Halten Sie Ihre Cloud sicher - das Lieblingsthema der CIOs

Von:

Cloud security is a top concern for CIOs deploying subscription payment applications in the cloud. This guide highlights the key requirements that CIOs and CISOs should focus on in order to ensure that their cloud providers comply with industry security best practices and compliance standards. All CIOs recognize the importance of security to both their customers and their own operations.

As companies deploy SaaS applications such as a cloud billing platform to accelerate business time to value, enable greater IT agility and lower overall costs, ensuring trust in their SaaS provider through security certification and practices remains a top concern for CIOs. To be clear, confidence in your cloud provider is only one piece of the big cloud security picture.

„Die meisten Unternehmen konzentrieren sich auf die falschen Risiken und beschäftigen sich mit der relativ geringen Gefahr eines SaaS-Sicherheitsfehlers, was dazu führt, dass sie der Verwaltung ihrer eigenen Benutzer und Daten zu wenig Bedeutung beimessen.“ Gartner, 2013

Eine Umfrage bei Gartners Data Center Conference im Jahr 2013 zeigt, dass diese Überbewertung von SaaS-Anbietern bei der Risikoanalyse zwei Befürchtungen entspringt: 1. man weiß nicht, wer auf die Daten und Anwendungen zugreift und 2. fehlendes Vertrauen in die Sicherheitsfähigkeiten des Cloud-Anbieters.

Darüber hinaus empfiehlt Gartner, dass „Sicherheitsteams, SaaS-Entscheider und IT-Einkäufer sicherstellen sollten, dass die Unternehmensziele im Bereich Vertraulichkeit, Integrität und Verfügbarkeit definiert und vor der Nutzung von SaaS entsprechend umgesetzt werden.”

In anderen Worten: Geschäfte mit wiederkehrenden Umsätzen müssen sich darauf konzentrieren, ihre eigenen internen Prozesse und Kontrollen zu optimieren. Wir sehen uns diese Best Practices zu Sicherheitskontrollen und Prozessen in zukünftigen Acadamy-Guides näher an.

PHYSISCHE SICHERHEIT

Schlüsselpunkte:

  • Absicherung Ihrer physischen Rechenzentren
  • Mehrere Kontrollebenen
  • Zugriffsautorisierung und tägliche Überwachung rund um die Uhr

Best Practices für den Sicherheitsbereich beginnen stets mit der Absicherung Ihres physischen Rechenzentrums. Anbieter von SaaS-Anwendungen sollten ihre Infrastruktur innerhalb erstklassiger Rechenzentren hosten, die die besten Sicherheitsmaßnahmen für physische Sicherheit implementieren und eine Rechenzentrumsumgebung und ein Netzwerk bieten, die ständig verfügbar sind.

Weltklasse-Rechenzentren verwenden mehrere Kontrollebenen vom physischen Parameter zu Einrichtungskontrollen, Computerraumsteuerungen, die die Zugriffsauthentifizierung sicherstellen, sowie Überwachung rund um die Uhr und kontrollierten Zugriff auf Server-Hardware. So führt eine Verletzung einer einzelnen Ebene nicht zur Verwundbarkeit des ganzen Systems.

Zuora beispielsweise nutzt zwei Rechenzentren, die diese physischen Sicherheitsmaßnahmen umsetzen und so bemerkenswerte Klienten wie die US National Security Agency und Facebook hosten.

NETZWERKSICHERHEIT

Schlüsselpunkte:

  • Vollkommen separate Produktionsumgebung
  • Firewall und Netzwerkzonen-Segregierung
  • Remote-Zugriff mit Zwei-Faktor-Authentifizierung
  • Host-basierte Intrusion Detection

Die nächste Sicherheitsebene befasst sich mit Ihrer Netzwerkumgebung aus physischem und virtuellem Netzwerk, auf dem Ihre Anwendungen und Daten untergebracht sind. Bewährte Methoden beinhalten die physische und logische Trennung der Produktionsumgebung von allen anderen Umgebungen.

Das Produktionsnetzwerk wird von mehreren Firewalls und Überwachungstools geschützt, die unser Architekturdesign für Netzwerksicherheit implementieren und Sie dabei unterstützen, Sicherheitsrichtlinien und -kontrollen im Netzwerk durchzusetzen. Das Produktionsnetzwerk behandelt alle anderen Netzwerke außerhalb seiner selbst als nicht vertrauenswürdig, sodass es effektiv eine Insel ist. Für Fernzugriff auf das Netzwerk ausschließlich durch berechtigte Mitarbeiter ist eine Zwei-Faktoren-Authentifizierung erforderlich.

Zuora beispielsweise hat Systeme und Anwendungen auf einer Basis von 6 Netzwerkzonen aufgebaut, die System- und Anwendungsfunktion nach Zweck und notwendiger Sicherheitsstufe aufgliedern. Diese Zonen betrachten alle anderen Zonen also nicht vertrauenswürdig. Traffic ist nicht zulässig, es sei denn er ist aufgrund bestätigter Unternehmensanforderungen explizit und absichtlich genehmigt.

Außerdem sollten individuelle Server-Hosts durch die Nutzung von Host-basierter Intrusion Detection (HIDS) gesichert sein. HIDS ermöglicht es Ihnen, durch die Installation eines Agenten auf jedem lokalen Host für Überwachung und Reporting von Systemkonfiguration und Anwendungsaktivitäten aktiv gegen bösartige oder anormale Aktivitäten auf dem Host-System vorzugehen.

Die neue Unternehmens-IT

Erfahren Sie, wie Sie bewährte und Cloud-Lösungen für eine agile IT-Strategie kombinieren können.

Learn now!

ANWENDUNGSSICHERHEIT

Schlüsselpunkte:

  • HTTPS für alle ein-/ausgehenden Datentransfers
  • Datenverschlüsselung für Kreditkartenzahlungsdaten
  • Sichere(s) App-Design, -Entwicklung und -Testing
  • Anwendungsfirewall für ein zusätzliches Level an Perimeterschutz

Die dritte Sicherheitsebene befasst sich mit dem Anwendungscode und den darin vorhandenen Kundendaten, insbesondere den PII (personenbezogene Daten wie Adressen und Sozialversicherungsnummern) und Zahlungsinformationen. Ihr SaaS-Anbieter sollte für alle in das Anwendungsnetzwerk für die Produktionszahlungsabwicklung ein- bzw. aus ihm ausgehenden Daten HTTPS-Verschlüsselung verwenden.

Regierungsbehörden, Banken und Finanzinstitute wie Visa und MasterCard nutzen ebenfalls Hardware-Verschlüsselungsgeräte wie SafeNet, um Kreditkartendaten sicher zu verschlüsseln und hochsensible Daten wie private Schlüssel zu schützen.

Für Abo-Abrechnung und -Zahlung sollten Kreditkarten- und andere sensible Daten mittels AES-256-Bit-Verschlüsselung ausgeführt auf einem SafeNet-FIPS-zertifizierten Hardware-Sicherheitsmodul verschlüsselt werden. Diese Hardware-Sicherheitsmodulgeräte unterstützen Ihren SaaS-Provider dabei, die für die Ver- und Entschlüsselung von Daten genutzten Schlüssel zu schützen, und ermöglichen den Ablauf dieser kryptografischen Operationen innerhalb der Grenzen einer sicheren, manipulationsresistenten physischen Anwendung. Diese SafeNet-Systeme werden von autorisierten Sicherheitsingenieuren und -beauftragten verwaltet, denen man diese Aufgaben anvertraut.

Ihre SaaS-Anwendung sollte zudem sichere(s) App-Design, -Entwicklung und -Testing umfassen. Zuora beispielsweise entspricht Branchenstandards wie OWASP und wir arbeiten hart dafür, dass unsere Anwendungen so entwickelt und getestet sind, dass sie keine Hoch-Risiko-Vulnerabilität aufweisen.

Zu guter Letzt empfehlen wir Ihnen die Verwendung einer Anwendungsfirewall. Da jedweder Traffic HTTPS-verschlüsselt ist, können herkömmliche Firewalls Datenpakete nicht überprüfen, sodass eine Anwendungsfirewall nötig ist. Eine Anwendungsfirewall sucht nach Anwendungs-spezifischen Sicherheitslücken wie SQL-Injections und seitenübergreifendem Scripting, mittels derer ein Nutzer ein Skript einbringen und Ihre Cookies abgreifen kann.

SCHWACHSTELLEN-MANAGEMENT

Schlüsselpunkte:

  • Interne und externe Netzwerkscans
  • Sicherheitsanwendungsscans
  • Penetrationsprüfung von Webanwendungen
  • Wichtige Patches auf dem neuesten Stand halten

Es ist auch wichtig, proaktiv zu sein, wenn es zur Verwaltung von Sicherheitslücken kommt. Ihr SaaS-Anbieter sollte sein internes und externes Netzwerk auf einer allgemeinen Netzwerkebene regelmäßig mittels einer Scan-Appliance und Testing-Diensten scannen.

Es ist Bestandteil von Best Practices, vor dem Roll-out auf Sicherheitslücken zu testen und zu überprüfen. Gelegentlich können neue Sicherheitslücken bei Betriebssystemen wie Linux und Software-Anwendungen wie Web-Servern und Netzwerkgeräten auftreten. Neu identifizierte Sicherheitslücken sollten in den Prozessen Ihres SaaS-Anbieters einen Workflow auslösen, der jedes einzelne Problem aufspürt und rechtzeitig behebt.

Ihr Anbieter sollte zudem kontinuierliche Scans der Anwendung in einer Testumgebung durchführen, bevor ein Code in die Produktion geht. Ihre Scanning-Tools für Sicherheitslücken suchen nach einer Palette von Schwachstellen von SQL-Injection über seitenübergreifendes Scripting bis hin zu DoS von Webanwendungen. Ihr Anbieter sollte alle von seinen Scanning-Tools und dem internen Testing-Team aufgespürte Probleme aufzeichnen und jedes einzelne bis zu seiner Lösung verfolgen.

Im Fall von Zuora liegt ein Hauptaugenmerk auf der Sicherheit von Webanwendungen. Zuora verwendet ein Security-Dashboard, um die Sichtbarkeit aller Probleme zu gewährleisten.

Ihr Anbieter sollte sich proaktiv Testing durch Drittparteien sowie die regelmäßige Überwachung der Kommunikation dieser Quellen hinsichtlich Sicherheitslücken zunutze machen. Zusätzlich zu kontinuierlichem Scanning greift Zuora auch auf Penetrationsüberprüfung durch Drittanbieter zurück, die regelmäßig gründliche Tests an unseren Anwendungen durchführen.

So sie als für unsere Plattform als relevant betrachtet werden, nehmen wir eine Risikoeinschätzung vor, die den Grad von Risiko und Einfluss ermittelt. Dann wird das Problem priorisiert und auf seine Behebung in dem seiner ermittelten Risikostufe entsprechenden Zeitrahmen hingearbeitet. Wir überprüfen und priorisieren kritische Patches, die in unserem System zu installieren sind, in regelmäßigen Abständen.

Is your IoT offering secure?

Understand the risks of a connected world and ways to ensure the security of your IoT device and your customers.

Read now!

ZERTIFIZIERUNGSSTANDARDS

  • Kreditkartenindustrie (Payment Card Industry – PCI)
  • SSAE16 Typ II
  • TRUSTe
  • US-EU Safe Harbor (Selbstzertifizierung)
  • Health Insurance Portability and Accountability Act (HIPAA)

Eine wichtige Rolle, um Vertrauen herzustellen, spielt die Compliance für Standard-Zertifizierungen. Der erste dieser Compliance-Standards ist der Standard der Kreditkartenindustrie (Payment Card Industrie – PCI).Jede Abteilung, jeder Händler und Service-Provider – kurz, jeder, der Daten eines Karteninhabers akzeptiert, verarbeitet, überträgt oder speichert, hat sich an die anwendbaren Anforderungen des PCI-Standards zu halten.

PCI basiert auf 12 Hauptanforderungen und fast 300 detaillierten und sehr spezifischen Anforderungen. Möglicherweise sind Ihnen diese Anforderungen für Ihre Branche bereit bekannt.  So entspricht beispielsweise Zuora seit bereits vier Jahren den Anforderungen als PCI Level 1 Service-Anbieter.  Wir werden auch weiterhin die PCI-Compliance jährlich beibehalten.

SSAE16 ist der am häufigsten verwendete Standard für die Compliance-Attestierung und hat inzwischen den lange gültigen SAS70-Standard abgelöst.. Anders als PCI, bei dem es sich um einen zeitpunktbezogen Prüfungsstandard handelt, ist SSAE16 Type II eine rückblickende Überprüfung.

Ebenso wie für PCI entspricht Zuora in den letzten vier Jahren – seit 2009 – über SAS70/SSAE16 Type II-Compliance.  Jährlich überprüfen unabhängige Prüfer, ob die neun wichtigen Kontrollfaktoren, die für den Erfolg des Unternehmens unverzichtbar sind, einsatzbereit und für den gesamten Kontrollzeitraum wirksam sind. Zu diesen Kontrollfaktoren gehören neben Organisation und Administration die physische Zugriffskontrolle, logische Zugriffskontrolle, Systemverfügbarkeit und - leistung, Entwicklung von Infrastruktur Systemen, Entwicklung von Anwendungssoftware, Kunden-Implementierung und -Einrichtung, Datenklassifzierung, -integration und -austausch sowie System-Backup und - Wiederherstellung.

Das primäre Rechenzentrum von Zuora, Switch SuperNAP, in Las Vegas, Nevada, unterzieht sich jährlich PCI- und SSAE16-Prüfungen. Auch das Backup-Rechenzentrum von Zuora, CoreSite, wird jährlich in Hinblick auf SSAE16 geprüft.

Zudem ist es wichtig, eine Datenschutzrichtlinie einzuhalten und sich an die entsprechenden Datenschutzgesetze in den Ländern, in denen Ihre Kunden und deren Kunden Transaktionen durchführen, zu halten. Zu diesem Zweck nimmt Zuora die Dienste von TRUSTe als unabhängiger dritter Partei in Anspruch, um unsere Datenschutzrichtlinien zu prüfen und uns Rückmeldung zur Aktualisierung unserer Datenschutzrichtlinien zu liefern.

Zuora ergreift diese Maßnahmen, um mit den sich ständig ändernden Datenschutzregeln und -vorgaben in den geografischen Bereichen, die wir unterstützen, Schritt zu halten. Darüber hinaus überprüft Zuora jährlich die Compliance hinsichtlich des Rahmenwerks für Datenschutz der europäischen US-EU Safe Harbor-Direktive.

Für Unternehmen, die mit Anbietern und Daten im Gesundheitswesen zu tun haben, ist die Compliance mit dem Health Insurance Portability and Accountability Act (HIPAA) von Relevanz. Es gibt zwei Arten des HIPAA-Compliance-Standards: einen für sogenannte Covered Entities (verdeckt tätigen Unternehmen, d. h. Gesundheitsprogramme, Abrechnungsstellen für Gesundheitsversorgung und Gesundheitsversorgungseinrichtungen, die Informationen über den Gesundheitszustand in elektronischer Form in Verbindung mit Transaktionen übermitteln, für die das Gesundheitsministerium der USA gewisse Standards eingeführt hat) und einen für Geschäftspartner. Gemäß dem Department of Health and Human Services müssen „Einzelpersonen, Organisationen und Agenturen, die der Definition eines verdeckt tätigen Unternehmens nach dem HIPAA entsprechen, die Anforderungen der Regeln zum Schutz der Privatsphäre und Sicherheit von Gesundheitsdaten erfüllen und Einzelpersonen gewisse Rechte in Hinblick auf ihre Gesundheitsdaten gewähren“.

Ein Geschäftspartner in diesem Sinne wie Zuora ist jemand, der eine entsprechende Organisation (eine sog. „Covered Entity“) dabei unterstützt, ihren Aktivitäten und Aufgaben im Gesundheitswesen nachzukommen. Da Zuora Kunden in der Gesundheitsindustrie hat, die zu den „Covered Entities“ gehören, haben wir eine sogenannte „Business Associate Audit“, also eine Geschäftspartnerprüfung durchgeführt und ein entsprechende Vereinbarung, das „Business Associate Agreement“ (BAA), unterschrieben – eine Checkliste von Anforderungen, die vom HIPAA (Health Insurance Portability and Accountability Act) geregelt wird.

REDUZIERUNG DES PCI-COMPLIANCE-UMFANGS

Schlüsselpunkte:

  • Jeder Bereich ist verantwortlich für die Art und Weise der Datennutzung
  • Einschränkungen in Hinblick auf Speicherung, Verarbeitung und Übertragung von PCI-Daten
  • Einschränkung des Umfangs von Karteninhaber-Datenumgebungen (Cardholder Data Environment, CDE)
  • Nutzung der gehosteten Zahlungsmethode von Zuora (Hosted Payment Method, HPM)
  • Segmentierung von Karteninhaber-Datennetzwerken anderer Netzwerke
  • Verwendung effektive Verschlüsselung
  • Implementierung leistungsstarker wichtiger Verwaltungsmethoden

Jede Abteilung, jeder Händler oder Service-Provider ist letztendlich selbst dafür verantwortlich, wie Daten allgemein und Datenbesitz genutzt werden.

Eine der Frage, die Kunden Zuora häufig stellen lautet: „Wie reduziere oder minimiere ich den PCI-Umfang?“ In anderen Worten: „Wie mach ich den den PCI-Compliance-Prozess so effizient wie möglich?“

Es gibt zahlreiche bewährte Methoden, aber der mit Abstand am beste Weg ist definitiv, Kreditkartendaten nicht zu speichern oder anzutasten, wenn Sie es nicht unbedingt müssen. Da die Daten des Karteninhabers das System des Händlers nicht durchlaufen, kann der Händler im Rahmen eines solchen Ansatzes gewisse Systeme effektiv aus dem PCI-Umfang streichen.Das bedeutet natürlich nicht, dass Händler und Unternehmen keine guten Sicherheitsmaßnahmen in ihrer Infrastruktur treffen müssen. Diese Notwendigkeit besteht natürlich weiterhin, aber vom Standpunkt der PCI-Überprüfung aus betrachtet, können Sie Ihren PCI-Umfang reduzieren und zu guten Sicherheitsstandards beitragen, indem Sie Daten nur dann speichern oder übertragen, wenn es unumgänglich ist.

Zuora bietet beispielsweise ein Produkt namens Hosted Payment an, dass Sie in einem iFrame in Ihre Website einbetten können. Wird das Produkt ordnungsgemäß eingebettet, werden Kreditkartendaten verschlüsselt und vom Endkunden direkt auf die Server von Zuora übertragen. Dadurch wird der Weg verringert, den Daten im Zusammenhang mit der Zahlung durch Ihr System nehmen müssen.

Sollten Ihre Systeme Kreditkartendaten antasten müssen, gelten natürlich die PCI-Vorgaben, je nachdem, wie Sie die Daten in der Umgebung nutzen. Eine Möglichkeit, den Umfang zu reduzieren, wenn Kreditkarten Ihre Infrastruktur durchlaufen, ist die Implementierung eines adäquaten Netzwerks und eine Zugriffstrennung für Systeme, die Daten verarbeiten, speichern oder übermitteln. Bauen Sie ein Netzwerk auf, das diese Systeme und Anwendungen isoliert, und nutzen Sie Verstärkungspunkte wie Firewalls, um Systeme zu trennen, die sensible Daten verarbeiten.

Als letzter aber ganz und gar nicht unwichtigster Punkt ist eine effektive Verschlüsselung von ruhenden ebenso wie in der Übermittlung befindlichen Daten unverzichtbar.  Verschlüsselungscodes können für zahlreiche Zwecke genutzt werden – sei es für die Verschlüsselung von SSL-Verbindungen oder von sensiblen Daten.Bei der Nutzung von Verschlüsselungscodes ist es für den Schutz der Daten, die im System des Händlers nicht gespeichert werden oder es nicht durchlaufen müssen, essentiell, derartige Codes wie private Codes auf Servern zu schützen und eine Verwaltungsrichtlinie für die Codes zu etablieren, die berücksichtigt, wie Codes verwendet, verwaltet, gewechselt und geschützt werden.

STEUERUNG UND KONTROLLE VON SICHERHEITSPROGRAMMEN

Ein wichtiger Punkt bei der Errichtung eines gesunden und proaktiven Sicherheitsfokus in Ihrem Unternehmen ist die Implementierung einer Steuerung Ihrer Sicherheitsprozesse. Sie können damit beginnen, einen Sicherheitsvorstand einzurichten, der sich aus Unternehmensführern und technischen Führungskräften zusammensetzt. Diese Gruppe sollte eine klare Charta haben – beispielsweise „Steuerung des Sicherheitsprogramms unseres Unternehmens auf Führungsebene“.

Dieses Komitee sollte regelmäßig zusammenkommen und Sicherheitsprobleme mit hohem Risiko für das Unternehmen überprüfen und behandeln. So könnte eine derartige Agenda aussehen:

  • Behandlung von Sicherheitsproblemen mit hohem Risiko für das Unternehmen
  • Behandlung von Kundensicherheitsbedenken
  • Überprüfung und Genehmigung der Sicherheits-Roadmap und von Veränderungen am Sicherheitsprogramm
  • Überprüfung von Sicherheitsvorfällen/-verstößen

Bei Zuora haben wir ein Sicherheitskontroll-Komitee aus Führungskräften etabliert, das aus wichtigen Mitgliedern unserer Geschäftsführung besteht und regelmäßig zusammenkommt, um diese Probleme proaktiv anzugehen.

RISIKEN UNGEPLANTER AUSFALLZEITEN

Es wäre nachlässig von uns, würden wir nicht auch das Risiko von Datenverlust durch ungeplante Ausfallzeiten ansprechen. Auch wenn es sich bei ungeplanten Ausfallzeiten nicht per se um ein Sicherheitsrisiko handelt, so können sie doch zu einem Datenverlust führen, der Einfluss auf Ihr Geschäft und Ihre Kunden hat. Dies ist das tägliche Brot von SaaS-Providern, und sie konzentrieren sich darauf, dieses Risiko so weit wie irgend möglich zu reduzieren.

„Die meisten SaaS-Angebote beinhalten Fehlertoleranz und die Betriebszeit hat sich als besser herausgestellt als das, was die meisten Organisationen intern aufrecht erhalten können. Temporäre Ausfallzeiten sind nicht zu einem signifikanten SaaS-Risikobereich geworden, aber Käufer sollten sichergehen, dass die Provider-Verträge den benötigten Betriebszeitumfang beinhalten, und die SLA-Compliance im Auge behalten.“ Gartner

Erfahren Sie mehr über Reduzierung des Risikos ungeplanter Ausfallzeiten in unserem Guide zum Erreichen von Top-Performance, Verfügbarkeit und Skalierbarkeit.

Learn from your peers. Network your heart out.

Join a Subscribed event near you.

View Events