Towards Cloud Computing for Small and Medium Enterprises

Master Studiengang Information Security

Dipl.-Ing. Philip Schögler, BSc (Jg. 2014/2016)

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Seit den letzten zehn Jahren ist „Cloud Computing“ eines der populärsten Schlagwörter in der IT. Dennoch erweist sich die Einführung dieser Technologie, speziell in Europa, als zurückhaltend. Die Hauptgründe für diese zögerliche Umsetzung sind der Mangel an Wissen in Bezug auf rechtliche Fragen, die Funktionalität der Technik selbst sowie die Angst potentieller VerbraucherInnen vor Kontrollverlust. Diese Gründe treffen speziell auf Public Clouds zu, da VerbraucherInnen einen Service Provider mit dem Betrieb der Infrastruktur beauftragen. Das Konzept von Cloud Computing adressiert Herausforderungen wie Verfügbarkeit, Skalierbarkeit und Effizienz. Aufgrund der zurückhaltenden Einführung profitieren jedoch nur einige wenige Klein- und Mittelbetriebe von dieser Technologie.

Ziel

Das Ziel dieser Arbeit ist, durch die Einführung einer Private Cloud Risiken, die bei der Verwendung von Public Clouds entstehen, zu eliminieren und gleichzeitig das Wissen über diese Technologie zu fördern. Zu diesem Zweck wird ein minimales Testsystem erstellt, mit dem es möglich ist, „Infrastructure-as-a-Service“ bereitzustellen. Dieses Konzept wird dann verwendet, um potentielle Bedrohungen zu ermitteln. Des Weiteren werden in dieser Arbeit vergangene Sicherheitsvorfälle evaluiert, um entsprechende Sicherheitsmaßnahmen zu bestimmen.

Ergebnis

Durch neue Funktionen in dem OpenStack Framework ist es auch möglich, kleinere Installationen, ohne viele dezidierte Managementgeräte, zu betreiben. Dieser verringerte Aufwand resultiert in einem plausibleren Aufwand für Klein- und Mittelbetriebe, um eine Private Cloud zu betreiben. Mithilfe des STRIDE-Modells konnten Bedrohungen gegen spezifische Komponenten des Systems identifiziert werden. Aus diesen identifizierten Bedrohungen, der Analyse vergangener Sicherheitsvorfälle und unter Berücksichtigung von „Best Practices“ wurden Milderungsmaßnahmen für spezifische Komponenten abgeleitet. Obwohl einige Bedrohungen, speziell in Bezug auf Virtualisierung, ein solches System gefährden, lässt die breite Verwendung dieser Technologie darauf schließen, dass Betriebe diese Risiken akzeptieren, wenn dementsprechende Sicherheitsvorkehrungen getroffen werden. Private Clouds sind eine interessante Methode, um IT-Infrastrukturen zu betreiben. Unter der Berücksichtigung der identifizierten Sicherheitsmaßnahmen ist es auch möglich, einen hohen Grad an Sicherheit zu erreichen, und gleichzeitig inhärente Bedrohungen in der Public Cloud zu eliminieren.