“Identity and Data Protection in the Cloud: Best Practices for Establishing Environments of Trust” so lautet der Titel des neuen Leitfadens den die Firma RSA Security Anfang November 2009 vorstellte. Das Dokument, das gemeinsam von Sicherheitsfachleuten der Firmen EMC, RSA und VMware geschrieben wurde vermittelt einen Überblick über Cloud-spezifische Sicherheits- und Compliance-Anforderungen.
Der Leitfaden stellt dabei die These auf: Clouds können das Sicherheitsniveau herkömmlicher IT-Infrastrukturen in Zukunft bei weitem übertreffen. Denn Richtlinien und Protokolle lassen sich in Clouds direkt in der Virtualisierungsschicht implementieren. Security-Funktionen werden damit nicht nur auf der Applikationsebene und einzelnen Infrastruktursegmenten lokalisiert, sondern können tiefer als heute in der IT-Plattform verankert werden. Daraus ergibt sich ein Potenzial für schlankere, intelligentere Sicherheitsarchitekturen als derzeit realisierbar.
Wem kannst du vertrauen?
Die gute Nachricht für alle Unternehmen, die ihre IT-Umgebung in eine virtualisierte Cloud migrieren möchten, lautet: Niemand muss bei Null anfangen, sondern kann in Bezug auf die Sicherheitsarchitektur auf vorhandenes Know-How und bereits im Einsatz befindliche Methoden und Technologien zurückgreifen. Die höchste Hürde aus Security-Sicht besteht laut Leitfaden im mangelnden Vertrauen zwischen Anbietern von Cloud-Infrastrukturen und deren potentiellen Kunden.
“Unser neuer Leitfaden gibt in dieser Hinsicht wichtige Anhaltspunkte, welche Bedingungen für eine Cloud-weite Trust-Umgebung erfüllt sein müssen”, erklärt deshalb Roger Scheer, Regional Sales Director bei RSA. “Untermauert werden die Kriterien durch Best Practices, die aus unseren Erfahrungen mit Private Clouds stammen.”
Einfachere Abwehr
Um sich vor Cyber-Attacken auf Clouds besser schützen zu können, geben die Autoren Anwendern den Rat, bestehende Authentifizierungs- und Fraud-Detection-Systeme zu einer risikobasierten Multi-Layer-Plattform auszubauen, die nichtautorisierte Zugriffe ebenso ausschließt wie Phishing und andere Formen des Informationsdiebstahls.
Der vollständige Leitfaden steht unter http://www.rsa.com/innovation/docs/CLWD_BRF_1009.pdf zum Download zur Verfügung.