISP) einzusetzen.
Störungen der Kommunikation ausgelöst durch Fehlverhalten oder den
Ausfall von Komponenten muss durch eine ausreichende redundante
Auslegung der Kommunikationsressourcen, einschließlich der
relevanten Netzwerkverbindungen und genutzten Plattformen, begegnet
werden.
Bei einer Störung der Kommunikation muss die Plattform in der Lage
sein, den Originalzustand der möglicherweise durch die Störung
korrumpierten Dokumenet wiederherzustellen.
Anmerkung: Für das Anwendungsszenario „SaaS Collaboration Platform“
ist der Schutz der Informationen und Daten während der
Kommunikation mit und in der Cloud-Umgebung des CSP be sonders
wichtig. Aus diesem Grund sind insbesondere die
Kommunikationsverbindungen und die ent sprechenden
Kommunikationsendpunkte sowie diese Kommunikationsverbindungen
nutzenden Kommunikationspartner durch geeignete Maßnahmen
ausreichend zu schützen, so dass ein nicht autorisierter Zutritt
und Zugang nach Maßgabe zu erwartender Bedrohungen ausgeschlossen
werden kann. Eine redundante Auslegung ermöglicht im Fall einer
Kompromittierung die Schließung be troffener Kommunikationskanäle
und den Wechsel auf nicht kompromittierte
Kommunikationskanäle.
(2) Überwachung der Aktivitäten in Netzwerken mittels NIDS (Network
Intrusion Detection System):
Die Kommunikation zwischen Abonnenten, Komponenten und Systemen des
Cloud Service ist durch Netzwerk-basierte Intrusion Detection
Systeme zu überwachen und zu protokollieren, um so auf tretende
Anomalien, Auffälligkeiten, Gefährdungen und Angriffe
schnellstmöglich feststellen zu können.
Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen
umgehend und automatisch an ge
M2.03-2(1): Spoofing Tampering Repudiation Information Disclosure
Denial of Service
M2.03-2(2): Spoofing Repudiation Information Disclosure Denial of
Service
eignete SIEM- Systeme (Security Information and Event Management)
weitergeleitet werden, um aus den korrelierten Informationen
umgehend erforderliche (Gegen-) Maßnahmen initiieren zu können. Die
Log-Daten sollen zuverlässig vor Manipulation geschützt werden. Die
Log-Daten sollen zuverlässig über einen, den Zwecken angemessenen,
Zeitraum vor Verlust geschützt werden.
(3) Überwachung der Kommunikation mittels HIDS (Host-basierten
Intrusion Detection Systemen):
Zur Realisierung der Kommunikation zwischen Abonnenten, Komponenten
und Systemen des Cloud Service muss die Steuerung der Datenströme
(bspw. zur Annahme, Prüfung und Beantwortung von Anfragen) durch
zentralisierte Systeme (bspw. für die Authentifizierung und
Autorisierung) erfolgen.
Diese Informationssysteme stellen aufgrund ihrer herausgehobenen
und zentralen, für die Cloud Services entscheidenden Rolle
besonders gefährdete und schützenswerte Objekte dar. Derartige
Systeme sind deshalb zusätzlich zu M2.03-2(2) als operativ
kritische Ressourcen mittels HIDS zu überwachen.
Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen
umgehend und automatisch an ge eignete SIEM-Systeme (Security
Information and Event Management) weitergeleitet werden, um aus den
korrelierten Informationen erforderliche (Gegen-) Maßnahmen
initiieren zu können. Die Log-Daten sollen zuverlässig vor
Manipulation geschützt werden. Die Log-Daten sollen zuverlässig
über einen, den Zwecken angemessenen, Zeitraum vor Verlust
geschützt werden.
(4) Schutz wichtiger Daten mittels DLPS (Data Loss Prevention
System):
Als besonders schützenswert eingestufte Daten und Informationen
müssen nicht nur hinsichtlich ihrer sicheren
Speicherung/Aufbewahrung, sondern auch während jeder Form der
Kommunikation und des Austauschs dieser Inhalte zuverlässig
geschützt werden.
Hierzu sollen DLPS eingesetzt werden, welche nicht nur gegen
externe Akteure prüfen und agieren, sondern auch die Nutzer der
Cloud Services beim Umgang mit derartig sensiblen Informationen
unter stützen. Der hierbei erwartete Funktionsumfang soll sich
nicht nur auf die Entdeckung von Manipulationsversuchen sensibler
Inhalte während der Kommunikation beschränken, sondern vor allem
auch die Durchsetzung von Autorisierungs- und
Datenschutzrichtlinien durchsetzen.
Die Umsetzung dieser Richtlinien muss die sichere Verhinderung von
nicht gewollter Kommunikation sensibler Inhalte und die
Protokollierung und Weiterleitung der Auffälligkeiten an zentrale
Über wachungs- und Managementinstanzen (bspw. ein SIEM-System)
umfassen. Darüber hinaus soll aber auch die Benachrichtigung des
verursachenden Akteurs, dass die aktuell initiierte Kommunikation
so nicht erlaubt ist, unterstützt werden.
DLP-Systemfunktionen müssen hierbei mindestens die aktive Prüfung
der für den Download und/oder Upload auf externe bzw. nicht zuvor
definierte Zielsysteme erlaubten Inhalte (einschließlich
mobiler
M2.03-2(3): Spoofing Tampering Repudiation Information Disclosure
Denial of Service Elevation of Privilege
M2.03-2(4): Tampering Repudiation Information Disclosure Denial of
Service
Endgeräte, wie bspw. Notebooks, Smartphones und USB-Sticks), als
auch die Prüfung von Be rechtigungen der Kommunikationsakteure
(wer darf zu welchem Zweck was mit wem kommunizieren)
umfassen.
Anmerkung: DLPS stellen aktive Sicherheitskomponenten der für die
Bereitstellung der Cloud Services notwendigen Netzwerke und der an
diese Netze angeschlossenen Kommunikationsschnitt stellen und
Speicherbereiche (bspw. Speicher-Arrays und SAN sowie
E-Mail-Server) dar. DLP-Systeme sind daher für das
Anwendungsszenario „SaaS Collaboration Platform“ von besonderer
Bedeutung. Mit ihrer Hilfe ist eine zuverlässige Kontrolle
zulässiger Kommunikationspartner wie auch der Kommunikationsinhalte
möglich. Damit wird nicht nur die erforderliche Trennung der
Mandanten unterstützt, sondern auch die zwingende Authentifikation
und Autorisierung einzelner Akteure sowie die Wahrung der
Vertraulichkeit und der Integrität durch die Einschränkung bzw.
eindeutige Definition zulässiger Kommunikation von sensiblen und
schützenswerten Inhalten.
(5) Regelmäßige Schwachstellen- und Penetrationstests:
Die Sicherheit der Kommunikationsendpunkte muss durch regelmäßige
Schwachstellenscans (vulnerabilty scanning) und Penetrationstests
geprüft werden. Die dabei festgestellten Schwachstellen sind durch
sicherheitsrelevante Patches und Updates von betroffenen
Kommunikationssystemen un verzüglich zu beheben. Die Ergebnisse
eines jeden Tests sind zu dokumentieren und vor Manipulation und
vor Bloßstellung/ vor Einsicht- und Kenntnisnahme geschützt
aufzubewahren sowie zur zeitnahen Aktualisierung und Anpassung von
Sicherheitsrichtlinien einzusetzen.
M2.03-2(5): Spoofing Repudiation Information Disclosure Denial of
Service
M2.04 Schutz von Informationssystemen M2.04-1 Die
Informationssysteme des Cloud Service müssen eine sichere
Authentifikation beim Zugriff auf Nutzerkonten, Komponenten und
Systeme durchsetzen. Der Zutritt und Zugang zu sowie der Zugriff
auf besonders kritische Systeme oder Anwendungen, wie
Managementkonsolen, muss durch eine sichere
Multi-Faktor-Authentifizierung und durch voneinander getrennte
Zugriffspunkte (bspw. sollten Managementkonsolen nur über
kryptographisch gesicherten Kommunikationsverbindungen erreichbar
sein) geschützt werden.
M2.04-2 Vor dem Hintergrund der in Teil 2 dieses Sicherheitsprofils
beschriebenen Bedrohungsszenarien sind dabei insbesondere folgende
(Detail-) Aspekte zu berücksichtigen:
(1) Gesicherte Infrastruktur:
Ein unbemerkter Austausch von Komponenten und Systemen des Cloud
Service muss durch eine zu verlässige, kryptographisch gesicherte,
gegenseitige Authentifizierung verhindert werden. Diese Ab
sicherung sollte durch den Einsatz mehrerer, den Sicherheitszonen
der genutzten Infrastruktur ent sprechenden
Zutrittskontrollsysteme verhindert werden. Gemäß M1.01 muss der CSP
formale Prozesse etablieren, welche den Zutritt und den Zugang zu
Komponenten und Systemen des Cloud
M2.04-2(1): Spoofing Tampering Repudiation Information Disclosure
Denial of Service
Service ausschließlich für autorisierte Personen ermöglichen.
Der Zugriff auf diese Ressourcen (insbesondere bzgl. der
Archivdatenträger) ist zu protokollieren und diese Protokolle sind
sicher aufzubewahren und zuverlässig vor Manipulation zu schützen.
Der Zutritt und Zugang auf diese Ressourcen (insbesondere bzgl. der
Archivdatenträger) sollte ebenfalls protokolliert werden. Diese
Protokolle sollten sicher aufbewahrt und über, den jeweiligen
Zwecken angemessenen Zeitraum, vor Verlust oder Manipulation
geschützt werden.
(2) Schutz von Konfigurationsdaten:
Änderungen an den Konfigurationsdaten dürfen nur von ausdrücklich
autorisierten Akteuren (d.h. bspw. nur von den für diesen Mandanten
zuständigen Administratoren) und nicht ohne eine voran gehende
Multi-Faktor-Authentifizierung ausgeführt werden. Die Änderungen
müssen protokolliert, die Protokolle zuverlässig, über einen den
Zwecken angemessenen Zeitraum, vor Verlust oder Manipulation
geschützt werden.
(3) Überwachung kritischer Ressourcen:
Aktivitäten und Zugriffe auf operativ kritische physische
Ressourcen sind gemäß M2.03-2(2) und M2.03-2(3) durch Netzwerk-
bzw. Host-basierte Intrusion Detection Systeme (NIDS/HIDS) zu über
wachen und zu protokollieren.
Die protokollierten Daten (sicherheitsrelevante Ereignisse) sollen
umgehend und automatisch an ge eignete SIEM- Systeme (Security
Information and Event Management) weitergeleitet werden, um aus den
dann korreliert zur Verfügung stehenden Informationen erforderliche
(Gegen-) Maßnahmen um gehend initiieren zu können.
Die Log-Daten und Protokolle sind über einen dem Zweck angemessenen
Zeitraum zuverlässig vor Manipulation und Verlust zu
schützen.
(4) Schutz wichtiger Ressourcen mittels IPS (Intrusion Prevention
System):
Zusätzlich zu M2.03 sind wichtige Ressourcen der Cloud-Umgenung des
CSP durch IP-Systeme so zu schützen, dass die durch NIDS/HIDS
festgestellten Auffälligkeiten die sofortige Auslösung von zuvor
definierten Aktionen (bspw. Blockade von Ports oder Verbindungen,
Beendigung von Kommunikations strömen und Versendung von Alarmen
an entsprechende SIEM-Systeme und verantwortliche Akteure) zur
Folge haben.
M2.04-2(2): Tampering Information Disclosure Denial of
Service
M2.04-2(3): Spoofing Repudiation Information Disclosure Denial of
Service Elevation of Privilege
M2.04-2(4): Spoofing Tampering Information Disclosure Denial of
Service
Alle Aktionen von durch IPS initiierten Aktionen müssen automatisch
durch das auslösende System protokolliert und sollen umgehend an
geeignete SIEM- Systeme (Security Information and Event Management)
weiterzuleiten. Die Log-Daten und Protokolle müssen zuverlässig vor
Manipulation und Verlust geschützt werden.
Anmerkung: Für das Anwendungsszenario „SaaS Collaboration Platform“
ist der Schutz der Informationen und Daten während der
Kommunikation mit und in der Cloud-Umgebung des CSP be sonders
wichtig. Aus diesem Grund ist der Einsatz von IPS unabdingbar. Denn
nur mittels dieser In trusion Prevention Systeme kann zuverlässig
ein nicht autorisierter Zugriff auf entsprechend schützenswerte
Informationen und Daten des jeweiligen Dienstabonnenten
festgestellt und ggf. ver hindert werden. Zugleich unterstützt der
Einsatz von IPS die Wahrung der Verfügbarkeit der für die
entsprechenden Cloud-Dienste erforderlichen Komponenten des
CSP.
(5) Schutz kritischer Komponenten mittels HIPS (Host-based
Intrusion Prevention System):
Zusätzlich zu M2.03 und M2.04-2(3) sind kritische Komponenten der
Cloud-Umgebung, d.h. Systeme, welche für den operativen Betrieb
maßgeblich von Bedeutung sind (wie bspw. E-Mail-Server, Metadaten-
und Verzeichnissysteme und Sicherheitskomponenten wie
RADIUS-Sever), durch HIP-Systeme so zu schützen, dass die durch
NIDS/HIDS festgestellten Auffälligkeiten die sofortige Aus lösung
von zuvor definierten Aktionen (bspw. Beendigung von Diensten oder
Anwendungen, Blockierung des eingehenden Verkehrs und Versendung
von Alarmen an entsprechende SIEM-Systeme und verantwortliche
Akteure) zur Folge haben.
Alle durch das IPS initiierten Aktionen müssen automatisch durch
das auslösende System zu protokolliert und sollen umgehend an
geeignete SIEM- Systeme (Security Information and Event Management)
weitergeleitet werden. Die Log-Daten und Protokolle müssen
zuverlässig über einen, dem Zweck angemessenen, Zeitraum vor
Manipulation und Verlust geschützt werden.
(6) Schutz virtualisierter Ressourcen:
Virtualisierte Ressourcen müssen zusätzlich zu den gemäß M2.04
definierten Richtlinien auch durch sicheres Zoning und / oder LUN
Maskerading vor der unbefugten Kenntnisnahme und dem unbefugten
Zugriff durch Dritte geschützt sowie permanent durch ein
entsprechend ausgelegtes Monitoring über wacht werden.
Sicherheitsupdates oder –patches müssen unverzüglich getestet und
eingespielt werden. Diese Maß nahmen müssen dokumentiert, die
Dokumente (Protokolle) vor Verlust und Manipulation geschützt
werden.
Die Sicherstellung des Schutzes der virtualisierten Ressourcen muss
auch die Durchsetzung der Maß gaben und Richtlinien gemäß M1.03,
M1.04, M1.05 und M2.02 für alle VM-spezifischen Komponenten und
Prozesse (bspw. den Zugriff auf VM-Management-Konsolen oder
VM-Tools, die Ver
M2.04-2(5): Spoofing Tampering Repudiation Information Disclosure
Denial of Service Elevation of Privilege
M2.04-2(6): Tampering Information Disclosure Denial of
Service
waltung von VM User Accounts, die Konfiguration/Setup und die
Verteilung von VMs und Virtual Appliances (VAPs), die Erstellung
und Verwaltung von Snapshots, den Anschluss und die Trennung von
virtuellen Geräten, die sichere Zuweisung von physikalischen
Ressourcen, die Segmentierung von Speicherressourcen, die
Vermeidung der Überwindung der logischen Netzwerkseparierung etc.)
um fassen.
(7) Redundanz von Ressourcen:
M2.04-2(7): Denial of Service
M2.05 Incident Response Capability M2.05-1 Der Cloud Service
Provider muss über die Fähigkeit (technische und organisatorische
Aus rüstung) verfügen, sicherheitsrelevante Störfälle unverzüglich
und angemessen zu behandeln. Das schließt die Vorbereitung auf
sicherheitsrelevante Störfälle, die Entdeckung und Analyse, die
Ein dämmung, die Beseitigung der Ursachen und die
Wiederherstellung des ordnungsgemäßen Betriebs in der vereinbarten
Leistungsgüte ausdrücklich ein. M2.05-2 Operative Log-Daten sollen
in einem Security Information and Event Management System (SIEM)
aggregiert und automatisch auf Auffälligkeiten
(sicherheitsrelevante Ereignisse) bewertet sowie vor Manipulation
und Verlust geschützt werden. Die so gewonnenen Erkenntnisse sind
in regelmäßigen Abständen (bspw. monatlich oder halbjährlich),
sowie auf Verlangen, dem Serviceabonnenten in Form eines auf die
durch ihn genutzte Cloud-Umgebung hin angepassten Reports
bereitzustellen.
M2.05: Spoofing Information Disclosure Denial of Service Elevation
of Privilege
2.3 Personelle Sicherheitsmaßnahmen
M3.01 Sicherheitsüberprüfung M3.01-1 Der Cloud Service Provider
muss über formale und dokumentierte Richtlinien für die regel
mäßige Sicherheitsüberprüfung seiner Mitarbeiter (siehe M1.01-2(2)
und Geheimschutzhandbuch BMI) ver
M3.01: Spoofing Tampering
M3.01-2 Auf der Grundlage dieser Richtlinien muss der Cloud Service
Provider dokumentierte Prozesse etablieren, mit denen regelmäßige
Sicherheitsüberprüfungen durchgesetzt werden. Die Durchführung der
regelmäßigen Sicherheitsüberprüfung beinhaltet auch die Erstellung
und die Pflege der aktenkundigen Nachweise bzgl. der Belehrung des
überprüften Personals.
M3.01-3 Der Cloud Service Provider muss gemäß M1.04-2(4)
dokumentierte Prozesse etablieren, mit denen in regelmäßigen
Abständen die Zuweisung von Berechtigungen überprüft wird. Für aus
geschiedene Mitarbeiter müssen die Authentifikationsdaten und
zugewiesenen Berechtigungen unver züglich und nachweislich
gelöscht werden.
Repudiation Information Disclosure Denial of Service Elevation of
Privilege
M3.02 Überprüfung zugewiesener Berechtigungen und benötigter
Identitäten (Accounts) M3.02-1 Auf der Grundlage der Richtlinien
gemäß M1.01(1) muss der Cloud Service Provider dokumentierte
Prozesse etablieren, mit denen in regelmäßigen Abständen bestehende
digitale Identi täten und die erfolgte Zuweisung von
Berechtigungen überprüft werden. Die Überprüfung darf nicht nur die
Akteure des Cloud Service Providers umfassen, sondern ist auch für
die Administratoren des Service abonnenten und etablierte Dienste
(Service Accounts) durchzuführen.
M3.02-2 Gemäß M1.04-2(4) müssen für ausgeschiedene Mitarbeiter oder
nicht mehr unter Vertrag stehende Servicepartner die
Authentifikationsdaten und zugewiesenen Berechtigungen unverzüglich
und nachweislich gelöscht werden.
M3.02: Spoofing Tampering Repudiation Information Disclosure Denial
of Service Elevation of Privilege
M3.03 Sicherheitsverhalten und Sicherheitstraining M3.03-1 Der
Cloud Service Provider muss über formale und dokumentierte
Richtlinien für das erforder liche Sicherheitsverhalten und
Sicherheitstraining der Mitarbeiter entsprechend den ihnen
zugewiesenen Aufgaben und Verantwortlichkeiten verfügen.
M3.03-2 Die Richtlinien sollen Ziele, Geltungsbereiche, Rollen und
Verantwortlichkeiten, die Ko ordination unterschiedlicher
Unternehmenseinheiten, Informationswege und einzuleitende (Sofort-)
Maß nahmen beim Eintritt sicherheitsrelevanter Ereignisse oder
fahrlässigen Verhaltens umfassen.
M3.03-3 Die Richtlinien müssen regelmäßig durch den CSP in Bezug
auf die aktuell bestehenden Er fordernisse sowie die gegebene
Sicherheitslage hin angepasst und überprüft werden.
M3.03-4 Auf der Grundlage der Richtlinien muss der Cloud Service
Provider Prozesse etablieren, welche die Umsetzung unterstützen.
Dazu gehören:
• die regelmäßige und dokumentierte Einweisung und Schulung in die
sichere Konfiguration, den
M3.03: Tampering Repudiation Information Disclosure Denial of
Service Elevation of Privilege
sicheren Betrieb und das sichere Management der für den Service
erforderlichen Systeme und Komponenten,
• die regelmäßige und dokumentierte Unterweisung hinsichtlich der
Beachtung und Einhaltung von Sicherheitsmaßnahmen,
• die regelmäßige und dokumentierte Unterweisung hinsichtlich der
Beachtung und Einhaltung datenschutzrechtlicher Regelungen und
Anforderungen,
• die regelmäßige und dokumentierte Unterrichtung über bekannte
Bedrohungen und • das regelmäßige und dokumentierte Training des
Verhaltens beim Auftreten sicherheitsrelevanter