Security-Risiken in der PBCS stark reduziert

In der Oracle Cloud Foundation, wo auch unser Planning and Budgeting Cloud Service (PBCS) integriert ist, gab es im Oktober 2015 ein wichtiges Sicherheitsupdate. Es wurde die Möglichkeit zur Aktivierung eines Sicherheitsgateways (Firewall) mit „IP Whitelist“ eingeführt, welches ein Anmelden von Rechnern mit nicht aufgeführten IP Adressen blockiert. Hierdurch kann die allgemein zugängliche Public Cloud wie die PBCS so eingerichtet werden, dass sie nur aus dem Firmennetz erreicht werden kann. Die IP Nummern der Firmenrechner sind dann in diese „Weiße Liste“ der vertrauenswürdigen Netzbereiche des internen Netzes aufgenommen. Rechner aus anderen Netzen und damit nicht vertrauenswürdige IP Nummern können sich nie anmelden.

Diese Funktion eines Sicherheitsgateways mit „IP Whitelist“ ist ein sehr großer Schritt für die IT-Sicherheit, der aber gar nicht so breit mit Marketing bekannt gemacht wurde. Es befriedigt viele der Sicherheitsbedürfnisse und –anforderungen rund um Cloudanwendungen. Es macht die PBCS viel mehr zum Teil des eigenen Firmennetzwerks. Es gibt zwar kein neues „Laufwerk“ welches die PBCS ist, aber vom Rechner eines Freundes kann man sich nicht an der PBCS anmelden. Dieses wird es für uns Berater auch schwieriger machen, um unsere Beratungsleistungen von unserem eigenen Rechner aus zu machen. Es wird wie bei den Installationen auf Kundenrechnern notwendig sein, um einen Kundenrechner mit VPN mit nach Hause zu nehmen.

Vertrauen

Vielen IT-Verantwortlichen fehlt es an Erfahrung und Expertise, um die Besonderheiten des IT-Bereitstellungsmodells „Cloud“ umfassend zu beurteilen. Auf der anderen Seite stehen die Anbieter von Cloud-Diensten vor der Herausforderung, ihre Angebote marktgerecht bereitzustellen. Im Grunde geht es also um Vertrauen. Vertrauen wird in Wikipedia definiert als „…subjektive Überzeugung von der (oder auch als Gefühl für oder Glaube an die) Richtigkeit, Wahrheit bzw. Redlichkeit von Personen, von Handlungen, Einsichten und Aussagen eines anderen…“.

Vertrauen sie Oracle?

Diese Frage ist nicht generell mit Ja oder Nein zu beantworten. In der Kommunikation kann es viele Missverständnisse geben, die Rechtslage kann anders gedeutet werden oder anders sein, die technischen Entwicklungen gehen weiter und vieles mehr. Auch ich, als unabhängiger Berater, habe meine Fragen und viel zu wenig Zeit um die Antworte zu finden und zu prüfen. Daher bin ich auch sehr froh, dass u.a. das Bundesamt für Sicherheit in der Informationstechnik seine Forschung betreibt, überwacht und Ratschläge gibt.

PBCS-Sicherheit-Verbessert01

Abbildung 1: Logo Bundesamt fĂĽr Sicherheit in der Informationstechnik

So gibt es die Publikation der „Goldenen Regeln“, die helfen, einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Hierin ist auch zu lesen „Für das Sicherheitsgateway müssen eindeutige Regeln definiert sein, welche Kommunikationsverbindungen und Datenströme zugelassen werden. Alle anderen Verbindungen müssen durch das Sicherheitsgateway unterbunden werden (Whitelist-Ansatz).

PBCS-Sicherheit-Verbessert02

Abbildung 2: Logo der Trusted Cloud initiative http://www.trusted-cloud.de/index.php

Das Bundesministerium für Wirtschaft und Energie entwickelt die Initiative „Trusted Cloud“. Hierin finde ich vor allem den Teil der „Entwicklung von Basistechnologien“ sehr nützlich, denn dieser kann helfen, bald einen guten Standard zu erhalten, mit dem die Anbieter und Kunden eine Vertrauensbasis haben.

 

Ah, sie wollten noch sehen wie sich eine Firewall in der PBCS einrichten lässt?

Nun, hierzu melden wir uns an Cloud Service Manager an.

PBCS-Sicherheit-Verbessert03

Abbildung 3: Login Cloud Service Manager.

Nach einer erfolgreichen Anmeldung bekommen wir das Dashboard mit allen Cloud Diensten, die wir abonniert haben. In diesem Fall ist es nur eine PBCS.

PBCS-Sicherheit-Verbessert04

Abbildung 4: Dashboard der abonnierten Cloud Dienste

Mit einem Klick auf die blaue Wolke geht es in die Service Details. Hier gibt es verschiedene Metriken. Auch gibt es einen Knopf an der linken Seite, um die Firewall einzurichten.

PBCS-Sicherheit-Verbessert05

Abbildung 5: Details zu dem ausgewählten Cloud Dienst.

In der Abbildung 6 sehen sie, dass in dieser Instanz noch keine Firewall eingerichtet wurde. Mit dem Knopf „Create Rule“ können jetzt verschiedene Regeln erstellt werden.

PBCS-Sicherheit-Verbessert06

Abbildung 6: Firewall settings. Selektion von Whitelist.

In der Abbildung 7 und Abbildung 8 sehen sie, welche Optionen hier zur VerfĂĽgung stehen.

PBCS-Sicherheit-Verbessert07

Abbildung 7: Die Optionen zum Einstellen einer Range.

PBCS-Sicherheit-Verbessert08

Abbildung 8: Die Optionen zum Einstellen eines Subnet.

Hier unten ein Beispiel, welches ich aus dem Handbuch ĂĽbernommen habe.

PBCS-Sicherheit-Verbessert09

Abbildung 9: Regeln (Abbildung aus dem Handbuch ĂĽbernommen)

 

Weiteres ist auch nachzulesen in dem folgenden Link: http://www.oracle.com/webfolder/technetwork/tutorials/tutorial/cloud/pbcs/1510_pbcs_rcd/1510_pbcs_rcd.htm

Goldene Regeln vom BSI.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/GoldeneRegeln.html

Trusted Cloud Initiative http://www.trusted-cloud.de/index.php

 

Ihr Philip Hulsebosch

philip.hulsebosch@hyperionimklartext.de

Veröffentlicht in Planung & Berichtswesen Verwendete Schlagwörter: , , ,

Schreibe einen Kommentar