Die Kunst der Automatisierung

Continuous Compliance: Anforderungen sicher regeln

Ein Cloud-Service-Katalog sorgt für eine geregelte Beschaffung von IT, ist aber häufig zu starr. Anwender brauchen Anwendungen, die noch nicht strukturiert erfasst sind. Mit dem Ansatz Continuous Compliance lassen sich diese spontanen Bestellungen dennoch vorschriftsgemäß ausführen.

Ein Erfolgsfaktor von Cloud-Computing ist die Möglichkeit, schnell neue Services zur Verfügung stellen zu können. Allerdings gibt es bei dem Bereitstellungsmodell Hürden: Häufig beziehen Fachbereiche wie Marketing, Vertrieb oder auch Personalabteilung Software an der IT vorbei, weil Bestellung und Lieferung so schön simpel funktionieren. Das Ergebnis ist Schatten-IT, die keinem Auditor standhält.

Auf sicherem, compliancekonformem Fundament steht die IT-Beschaffung durch sogenannte Service-Kataloge, eine Zusammenstellung der wichtigsten Applikationen, die im Unternehmen gebraucht und bezogen werden dürfen. Die IT hat hier den Überblick, das Deployment, das häufig nur von einer Person oder einem sehr eingeschränkten Kreis von Experten erledigt werden darf, läuft in geregelten Bahnen ab. Die technischen und organisatorischen Anforderungen an Sicherheit und gesetzliche Auflagen, wie die der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), werden umgesetzt. Alles gut.

Starre Service-Kataloge = genervte Anwender

Cloud-Computing ist jedoch mehr als Service-Kataloge, die häufig zu starr sind. In zahlreichen Unternehmen wollen die Fachbereiche „schnell mal“ einen Service ausprobieren, sie wollen agil arbeiten können. Nur die Experten in den Fachbereichen können beurteilen, ob das Paket ihre Bedürfnisse wirklich erfüllt, ob der Funktionsumfang genügt und die Bedienung ihre Prozesse sinnvoll unterstützt. Der sichere Weg, den Service vorher in den Katalog aufzunehmen, steht diesem Wunsch nach Agilität im Weg. Zumal häufig festgestellt wird, dass man den Service nicht benötigt und ihn aus dem Katalog wieder entfernen muss.

Dabei tut sich insbesondere der deutsche Markt augenscheinlich mit der neugewonnenen Agilität noch sehr schwer. Applikationen werden ähnlich zum im lokalen Rechenzentrum etablierten Verfahren über teils langwierige Prozesse zentral bereitgestellt und betrieben, häufig aus Angst vor Verlust von Transparenz. DevOps findet nur in wenigen Unternehmen großflächigen Einsatz. Grund dafür sind unter anderem die im deutschen Raum teils erheblichen gesetzlichen und regulatorischen Anforderungen, die in der Cloud nicht einfach über Bord geworfen werden können. Im Resultat wird die von der Cloud versprochene Agilität nicht erreicht.

Encrypt everything!

Mehr Flexibilität und Freiheiten und gleichzeitig die erforderlichen Compliance einhalten ist das Ziel. Was wie ein Widerspruch klingt, ist machbar. Der Lösungsansatz heißt Continuous Compliance. Das Zielbild sieht vor, dass Regeln für die Beschaffung und Bereitstellung von Services aufgestellt werden und diese automatisiert und kontinuierlich auszuführen sind, immer wenn Services aus der Cloud bezogen werden.

Um Continuous Compliance umzusetzen, bietet es sich an, zunächst alle Anforderungen und einzuhaltenden technischen Maßnahmen strukturiert zu erfassen. Typische Beispiele sind, Daten nur verschlüsselt zu speichern oder, dass Nutzer, die sich in der Cloud anmelden, immer eine Multifaktor-Authentisierung (MFA) verwenden. Genauso muss nachvollziehbar sein, welche Personen auf Daten zugreifen und sie verändern dürfen. Durch die neugewonnene Kostentransparenz muss zusätzlich sichergestellt werden, dass alle in der Cloud genutzten Services mit einer Kostenstelle versehen sind, damit im Nachhinein eine verursachungsgerechte Kostenverrechnung erfolgen kann. Komplexere Anforderungen betreffen häufig die Nutzungsszenarien der jeweiligen Cloud: So muss für spezifische Anwendungen sichergestellt werden, dass diese ausschließlich in einem privaten Teil einer Cloud betrieben werden, in der kein Internet, sondern ausschließlich eine verschlüsselte Verbindung zum lokalen Rechenzentrum existiert („On Prem Extension“).

50 Compliance-Kriterien sind keine Ausnahme

Erfahrungsgemäß besteht diese Sammlung zu großen Teilen aus Anforderungen an eine sichere Datenhaltung in Deutschland, Vorgaben von Institutionen wie der BaFin, eigenen Unternehmensrichtlinien aber auch zur konkreten technischen Umsetzung einer ISO-Norm oder den BestPractices eines CIS-Benchmarks. Nicht selten werden bis zu 50 verschiedene Anforderungen definiert, die einzuhalten sind, um einen Service vorschriftsgerecht (compliant) zu bestellen.

Im nächsten Schritt werden diese Anforderungen in ein Programm (Regelautomat) gegossen, damit sie automatisch bei jeder Bestellung ausgeführt werden. Hier kommt der Vorteil von Cloud Computing ins Spiel. Viele Regeln sind für die großen Cloud Provider bereits als Programmcode im Internet vorhanden, unternehmensspezifische Prüfungen können in der Regel schnell umgesetzt werden. Da jegliche Kommunikation mit den Cloud-Systemen über eine einheitliche Schnittstelle (API) erfolgt, sind darüber alle Informationen zum derzeitigen Zustand der Umgebung abrufbar. Das Programm stellt automatisch sicher, dass der Anwender beispielsweise nur Speicherplatz bestellt und das Flag „encryptet“ gesetzt ist. Bewährt hat es sich, diesen Check immer zeitgleich mit der Bestellung auszuführen, so dass die Daten zu jedem Zeitpunkt aktuell und transparent sind. Kommen neue Compliance-Anforderungen hinzu oder müssen alte entfernt werden, so kann die IT das Regelwerk eigenständig pflegen. Auch Erweiterungen des Regelautomaten kann der IT-Betrieb übernehmen und besteht damit jeden Audit.


Ein häufig eingesetztes Werkzeug, um ein solches Regelwerk zu entwickeln, ist der von Amazon Web Services (AWS) gemanagte Service „Config“. Dieser prüft automatisch bei jeder Veränderung der Cloud-Umgebung die Änderung gegen den vom Kunden definierten Anforderungskatalog und attestiert eine Compliance von Cloud-Ressourcen oder eben auch nicht. Ohne manuellen Aufwand, ohne zeitlichen Versatz

www.cisecurity.org/cis-benchmarks


Dieser Artikel erschien in der direkt informiert 03/2017. Weitere Artikel aus der Ausgabe lesen Sie hier: direkt informiert 03/2017, Schwerpunkt: Sicherheit

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.