Die Kontrolle von Cloud-Ressourcen für Cloud-Nutzer sowie -Anbieter ist das Ziel von Clouditor, einer neuen Sicherheitslösung des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC. Durch maßgeschneiderte, kontinuierliche Tests soll Clouditor Fragen bezüglich der Sicherheit und dem Verhalten von Diensten und Anwendungen in der Cloud beantworten. Damit lasse sich überprüfen, ob Sicherheits- oder Compliance-Anforderungen eingehalten werden.
Die Nutzung von Cloud-Diensten wird in Deutschland nach wie vor häufig kritisch gesehen. Denn die Erwartungen an Ressourcenersparnis und Steigerung der Agilität werden begleitet von Fragen wie: „Sind Anwendungen in der Cloud ausreichend gegen Angriffe geschützt?“ Oder: „Verhält sich ein Dienst wie per SLA zugesichert?“
„Mit dem Clouditor möchten wir den Unternehmen derartige Unsicherheiten nehmen und ihnen Antworten auf die kritischen Fragen liefern, die sie bewegen“, sagt Christian Banse, stellvertretender Leiter der Abteilung Service and Application Security am Fraunhofer AISEC.
Mit Clouditor werde der verwendete Dienst automatisch und kontinuierlich analysiert. Die Analysergebnisse liefern eine detaillierte Diagnose vom Zustand des Cloud-Dienstes. Unabhängig vom verwendeten Servicemodell – SaaS, PaaS oder IaaS – sollen die Ergebnisse auf diese Weise Geschäftsrisiken frühzeitig erkennen. „Auch die Betreiber von Cloud-Diensten profitieren vom Einsatz von Clouditor, in dem sie die Ergebnisse nutzen, um Sicherheit, Vertrauen sowie Transparenz zu schaffen. Das erhöht die Kundenbindung und liefert einen Beitrag zur Verringerung eigener Geschäftsrisiken“, so Banse weiter.
Das wachsame Auge im Hintergrund
Selbst als Cloud-Dienst konzipiert, lasse sich Clouditor nahtlos in bestehende Geschäftsprozesse integrieren und agiert im Hintergrund, ohne die existierenden Infrastruktur zu beeinträchtigen. Je nach Konfiguration werden kontinuierlich während der Laufzeit oder in zufälligen Abständen typische Anforderungen überprüft, wie beispielsweise die Widerstandsfähigkeit gegen bekannte Angriffe, die Verwendung einer ausreichend starken Verbindungsverschlüsselung oder die Einhaltung eines bestimmten geographischen Ortes, an dem der Dienst ausgeführt wird. Auch die Erfüllung zugesicherter Verfügbarkeitswerte oder bestimmter Verhaltensweisen eines Dienstes werden kontinuierlich überprüft.
Gemeinsam mehr Durchblick in der Cloud schaffen
Der Clouditor ist modular konzipiert und kann flexibel den Sicherheitsbedürfnissen des Nutzers angepasst und erweitert werden. Das Fraunhofer AISEC präsentiert Clouditor erstmals auf der IT-Security-Messe it-sa 2016 in Nürnberg, vom 18. bis 20. Oktober in Halle 12/Stand 462.