In der Oracle Cloud Foundation, wo auch unser Planning and Budgeting Cloud Service (PBCS) integriert ist, gab es im Oktober 2015 ein wichtiges Sicherheitsupdate. Es wurde die Möglichkeit zur Aktivierung eines Sicherheitsgateways (Firewall) mit „IP Whitelist“ eingeführt, welches ein Anmelden von Rechnern mit nicht aufgeführten IP Adressen blockiert. Hierdurch kann die allgemein zugängliche Public Cloud wie die PBCS so eingerichtet werden, dass sie nur aus dem Firmennetz erreicht werden kann. Die IP Nummern der Firmenrechner sind dann in diese „Weiße Liste“ der vertrauenswürdigen Netzbereiche des internen Netzes aufgenommen. Rechner aus anderen Netzen und damit nicht vertrauenswürdige IP Nummern können sich nie anmelden.
Diese Funktion eines Sicherheitsgateways mit „IP Whitelist“ ist ein sehr großer Schritt für die IT-Sicherheit, der aber gar nicht so breit mit Marketing bekannt gemacht wurde. Es befriedigt viele der Sicherheitsbedürfnisse und –anforderungen rund um Cloudanwendungen. Es macht die PBCS viel mehr zum Teil des eigenen Firmennetzwerks. Es gibt zwar kein neues „Laufwerk“ welches die PBCS ist, aber vom Rechner eines Freundes kann man sich nicht an der PBCS anmelden. Dieses wird es für uns Berater auch schwieriger machen, um unsere Beratungsleistungen von unserem eigenen Rechner aus zu machen. Es wird wie bei den Installationen auf Kundenrechnern notwendig sein, um einen Kundenrechner mit VPN mit nach Hause zu nehmen.
Vertrauen
Vielen IT-Verantwortlichen fehlt es an Erfahrung und Expertise, um die Besonderheiten des IT-Bereitstellungsmodells „Cloud“ umfassend zu beurteilen. Auf der anderen Seite stehen die Anbieter von Cloud-Diensten vor der Herausforderung, ihre Angebote marktgerecht bereitzustellen. Im Grunde geht es also um Vertrauen. Vertrauen wird in Wikipedia definiert als „…subjektive Überzeugung von der (oder auch als Gefühl für oder Glaube an die) Richtigkeit, Wahrheit bzw. Redlichkeit von Personen, von Handlungen, Einsichten und Aussagen eines anderen…“.
Vertrauen sie Oracle?
Diese Frage ist nicht generell mit Ja oder Nein zu beantworten. In der Kommunikation kann es viele Missverständnisse geben, die Rechtslage kann anders gedeutet werden oder anders sein, die technischen Entwicklungen gehen weiter und vieles mehr. Auch ich, als unabhängiger Berater, habe meine Fragen und viel zu wenig Zeit um die Antworte zu finden und zu prüfen. Daher bin ich auch sehr froh, dass u.a. das Bundesamt für Sicherheit in der Informationstechnik seine Forschung betreibt, überwacht und Ratschläge gibt.
Abbildung 1: Logo Bundesamt fĂĽr Sicherheit in der Informationstechnik
So gibt es die Publikation der „Goldenen Regeln“, die helfen, einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Hierin ist auch zu lesen „Für das Sicherheitsgateway müssen eindeutige Regeln definiert sein, welche Kommunikationsverbindungen und Datenströme zugelassen werden. Alle anderen Verbindungen müssen durch das Sicherheitsgateway unterbunden werden (Whitelist-Ansatz).
Abbildung 2: Logo der Trusted Cloud initiative http://www.trusted-cloud.de/index.php
Das Bundesministerium für Wirtschaft und Energie entwickelt die Initiative „Trusted Cloud“. Hierin finde ich vor allem den Teil der „Entwicklung von Basistechnologien“ sehr nützlich, denn dieser kann helfen, bald einen guten Standard zu erhalten, mit dem die Anbieter und Kunden eine Vertrauensbasis haben.
Ah, sie wollten noch sehen wie sich eine Firewall in der PBCS einrichten lässt?
Nun, hierzu melden wir uns an Cloud Service Manager an.
Abbildung 3: Login Cloud Service Manager.
Nach einer erfolgreichen Anmeldung bekommen wir das Dashboard mit allen Cloud Diensten, die wir abonniert haben. In diesem Fall ist es nur eine PBCS.
Abbildung 4: Dashboard der abonnierten Cloud Dienste
Mit einem Klick auf die blaue Wolke geht es in die Service Details. Hier gibt es verschiedene Metriken. Auch gibt es einen Knopf an der linken Seite, um die Firewall einzurichten.
Abbildung 5: Details zu dem ausgewählten Cloud Dienst.
In der Abbildung 6 sehen sie, dass in dieser Instanz noch keine Firewall eingerichtet wurde. Mit dem Knopf „Create Rule“ können jetzt verschiedene Regeln erstellt werden.
Abbildung 6: Firewall settings. Selektion von Whitelist.
In der Abbildung 7 und Abbildung 8 sehen sie, welche Optionen hier zur VerfĂĽgung stehen.
Abbildung 7: Die Optionen zum Einstellen einer Range.
Abbildung 8: Die Optionen zum Einstellen eines Subnet.
Hier unten ein Beispiel, welches ich aus dem Handbuch ĂĽbernommen habe.
Abbildung 9: Regeln (Abbildung aus dem Handbuch ĂĽbernommen)
Weiteres ist auch nachzulesen in dem folgenden Link: http://www.oracle.com/webfolder/technetwork/tutorials/tutorial/cloud/pbcs/1510_pbcs_rcd/1510_pbcs_rcd.htm
Goldene Regeln vom BSI.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/GoldeneRegeln.html
Trusted Cloud Initiative http://www.trusted-cloud.de/index.php
Ihr Philip Hulsebosch
philip.hulsebosch@hyperionimklartext.de
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.