Mit freundlicher Genehmigung von “All About Security” dürfen wir das komplette Interview abbilden. Den Original-Artikel können Sie über folgenden Link aufrufen: Zum Original-Artikel.

Das Interview:

“Cloud Storage ist in Deutschland eine Chance”

In Umfragen zum Thema Cloud Computing und Cloud Storage bezeichnen die Befragten
Sicherheitsbedenken und Kontrollverlust als größte Hürden für den Einstieg in die Cloud.
Scott Sanchez Privacy & Security Officer von ScaleUp Technologies erläutert in diesem Interview die Aspekte des Datenschutzes und der Datensicherheit in Bezug auf einen Cloud Storage Service.

Cloud Storage ist eine besondere Art von Speicher. Wie wird die Sicherheit garantiert?

Wenn irgendeine Art von Service über das Internet zur Verfügung gestellt wird, ist es schwierig den Begriff der Garantie zu verwenden. Ein Anbieter hat die Möglichkeit, Service Level Agreements (SLAs) zu offerieren, in der Hoffnung damit den Anforderungen der Kunden gerecht zu werden. Cloud Anbieter wie ScaleUp Technologies verhandeln mit ihren Kunden auf einer gemeinsamen Basis und sehen sich als Partner ihrer Kunden auch bzgl. der Datensicherheit. Dennoch wird es schwierig, einen Anbieter zu finden, der eine Garantie für alles ausstellt. Anbieter sollten daher – auch bzgl. der Datensicherheit – individuell mit ihren Kunden zusammenarbeiten und mit den Kunden ein persönliches SLA erarbeiten.

Unterstützt Cloud Storage die Datensicherheit?

In Bezug auf die heutigen Sicherheitsstandards in Rechenzentren erhöht ein Cloud Storage definitiv die Datensicherheit. Werden die Daten beispielsweise auf gewöhnlichen, nicht redundanten Festplatten ohne weitere Sicherheitsmechanismen – wie einem RAID oder einem zusätzlichen Backup – gespeichert, dann erhöht Cloud Storage die Redundanz, Zuverlässigkeit und Verfügbarkeit, sowie die Robustheit einer Organisation.

Viele Leute behaupten, dass die Verfügbarkeit nicht zum Bereich der Sicherheit gehört. Das sehe ich anders. Wenn ein Unternehmen nicht über die Kontrollmechanismen verfügt, um auf einer granularen Ebene bspw. Zugriffsberechtigungen zu implementieren oder seine Dateien über viele Standorte hinweg verteilt gespeichert hat, ohne dabei auf eine konsistente Datenhaltung zu achten, kann ein Cloud Storage unterstützen.

In Deutschland wird der Datenschutz strenger gesehen als z.B. in den USA. Ein Nachteil oder eine Chance für Cloud Storage?

Cloud Storage ist in Deutschland eine Chance. Deutschland ist weltweit für seine strengen Datenschutzrichtlinien bekannt. Mit ScaleUp Technologies, dessen Rechenzentren und Mitarbeiter sich in Deutschland befinden, erfüllen wir die strengen Vorschriften. Wir können dies ebenfalls nachweisen, da alle Daten in einer rechtssicheren Region gespeichert werden.
Als deutsches Unternehmen muss man sich immer die Frage stellen, ob man seine Daten lieber in den USA, Irland oder lieber doch in Deutschland speichern möchte. Aus diesem Grund spielen regionale Anbieter wie ScaleUp Technologies, die als Partner auf die Bedürfnisse ihrer Kunden eingehen und die landesspezifischen Gesetze achten, eine große Rolle.

Was muss ein Cloud Storage Anbieter machen, um vertrauensvoll und seriös zu sein?

Es geht letztendlich darum, die Bereitschaft zu zeigen mit seinen Kunden intensive Gespräche zu führen. Keine Technologie und kein Service wird niemals zu 100 Prozent die Bedürfnisse für alle Unternehmen erfüllen. Man muss seinen Kunden zeigen, welche tatsächliche Bedeutung man für sie hat und welche ihrer Bedürfnisse und Anforderungen man erfüllen kann. Weiterhin sollte offen über die Dinge gesprochen werden, die man derzeit noch nicht erfüllen kann. Man muss seinen Kunden entgegenkommen oder mit ihnen zusammen eine Road Map entwickeln. Den Kunden helfen, ein Partner sein und Transparenz zeigen gehören ebenfalls dazu. Ein Kunde sollte wissen wie und warum man gewisse Dinge macht und manche Dinge lässt. Werbesprüche wie „Vertrauen Sie uns!” hören sich nett an, machen einen leitenden Auditor aber nicht glücklich! Auditoren wollen einen Beweis und sie wollen ihn schriftlich. Sie möchten mit den Verantwortlichen darüber reden. Das bedeutet vertrauensvoll und seriös zu sein.

Viele Leute sagen über die Cloud, dass sie nicht sicher ist. Der Grund dafür ist, dass sie sich bisher nur mit den großen und bekannten Cloud Anbietern beschäftigt haben, die sich auf keine intensiven Diskussionen und Gespräche einlassen. Stattdessen sind große Anbieter bzgl. Sicherheitsthemen sehr verschlossen. Weder klären sie darüber auf, welche Sicherheitsmaßnahmen eingesetzt werden, um die Daten zu schützen, noch warum sie diese Maßnahmen einsetzen. Es fehlt die Transparenz!

Kann man sich prüfen und zertifizieren lassen und wie aufwendig ist dieser Prozess?

Mit SAS-70 existiert derzeit eine mögliche Zertifizierung. Allerdings handelt es sich dabei mehr um die Prüfung zum Nachweis der IT-Prozesse und IT-Controls. Es hat daher nichts mit einer Zertifizierung bzgl. eines Cloud Storage oder einer Cloud Infrastruktur gemein. Die Cloud Security Alliance ist derzeit dabei, Cloud Security Zertifizierungen und Cloud Audits zu spezifizieren. Diese sind mit dem CISSP vergleichbar und vermitteln Grundlagenwissen. Dennoch sind die bereits vorhandenen Sicherheitszertifikate auch für die Cloud Security geeignet. Viele Kunden achten auf SAS-70 oder ISO 270001. Ich möchte nicht sagen, dass diese nutzlos sind, aber Kunden sind besser beraten, ihrem Anbieter Fragen über spezifische Kontrollmöglichkeiten zu stellen, die ihre Bedürfnisse abdecken, anstatt zu Fragen: “Haben Sie SAS-70?”

Und was ist generell beim Aufbau eines sicheren Cloud Storage zu beachten?

Es ist für den Kunden zunächst viel wichtiger die eigenen Bedürfnisse zu verstehen, anstatt einen Anbieter zu finden, der beispielsweise über 500 Funktionen bietet. Verfügt ein Kunde über tägliche Backups inkl. zusätzlicher Überprüfung und Verschlüsselung, benötigt er einen Anbieter, der ihm genau das bieten kann oder ihm dabei hilft, einen eigenen Cloud Storage zu entwickeln. Aus der Sicht des Kunden ist es daher wichtig, einen Cloud Anbieter wie ScaleUp Technologies zu finden, der sich den Bedürfnissen der Kunden annimmt und zusammen mit dem Kunden individuelle Lösungen entwickelt, anstatt einen Standardspeicher für jedermann anzubieten. Doch das Motto vieler Anbieter lautet nun mal leider: “Take it or leave it!”

* Das Interview wurde mit freundlicher Unterstützung von René Büst von CloudUser | Expert (http://clouduser.org) durchgeführt.

The “Safe Harbor” program for data management gains popularity

One of the developments in inter-continental data management that is not new but is gaining popularity with the rise of cloud computing is “Safe Harbor”, a program developed by the US State Department in cooperation with the European Union. Essentially once a US company is certified in Safe Harbor, they are deemed “adequate” by the EU and member nations with regards to storing and processing EU private data.

How does a US company get certified? Well, they just write a letter to the State Dept saying they are compliant, have an adequate privacy policy, and meet the program rules. The State Dept then publishes their name on the web… and viola- certified.

In some countries “Safe Harbor” is not enough

The problem is that countries like Germany have privacy laws like BDSG that are more restrictive/prescriptive than the umbrella EU laws. There are published legal opinions that Safe Harbor does not adequately meet BDSG and that additional steps must be taken to meet the required levels of data protection- but there is no German equivalent of Safe Harbor to give companies assurance of compliance. Hence, it is a huge risk to store data on German citizens outside of the borders of Germany.

Furthermore, the US and US-companies are not known for being champions of data privacy. For a US company looking to do business in the EU, Safe Harbor sounds like a dream come true… just find a “certified” provider here in the US and start your engines and ignore the fine print (and conflicting legal opinions). For the more risk-inclined, this may be acceptable. I haven’t spoken to a single smart CIO who thought accepting this risk was a good idea, and I agree 100%.

How SaaS companies can succeed

Companies building or using Software as a Service offerings will have to address these same concerns and issues around European and country-specific data protection laws. Consider hosting your
application or storing sensitive data in a country like Germany where the data protection laws are some of the strongest in the world. This will be a differentiation point for your solution and more customers will be able to use your application for more scenarios. Another option you should consider is to build flexibility in to your data storage and processing sub-systems to allow the customer to host those components in the location of their choice. Make this easier for your customers by partnering with preferred vendors in frequently requested geographies to make deployment and management easier.

Bottom line- Safe Harbor is a nice concept with an implementation that only half addresses the EU problem, and doesn’t even touch the more restrictive laws in countries like Germany. My recommendation is for companies and ISV’s with EU or localized privacy issues to select a provider inside the borders of the EU or the particular member nation so they and their customers can sleep easier at night.

Better Security Through Fixed & Defined App Communication Channels

AppLogic is oriented around “Applications” which are networks of Appliances in a private address space – essentially a virtual private data center. When we build an application environment on ScaleUp, we have to define which appliance is allowed to talk (connect via network) to other appliances and which protocols should be allowed. So even though all appliances (virtual machines) are on the same cloud/network, they cannot directly talk with each other via the internal network without us defining this (all via AppLogic).

A higher level of security is achieved when using ScaleUp, because all components of an application (webservers, database servers, etc.) do not have external network interfaces. They always have to be connected to a so called gateway appliance (IN appliance), which is basically another virtual machine running a linux based firewall. Only via the IN (or OUT/NET appliances) they are able to talk to the outside (internet).

In this multi-part ‘Security in the Cloud’ series we’ll dive deeper into a number of key security, privacy & access control topics. Our next post will analyze 2 of the most common fears – a focus on Data Control & Data Privacy.

Check out the the 1^st Article – The Cloud is NOT Less Secure.

Stay tuned, or better yet subscribe to our RSS or Email subscription & we’ll make sure continue to receive these articles.

In the view of our team here at ScaleUp, the Information Week article’s description of this as a “perceived barrier” is completely accurate. It is our responsibility to help our customers & prospects understand where the overblown hype about security stops & where real business, technology & policy decisions need to start about new cloud initiatives.

As a CEO of 10 year old internet4YOU, I have a lot of knowledge/experience about remote data center management. Comparing a traditional hosted solution (using either a shared infrastructure or a dedicated infrastructure in a remote datacenter) with a cloud hosting infrastructure hardly reveals major differences in the security that can be achieved. I would even go so far to say, that using a cloud hosting is NOT less secure.

When talking about cloud computing for enterprises, people always compare running an application on some internal server infrastructure within a company with a hosted solution in a remote infrastructure. It is always mentioned that moving your data outside of the company is a big security risk

However, I would not say that having your data within your company makes it more secure. Every company nowadays is connected to the internet. Employees use USB sticks, emails and third-party application on their workstation PCs. So why should your data be less secure when you move it into the cloud (in a professional datacenter).

In this multi-part ‘Security in the Cloud’ series we’ll dive deeper into a number of key security, privacy & access control topics. Stay tuned, or better yet subscribe to our RSS or Email subscription & we’ll make sure we keep you continue to receive these articles.