Die Kontrolle von Cloud-Ressourcen für Cloud-Nutzer sowie Cloud-anbieter ist das Ziel von Clouditor, einer neuen Sicherheitslösung des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC. Durch maßgeschneiderte, kontinuierliche Tests beantwortet Clouditor Fragen bezüglich der Sicherheit und dem Verhalten von Diensten und Anwendungen in der Cloud. Damit lässt sich überprüfen, ob Sicherheits- oder Compliance-Anforderungen eingehalten werden. Dies ist gleichermaßen geschäftsrelevant für Nutzer wie auch für Betreiber von Cloud-Diensten. Das Fraunhofer AISEC präsentiert Clouditor erstmals auf der IT-Security-Messe it-sa 2016 in Nürnberg, vom 18. bis 20. Oktober in Halle 12/Stand 462.
Die Nutzung von Cloud-Diensten wird in Deutschland nach wie vor häufig kritisch gesehen. Denn die Erwartungen an Ressourcenersparnis und Steigerung der Agilität werden begleitet von Fragen wie: „Sind Anwendungen in der Cloud ausreichend gegen Angriffe geschützt?“ Oder: „Verhält sich ein Dienst wie per SLA zugesichert?“ „Mit dem Clouditor möchten wir den Unternehmen derartige Unsicherheiten nehmen und ihnen Antworten auf die kritischen Fragen liefern, die sie bewegen“, sagt Christian Banse, stellvertretender Leiter der Abteilung Service and Application Security am Fraunhofer AISEC. Mit Clouditor wird der verwendete Dienst automatisch und kontinuierlich analysiert. Die Analysergebnisse liefern eine detaillierte Diagnose vom Zustand des Cloud-Dienstes. Unabhängig vom verwendeten Servicemodell – SaaS, PaaS oder IaaS – helfen die Ergebnisse auf diese Weise Geschäftsrisiken frühzeitig zu erkennen. „Auch die Betreiber von Cloud-Diensten profitieren vom Einsatz von Clouditor, in dem sie die Ergebnisse nutzen, um Sicherheit, Vertrauen sowie Transparenz zu schaffen. Das erhöht die Kundenbindung und liefert einen Beitrag zur Verringerung eigener Geschäftsrisiken“, so der Sicherheitsforscher Banse weiter.
Das wachsame Auge im Hintergrund
Selbst als Cloud-Dienst konzipiert, lässt sich Clouditor nahtlos in bestehende Geschäftsprozesse integrieren und agiert im Hintergrund, ohne die existierenden Infrastruktur zu beeinträchtigen. Je nach Konfiguration werden kontinuierlich während der Laufzeit oder in zufälligen Abständen typische Anforderungen überprüft, wie beispielsweise die Widerstandsfähigkeit gegen bekannte Angriffe, die Verwendung einer ausreichend starken Verbindungsverschlüsselung oder die Einhaltung eines bestimmten geographischen Ortes, an dem der Dienst ausgeführt wird. Auch die Erfüllung zugesicherter Verfügbarkeitswerte oder bestimmter Verhaltensweisen eines Dienstes werden kontinuierlich überprüft.
Gemeinsam mehr Durchblick in der Cloud schaffen
Der Clouditor ist modular konzipiert und kann flexibel den Sicherheitsbedürfnissen des Nutzers angepasst und erweitert werden. Besucher der diesjährigen it-sa 2016 können ihre Fragen und Erfahrungen aus der Praxis auf dem interaktiv gestalteten Stand des Fraunhofer AISEC (Halle 12/462) beisteuern und somit an der Weiterentwicklung des Clouditor mitwirken.
Die Nutzung von Cloud-Diensten wird in Deutschland nach wie vor häufig kritisch gesehen. Denn die Erwartungen an Ressourcenersparnis und Steigerung der Agilität werden begleitet von Fragen wie: „Sind Anwendungen in der Cloud ausreichend gegen Angriffe geschützt?“ Oder: „Verhält sich ein Dienst wie per SLA zugesichert?“ „Mit dem Clouditor möchten wir den Unternehmen derartige Unsicherheiten nehmen und ihnen Antworten auf die kritischen Fragen liefern, die sie bewegen“, sagt Christian Banse, stellvertretender Leiter der Abteilung Service and Application Security am Fraunhofer AISEC. Mit Clouditor wird der verwendete Dienst automatisch und kontinuierlich analysiert. Die Analysergebnisse liefern eine detaillierte Diagnose vom Zustand des Cloud-Dienstes. Unabhängig vom verwendeten Servicemodell – SaaS, PaaS oder IaaS – helfen die Ergebnisse auf diese Weise Geschäftsrisiken frühzeitig zu erkennen. „Auch die Betreiber von Cloud-Diensten profitieren vom Einsatz von Clouditor, in dem sie die Ergebnisse nutzen, um Sicherheit, Vertrauen sowie Transparenz zu schaffen. Das erhöht die Kundenbindung und liefert einen Beitrag zur Verringerung eigener Geschäftsrisiken“, so der Sicherheitsforscher Banse weiter.
Das wachsame Auge im Hintergrund
Selbst als Cloud-Dienst konzipiert, lässt sich Clouditor nahtlos in bestehende Geschäftsprozesse integrieren und agiert im Hintergrund, ohne die existierenden Infrastruktur zu beeinträchtigen. Je nach Konfiguration werden kontinuierlich während der Laufzeit oder in zufälligen Abständen typische Anforderungen überprüft, wie beispielsweise die Widerstandsfähigkeit gegen bekannte Angriffe, die Verwendung einer ausreichend starken Verbindungsverschlüsselung oder die Einhaltung eines bestimmten geographischen Ortes, an dem der Dienst ausgeführt wird. Auch die Erfüllung zugesicherter Verfügbarkeitswerte oder bestimmter Verhaltensweisen eines Dienstes werden kontinuierlich überprüft.
Gemeinsam mehr Durchblick in der Cloud schaffen
Der Clouditor ist modular konzipiert und kann flexibel den Sicherheitsbedürfnissen des Nutzers angepasst und erweitert werden. Besucher der diesjährigen it-sa 2016 können ihre Fragen und Erfahrungen aus der Praxis auf dem interaktiv gestalteten Stand des Fraunhofer AISEC (Halle 12/462) beisteuern und somit an der Weiterentwicklung des Clouditor mitwirken.
