Kennzeichen S(icherheit): "Cloud-readiness" - Auswirkungen für Softwareentwickler

Architektur/Methoden  –  Kommentare

Alle reden von der Cloud, und jeder will hin – doch wie? Die meisten Applikationen sind für die Verwendung in der Cloud noch gar nicht vorbereitet. Wie sich inzwischen herumgesprochen hat, ist die größte Hürde, die benötigte erforderte Sicherheit "einzubauen".

Durch Cloud Computing verändert sich der Ansatz zu programmieren: Bisher entwickelte man Applikationen, die sich unabhängig vom Einsatzumfeld konzipieren lassen und die Verantwortung auf das Betriebssystem verlagern können. Nun sind Ideen gefragt, wie unterschiedliche Stakeholder in einem offenen Umfeld die Daten der Anwendungen dennoch sicher verarbeiten können – und das zudem nachweisen können. Zusätzlich ist der Nutzen in der Cloud erst gegeben, wenn die unterschiedlichen Applikationen, die es dort geben kann oder wird, auch zusammenarbeiten, also Daten austauschen et cetera. Sonst bliebe "nur" klassisches Betriebssystem-Applikationshosting in einer "privaten Cloud" – wobei der Nutzen dann beschränkt ist.

In einem solchen Kontext sind die Policies der Dateneigner zu beachten, und die Policy-konforme Abarbeitung hat man zu dokumentieren und nachzuweisen – und zwar unabhängig davon, ob "darunter" die Virtualisierungsschicht von einem Provider zum nächsten umgezogen ist. Das bedeutet für Softwareentwickler, dass das User Management zentral für die Fähigkeit ist, in der Cloud sinnvoll eingesetzt werden zu können. Es ist dann nicht mehr ausreichend, LDAP-Anschlüsse bereitzustellen und darüber hinaus die Benutzerverwaltung der Datenbank zu verwenden.

Vielmehr müssen moderne, offene und gleichzeitig leistungsfähige Identitätsmanagement-Konzepte in die Anwendungen einfließen. Applikationen sind dann Service-Provider und verwalten keine Benutzerdaten mehr selbst. Umgekehrt müssen die Identity-Provider die Protection Policies, also die Schutzerfordernisse – im Sinne eines Discretionary Access Control – der Daten ihrer verwalteten Benutzer mit administrieren und in XACML (eXtensible Access Control Markup Language) die Policies beschreiben. Dafür müssen sie aber die Anforderungen der Anwendungen kennen.

Der eigentliche Schlüssel für "Cloud-readiness" liegt in der Trennung von Applikation und Benutzerinformationen. Es ist erhebliches Umdenken gefragt, verstehen viele oft noch den "Benutzer" in gewisser Weise als "Besitz" der Anwendung und missbrauchen ihn als CRM-System. Dabei liegt da die Lösung: Das CRM-System ist der Identity Provider und lässt sich fein säuberlich von der eigentlichen Logik der Anwendung trennen. Es ist mit vielen unterschiedlichen Identity Provider zu rechnen, einer wird es nie sein.Wer steht also zwischen der heutigen IT und der Cloud? Die Softwarehersteller, die Benutzer selbst verwalten wollen. Es muss sich etwas tun, dann ist man einen Schritt weiter. (ane)

Sachar Paulus
ist Senior Analyst bei Kuppinger Cole, einem auf IAM, GRC, Cloud Computing und verwandten Themen spezialisierten Analystenunternehmen.