Cloud Security
Cloud Supply Chain Security
Supply-Chain-Attacken haben in letzter Zeit deutlich zugenommen und betreffen auch bekannte Unternehmen. Die Attacken erfolgen über vertrauenswürdig eingestufte Komponenten und IT Services Dritter und sind daher von Anwendern schwer zu verhindern. Der jetzt veröffentlichte TeleTrusT-Leitfaden beschreibt neben Software Bill of Materials (SBOM) weitere Schutzmaßnahmen, die von Anwenderunternehmen zur Verbesserung der Cloud Supply Chain Security getroffen werden können.
In der IT ist die Supply Chain die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT Service oder eine Anwendung zusammensetzt. Für jede Art von Software, aber insbesondere für Cloud-Dienste, besteht eine solche Lieferkette aus unzähligen Lieferanten und Produkten, die entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen. Im besten Fall wird der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender hat aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken - ein inakzeptabler Zustand.
Um das Problem der mangelnden Transparenz zu lösen, führt der Weg über die Software Bill of Materials (SBOM). Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind. Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, können Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind. Es wird erwartet, dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt.
Summary
Supply chain attacks have increased significantly and also affect well-known providers. The attacks are carried out via trusted third-party components and IT services and are therefore difficult for users to prevent.
In IT, the supply chain is the supply chain of all sub-products and deliveries that make up an IT service or application. For any type of software, but especially for cloud services, such a supply chain consists of countless suppliers and products that are either used directly or indirectly, or contribute to the creation or execution of the parts. In the best case scenario, the producer or supplier of the parts will check the directly used components for security properties themselves. However, the user usually has neither the possibility to determine the use of an affected component nor to work towards the elimination of vulnerabilities - an unacceptable situation.
It is difficult for users to assess risks in the supply chain, and usually impossible for small and medium-sized companies. Users therefore rely on risk assessments and protective measures from providers without being able to assess and understand these in detail or even come to their own current assessment. As a result, they are almost completely dependent on the provider in the event of attacks.
The way to solve the problem of a lack of transparency is via a software bill of materials (SBOM). An SBOM is a list of all components contained in a software application. It thus creates transparency with regard to the software components used in an application. When applied to other elements of the supply chain (i.e. extended to hardware, cloud services, etc.), the concept allows complete transparency of all components used. If new findings emerge regarding errors and gaps in these components, users can quickly determine whether they are potentially affected and whether the applications they are using are at risk. If necessary, they can then take their own measures or decide not to use them temporarily.
However, the static provision of SBOMs, for example at the time the contract is concluded, is not sufficient. Instead, providers need to provide this information dynamically. This means that this information must be up-to-date at all times, even after updates. Providers must also receive up-to-date information on the components they use and pass it on to their users. This type of provision of SBOMs does not yet exist. Approaches exist, but are incompatible with each other in parts.
Users can make a significant contribution to improving security in the supply chain if they include the provision of SBOMs by providers in their catalog of requirements. For their part, providers should make this information available to their users. The transparency gained will enable providers and users to actively manage cyber security rather than just reacting to incidents.
This guide describes protective measures that user companies can take to improve IT security despite a lack of transparency and the inability to directly influence elements of the supply chain. It also contains a suggestion on how transparency about the supply chain and the elements used can be improved, even when using cloud services.
Download
Cloud Supply Chain Security
Cloud Security - Sichere Nutzung von Cloud-Anwendungen (2021)
Cloud Computing ist inzwischen ein breit akzeptiertes IT-Betriebsmodell und wird von den allermeisten Unternehmen genutzt. Auch viele IT-Anbieter haben in ihrer Strategie auf "Cloud First" gewechselt, zum Teil sogar auf "Cloud Only". Die Bedrohungslage hat sich ebenfalls verändert: Cloud-Plattformen sind zunehmend im Blickfeld von Cybercrime. Die sichere Nutzung von Cloud Services ist deshalb ein zentraler Baustein der IT-Sicherheit von Unternehmen insgesamt. Der TeleTrusT-Leitfaden "Cloud Security" richtet sich vorwiegend an kleine und mittlere Unternehmen. Er beginnt mit einer systematischen Betrachtung der Risiken bei der Nutzung von Cloud-Diensten, gegliedert nach allgemeinen IT-Risiken, Cloud-spezifischen Risiken und rechtlichen Anforderungen. Betrachtet werden auch die Sicherheitsvorteile von Cloud Services.
Der Leitfaden zeigt technische, organisatorische und rechtliche Maßnahmen zur Reduktion und Beherrschung ermittelter Risiken auf. Neben Mechanismen und Konfigurationsmöglichkeiten, die integraler Bestandteil der Cloud-Dienste sind, wird fokussiert auf externe Sicherungsmechanismen eingegangen: Identity Provider, Cloud Access Security Broker (CASB), Cloud Encryption Gateways, E-Mail Security Gateways, Cloud VPNs, Cloud Firewalls, Confidential Computing, Backup und Notfallplanung.
Im Bereich organisatorischer Maßnahmen wird auf die Aufgabenverteilung zwischen Anbieter und Nutzer sowie auf die Vertragsgestaltung eingegangen. Der Leitfaden schließt mit einer Betrachtung von Testaten und Zertifikaten im Cloud-Umfeld.