Sebastian Lins

Trust is Good, Control is Better: Creating Secure Clouds by Continuous Auditing

Cloud service certifications (CSC) attempt to assure a high level of security and compliance. However, considering that cloud services are part of an ever-changing environment, multi-year validity periods may put in doubt reliability of such certifications. We argue that continuous auditing (CA) of selected certification criteria is required to assure continuously reliable and secure cloud services, and thereby increase trustworthiness of certifications. CA of cloud services is still in its infancy, thus, we conducted a thorough literature review, interviews, and workshops with practitioners to conceptualize an architecture for continuous cloud service auditing. Our study shows that various criteria should be continuously audited. Yet, we reveal that most of existing methodologies are not applicable for third party auditing purposes. Therefore, we propose a conceptual CA architecture, and highlight important components and processes that have to be implemented. Finally, we discuss benefits and challenges that have to be tackled to diffuse the concept of continuous cloud service auditing. We contribute to knowledge and practice by providing applicable internal and third party auditing methodologies for auditors and providers, linked together in a conceptual architecture. Further on, we provide groundings for future research to implement CA in cloud service contexts.

What is Really Going On at Your Cloud Service Provider? Creating Trustworthy Certifications by Continuous Auditing

Cloud service certifications attempt to assure a high level of security and compliance. However, considering that cloud services are part of an ever-changing environment, multi-year validity periods may put in doubt the reliability of such certifications. We argue that continuous auditing of selected certification criteria is required to assure continuously reliable and secure cloud services and thereby increase the trustworthiness of certifications. Continuous auditing of cloud services is still in its infancy, thus, we performed a systematic literature review to identify automated auditing methods that are applicable in the context of cloud computing. Our study yields a set of automated methods for continuous auditing in six clusters. We discuss the identified methods in terms of their applicability to address major concerns about cloud computing and how the methods can aid to continuously audit cloud environments. We thereby provide paths for future research to implement continuous auditing in cloud service contexts.

Einsatz von Monitoring-basierten Messmethoden zur dynamischen Zertifizierung von Cloud-Services

In diesem Kapitel zeigen wir auf, wie bestehende Monitoring-Technologien eines Cloud-Service-Providers im Rahmen einer dynamischen Zertifizierung genutzt werden konnen, um die Einhaltung von Sicherheits-, Privatsphare- oder Zuverlassigkeitskriterien kontinuierlich sicherzustellen. Wir leiten allgemeingultige Anforderungen basierend auf den Ergebnissen von drei Fokusgruppeninterviews mit 24 Cloud-Experten und 10 Interviews mit Cloud-Service-Kunden ab. Zudem diskutieren wir, wie bestehende IT-Infrastruktur-Monitoring-Systeme, -Plugins und -Tools im Rahmen einer dynamischen Zertifizierung angewendet werden konnen.

Klassifikation von Cloud-Services

In diesem Kapitel werden die Grundlagen zu Cloud Computing kurz erlautert. Cloud Computing bezeichnet ein Modell, welches einen flexiblen und bedarfsorientierten Zugriff auf einen gemeinsam genutzten Pool von konfigurierbaren IT-Ressourcen (darunter Netzwerke, Server, Speicher oder Anwendungen) ermoglicht, die jederzeit und uberall uber das Internet oder einem Netzwerk abgerufen werden konnen. Zur Klassifikation von Cloud-Services werden die grundlegenden Charakteristiken des Cloud Computings sowie die Service- und Bereitstellungsmodelle beschrieben.

Vergleich existierender Zertifizierungen zum Nachweis vertrauenswürdiger Cloud-Services

Es gibt bereits erste Zertifizierungen, welche sich spezifisch auf die Auspragungen von Cloud-Services fokussieren. In diesem Kapitel beschreiben wir den Nutzen von Zertifizierungen fur Cloud-Service-Kunden und geben einen Uberblick uber relevante Zertifizierungen von Cloud-Services und Standards, insbesondere in Hinsicht auf Compliance Betrachtungen, sowie einen Einblick in die Entwicklung neuer Standards in der Europaischen Union.

Wertschöpfungsnetzwerk des dynamischen Zertifizierungs-Ecosystems

Durch die Entwicklung und Umsetzung einer dynamischen Zertifizierung ergibt sich das Potenzial einer neuen Wertschopfungskette, in der neue Akteure mit innovativen Geschaftsmodellen auftreten konnen und bestehende Akteure neue Rollen und Verantwortlichkeiten einnehmen konnen. Die Wertschopfungskette ist eines der weitverbreitetsten Modelle, welches den Geschaftserfolg als logische Folge wertsteigernder Aktivitaten erklart. Ferner ist sie ein Managementkonzept, mit dessen Hilfe die zur Erzeugung des Kundennutzens notwendigen Aktivitaten beschrieben und einzelnen Akteuren zugeordnet werden konnen. Im Rahmen dieses Kapitels werden daher die Akteure beschrieben, welche im Rahmen des neuen Wertschopfungsnetzwerks einer dynamischen Zertifizierung partizipieren.

Teil 2 der rechtsverträglichen Technikgestaltung der dynamischen Zertifizierung – technische Gestaltungsvorschläge

Dieses Kapitel stellt die Fortsetzung des Kapitels 15 dar. Wahrend dort die rechtlichen Rahmenbedingungen der dynamischen Zertifizierung mithilfe der Methode zur Konkretisierung rechtlicher Anforderungen zu technischen Gestaltungsvorschlagen (KORA) zusammengetragen und erlautert wurden, betrifft dieses Kapitel die technische Seite der methodischen Ableitung. Die in Kapitel 15 entwickelten rechtlichen Kriterien zur Gestaltung der dynamischen Zertifizierung werden nunmehr in die Sprache der Technik ubersetzt und zu technischen Zielen weitergefuhrt. Die letzte und konkreteste der KORA-Stufen betrifft technische Gestaltungsvorschlage, die aus Platzgrunden lediglich exemplarisch dargestellt werden. Gestaltungsvorschlage in ihrer Gesamtheit ermoglichen eine umfassend rechtsvertragliche Gestaltung des dynamischen Zertifizierungsverfahrens.

Status Quo: Eine vergleichende Analyse von Methodiken und Techniken zur kontinuierlichen Überprüfung von Cloud-Services

Die dynamische Zertifizierung befindet sich noch in ihrem Anfangsstadium. Um herauszufinden, welche Methodiken und Techniken zur (teil-) automatisierten Uberwachung und Auditierung genutzt werden konnen, haben wir ein umfangreiches Literaturreview durchgefuhrt. In diesem Kapitel werden sechs Cluster vorgestellt, welche unterschiedliche Methodiken und Techniken enthalten. Wir stellen die Methodiken und Techniken kurz vor, und diskutieren ihre Anwendbarkeit im Rahmen einer dynamischen Zertifizierung.

Ablauf der dynamischen Zertifizierung

Der dynamische Zertifizierungsprozess kann als sich wiederholender Zyklus verstanden werden. Dabei werden nacheinander und fortlaufend vier Teilprozesse durchgefuhrt: eine Datenerhebung und –Ubermittlung, Datenanalyse, Zertifikatsausstellung, und eine stetige Prozessanpassung. Dieses Kapitel skizziert die jeweiligen Teilprozesse.

Akzeptanz von dynamischen Zertifizierungen: Eine multiperspektivische Untersuchung

Das Konzept der dynamischen Zertifizierung wurde im Rahmen des Forschungsprojektes NGCert grundlegend erforscht und in ausgewahlten Anwendungsfallen prototypisch erprobt. Eine nachhaltige Verbreitung und Anwendung des dynamischen Zertifizierungsverfahrens ist notwendig, um die vielen Vorteile und Potenziale einer dynamischen Zertifizierung realisieren zu konnen. Merkmale einer dynamischen Zertifizierung haben positive aber auch negative Einflusse auf die Akzeptanz von verschiedenen Stakeholder. Zu den Innovationsmerkmalen, die eine Adoption der Innovation fordern oder auch verhindern konnen zahlen der relative Vorteil, die Kompatibilitat, die Komplexitat, die Erprobbarkeit und die Beobachtbarkeit. In diesem Kapitel wird das Ausmas der beeinflussenden Merkmale auf Basis von bestehender Literatur und durchgefuhrten Interviews mit Cloud-Service-Experten ermittelt und analysiert. Hierbei wird Bezug auf die drei Stakeholder Cloud-Service-Provider, -Auditoren und -Kunden genommen.