Physical Security in der Cloud

Datum: 02.10.2019

Physical Security

Physical Security und der BSI Grundschutz

Die Cloud ist, ähnlich wie der firmeninterne Server, eine Infrastruktur, die einen entsprechenden physischen Schutz braucht. Für die physische Sicherheit in der Cloud ist der Cloud Provider verantwortlich, der sich dabei im Idealfall an die Richtlinien des BSI Grundschutzes hält.
Das Bundesamt für Sicherheit in der Informationstechnik setzt den empfohlenen Grundschutz aus verschiedenen Aspekten, sogenannten Bausteinen, zusammen, die teilweise aufeinander aufbauen. Für die physische Sicherheit der Cloud können die Empfehlungen für folgende Bausteine herangezogen werden:

Welche Bausteine außerdem anzuwenden sind, ist unter B 3.303 Speicherlösung / Cloud Storage verfasst. Hier werden die Sicherheitsbausteine auch in Anlehnung an unterschiedliche Speichersysteme genannt. So wird bspw. für ein Network Attached Storage (NAS) der Baustein B 3.101 Allgemeiner Server, für Storage Area Networks (SAN) auch B 4.1 Heterogene Netze herangezogen.

Wann greift die Physical Security?

Die physische Sicherheit eines Rechenzentrums, eines Serverraums und somit auch der Cloud kann durch verschiedene Gefährdungen bedroht sein. Grob können diese in Bedrohung durch natürliche Gefahren, wie Feuer oder Überschwemmung, und durch Menschen verursachte Gefahren unterteilt werden.

Die Infrastruktur für die Cloud steht also im Idealfall in einem feuersicheren Raum, der gleichzeitig vor dem Eindringen von Wasser geschützt ist. Um gegen durch Menschen verursachte Schäden gewappnet zu sein, braucht es andere Maßnahmen.

Sinnvoll ist etwa die Definition von Sicherheitszonen, um die Security angemessen zu integrieren. Aus Gründen der Personell Security ist es empfehlenswert, einen kontrollierten Innenbereich zu haben und zum Beispiel eine Anmeldung von Besucherverkehr zu fordern. Der kontrollierte Innenbereich ist wiederum von dem internen Bereich, zu dem nur Mitarbeiter Zutritt haben, und dieser wiederum von den Hochsicherungsbereich, abgetrennt. Der Hochsicherungsbereich ist dabei nur von ausgewähltem und streng kontrolliertem Personal zugänglich.

Physical Security im Hochsicherheitsbereich

Die physischen Elemente der Cloud sollten, ähnlich die eines Servers, in einem eigens angelegten Raum zu finden sein. Wichtig ist, dass diese Räume ausschließlich für wenige, autorisierte Personen zugänglich sind. Sind Daten konkurrierender Unternehmen bei einem Cloud Provider gelagert, so ist es sinnvoll, wenn hier unterschiedliche Verantwortliche Zugriff auf die jeweilige Infrastruktur haben. Außerdem sollten wiederum andere Befugte Zugriff auf Backup-Daten haben, als solche, die sich um die Livedaten kümmern. Diese shared responsibility reduziert die Gefahr für menschliches Versagen und sichert damit die Daten auf personeller und physischer Ebene. Selbstverständlich sollten Backups und Livedaten auch physisch voneinander getrennt aufbewahrt werden. Im Idealfall sind dies unterschiedliche Serverräume, um auch die Zerstörung durch Feuer oder Wasser unwahrscheinlich zu machen. Auch Georedundanzen können sinnvoll sein. Auf jeden Fall ist aber eine physische Trennung der Daten durch unterschiedliche Server in verschiedenen Cages erstrebenswert.

Physical Security nach außen kommunizieren: ISO 27000

Die Sicherheitsbestimmungen in Unternehmen können in der Regel frei von dem Unternehmen selbst definiert und umgesetzt werden. Für Kunden, die etwa einen Cloud Provider suchen, macht das die Auswahl umso schwieriger. Um nicht im Detail die Bestimmungen des Providers durchgehen und überprüfen zu müssen, haben sich verlässliche und allgemeingültige, validiertes Zertifizierungsverfahren bewährt. Eines davon ist die ISO 27000. Diese fußt auf den Bausteinen des BSI-Grundschutzes. Um sich zertifizieren zu lassen, müssen sich die Unternehmen einer Prüfung durch einen unabhängigen Prüfer stellen. Die Verlässlichkeit des Zertifikats ist somit gewährleistet.

Zurück zur Übersicht