Compliance-Aktivitäten¶
Es gibt eine Reihe von Standard-Aktivitäten, die den Compliance-Prozess erheblich unterstützen. In diesem Kapitel werden einige der häufigsten Compliance-Aktivitäten beschrieben. Diese sind nicht spezifisch für OpenStack, aber Referenzen werden zu relevanten Abschnitten in diesem Buch als nützlicher Kontext bereitgestellt.
Information Security Management System (ISMS)¶
Ein Information Security Management System (ISMS) ist ein umfassendes Set von Richtlinien und Prozessen, die eine Organisation erstellt und verwaltet, um das Risiko für Informationswerte zu verwalten. Das häufigste ISMS für Cloud-Implementierungen ist „ISO/IEC 27001/2“ <http://www.27000.org/iso-27001.htm>`_, die eine solide Grundlage für Sicherheitskontrollen und -praktiken für die Erreichung strengerer Compliance-Zertifizierungen schafft. Dieser Standard wurde im Jahr 2013 aktualisiert, um den wachsenden Einsatz von Cloud-Services widerzuspiegeln und legt mehr Wert darauf, zu messen und zu bewerten, wie gut das ISMS in einer Organisation ausgführt wird.
Risikoabschätzung¶
Ein Risikobewertungsrahmen identifiziert Risiken innerhalb einer Organisation oder Dienstleistung und legt die Eigentümer der Risiken sowie die Implementierungs- und Abschwächungsstrategien fest. Die Risiken gelten für alle Bereiche des Dienstes, von technischen Kontrollen bis hin zu Umweltkatastrophenszenarien und menschlichen Elementen. Zum Beispiel ein bösartiger Insider. Risiken können mit einer Vielzahl von Mechanismen bewertet werden. Zum Beispiel, Wahrscheinlichkeit versus Auswirkungen. Eine OpenStack-Implementierungsrisikobewertung kann Steuerungslücken beinhalten.
Zugriff und Log-Auswertungen¶
Periodische Zugriffs- und Protokollüberprüfungen sind erforderlich, um Authentifizierung, Autorisierung und Rechenschaftspflicht in einer Dienstbereitstellung zu gewährleisten. Spezielle Anleitungen für OpenStack zu diesen Themen werden ausführlich diskutiert in Überwachung und Protokollierung.
Der OpenStack Identity Service unterstützt die Überwachung von Cloud Auditing Data Federation (CADF) und stellt Auditdaten zur Einhaltung von Sicherheits-, Betriebs- und Geschäftsprozessen zur Verfügung. Weitere Informationen finden Sie in der Keystone-Entwicklerdokumentation.
Backup und Disaster Recovery¶
Disaster Recovery (DR) und Business Continuity Planning (BCP) sind gemeinsame Anforderungen an ISMS und Compliance-Aktivitäten. Diese Pläne müssen regelmäßig geprüft und dokumentiert werden. In OpenStack finden sich Schlüsselbereiche in der Verwaltungssicherheitsdomäne und überall, wo einzelne Punkte des Fehlers (SPOFs) identifiziert werden können.
Sicherheitstraining¶
Jährliche, rollenspezifische, Sicherheitstraining ist eine obligatorische Voraussetzung für fast alle Compliance-Zertifizierungen und Bescheinigungen. Um die Effektivität des Sicherheitstrainings zu optimieren, ist eine gängige Methode, eine rollenspezifische Ausbildung anzubieten, beispielsweise für Entwickler, operatives Personal und nicht-technische Mitarbeiter. Zusätzliche Cloud-Sicherheit- oder OpenStack-Sicherheitstraining auf Basis dieses Hardening-Guides wären ideal.
Sicherheitsauswertungen¶
Weil OpenStack ein beliebtes Open-Source-Projekt ist, wurde ein Großteil der Codebasis und Architektur von einzelnen Mitwirkenden, Organisationen und Unternehmen geprüft. Dies kann aus Sicherheitsgründen vorteilhaft sein, aber die Notwendigkeit von Sicherheitsüberprüfungen ist nach wie vor eine kritische Betrachtung für Dienstleister, da die Einsätze variieren und die Sicherheit nicht immer das Hauptanliegen der Mitwirkenden ist. Ein umfassender Sicherheitsüberprüfungsprozess kann architektonische Überprüfung, Bedrohungsmodellierung, Quellcodeanalyse und Penetrationstest umfassen. Es gibt viele Techniken und Empfehlungen für die Durchführung von Sicherheits-Bewertungen, die öffentlich zugänglich gemacht werden können. Ein gut getestetes Beispiel ist die Microsoft SDL <http://www.microsoft.com/security/sdl/process/release.aspx>`_, erstellt als Teil der Microsoft Trustworthy Computing Initiative.
Schwachstellenmanagement¶
Sicherheitsupdates sind entscheidend für jede IaaS-Implementierung, ob privat oder öffentlich. Anfällige Systeme erweitern Angriffsflächen und sind offensichtliche Ziele für Angreifer. Gemeinsame Scan-Technologien und Schwachstellen-Benachrichtigungsdienste können dazu beitragen, diese Bedrohung zu verringern. Es ist wichtig, dass die Scans authentifiziert werden und dass die Abschwächungsstrategien über das einfache Hardening hinausgehen. Multi-Tenant-Architekturen wie OpenStack sind besonders anfällig für Hypervisor-Schwachstellen und machen dies zu einem kritischen Bestandteil des Systems für das Schwachstellenmanagement.
Datenklassifizierung¶
Data Classification definiert eine Methode zum Klassifizieren und Handhaben von Informationen, oft zum Schutz von Kundeninformationen vor versehentlichem oder vorsätzlichem Diebstahl, Verlust oder unangemessener Offenlegung. Am häufigsten handelt es sich dabei um die Klassifizierung von Informationen als sensible oder nicht sensible oder als persönlich identifizierbare Informationen (PII). Abhängig vom Kontext des Einsatzes können verschiedene andere Klassifizierungskriterien verwendet werden (Regierung, Gesundheitswesen). Das Grundprinzip ist, dass Datenklassifizierungen klar definiert und in Gebrauch sind. Die häufigsten Schutzmechanismen umfassen Industriestandard-Verschlüsselungstechnologien.
Ausnahmeprozess¶
Ein Ausnahmeprozess ist ein wichtiger Bestandteil eines ISMS. Wenn bestimmte Aktionen nicht mit Sicherheitsrichtlinien übereinstimmen, die eine Organisation definiert hat, müssen sie protokolliert werden. Angemessene Rechtfertigungs-, Beschreibungs- und Abhilfemaßnahmen müssen einbezogen und von entsprechenden Behörden unterzeichnet werden. OpenStack-Standardkonfigurationen können bei der Erfüllung verschiedener Compliance-Kriterien variieren, Bereiche, die nicht mit Compliance-Anforderungen übereinstimmen, sollten protokolliert werden, wobei potenzielle Korrekturen für den Beitrag zur Community berücksichtigt werden.
