Cloud Computing
Beim Cloud Computing stellen Anbieter Ressourcen und elektronische Dienste über das Internet zur Verfügung, die bedarfsgerecht provisioniert und nutzungsabhängig abgerechnet werden können. Dabei verspricht Cloud Computing große Einsparungen von Ressourcen und Kosten, bedingt aber auch, dass sensitive Daten auf fremde Server ausgelagert werden. Aktuelle Sicherheitsbedrohungen, viele Herausforderungen im Hinblick auf die Sicherheit sowie eine oft komplexe Rechtslage behindern eine stärkere Nutzung von Cloud Computing.
Cloud Computing aus rechtlicher Perspektive
Das Cloud Computing wirft aus rechtlicher Sicht insbesondere im Haftungs- und Beweisrecht sowie im Datenschutzrecht zahlreiche, bisher noch ungeklärte Problemstellungen auf. So stellt sich zum einen die Frage, wie sich die beweisrechtliche Position zwecks haftungsrechtlicher Aufklärung streitgegenständlicher Geschehnisse adäquat stärken lässt. Daneben muss auch eine datenschutzrechtliche Bewertung verschiedener Cloud Computing Systeme vorgenommen werden. Die Untersuchung derartiger rechtlicher Aspekte mündet darüber hinaus in die offene Frage, wie einerseits mit den anerkannten gesetzlichen Beweismitteln haftungsrechtliche Fragen ausreichend adressiert werden können und andererseits gleichzeitig ein angemessenes Datenschutzniveau gewährleistet werden kann. Derartigen offenen Fragestellungen versucht das Projekt KASTEL entsprechend zu begegnen.
Beteiligte Forschungsgruppe war das Zentrum für angewandte Rechtswissenschaften (ZAR).
Ansprechpartner: Silvia Balaban (ZAR)
Referenzen
- Non simplificate nubes! Ein rechtlicher Blick hinter die Kulissen informatischer Cloud-Forschung. Herbsttagung der Deutschen Stiftung für Recht und Informatik. 2013, S. 325-342.
- Haftung und Beweis bei geschachtelt komponierten Cloud-Services. Zeitschrift zum Innovations- und Technikrecht (InTeR), Nr. 4, pp. 193-198, 2013.
- An Architectural Model for Deploying Critical Infrastructure Services in the Cloud. Proceedings of the 5th International Conference on Cloud Computing Technology and Science (CloudCom) 2013, Bd. 1, pp. 458-466, 2013.
Cloud-Speicherdienste
Eine zentrale Komponente in allen großen und skalierbaren Anwendungen unterschiedlichster Anwendungsdomänen ist das Datenhaltungssystem. Das Datenhaltungssystem beeinflusst entsprechend entscheidend die Sicherheit des Gesamtsystems. Die Untersuchung von Sicherheitsaspekten für Cloud-Speicherdienste (engl.: Cloud Storage) ist deshalb in KASTEL besonders vielversprechend.
Cloud-Speicherdienste – in KASTEL werden darunter vor allem NoSQL-Systeme
und -Dienste verstanden – haben den Anspruch eine scheinbar unendlich große
Speicherkapazität, eine hohe Skalierbarkeit, eine hohe Performanz und eine hohe
Verfügbarkeit zu garantieren. Dabei gibt es nicht nur eine Art von
Speichdiensten, sondern eine Vielzahl von Angeboten mit entsprechend
unterschiedlicher Architektur. Beispiele für kommerzielle
Cloud-Speicherdienste sind
Dropbox,
Google Cloud Storage,
Amazon Simple Storage Service (S3),
Apache Cassandra,
Project Voldemort>,
Rackspace Cloud Files,
Microsoft Azure Cache,
Amazon Relational Database Service (RDS),
Google Cloud SQL,
Rackspace Cloud Database oder
Microsoft Azure SQL-Datenbank.
Auch existieren viele vermeintlich
sichere
Alternativen zu diesen Diensten, wie z.B. der
Cryptographic Cloud Storage,
SecCSIE,
Cloud-RAID,
CryptDB,
HAIL,
MetaStorage,
MimoSecco oder
Wuala.
Alle aufgeführten Cloud-Speicherdienste unterscheiden
sich bzgl. ihrer funktionalen und qualitativen Eigenschaften, insbesondere aber
in Bezug auf die bereitgestellten Sicherheitseigenschaften.
Analyseschema für sichere Cloud-Speicherdienste
In KASTEL wurden in den vergangenen Jahren verschiedene „sichere“ Cloud-Speicherdienstprototypen bzgl. ihrer Sicherheitsmechanismen analysiert und charakterisiert, wie z.B. Cryptographic Cloud Storage oder CryptDB. Daraus entsteht aktuell ein Analyseschema für verschiedenste Cloud-Speicherdienste. Das KASTEL-Analyseschema für sichere Cloud-Speicherdienste dient dabei der Charakterisierung und dem Vergleich von Cloud-Speicherdiensten, der Identifikation von Schwachstellen, und der Auswahl von Zielen für die Entwicklung von weiteren sicheren Cloud-Speicherdienst-Prototypen. Ziel ist es, eine Art Landkarte für sichere Cloud-Speicherdienste und der verwendeten Sicherheitsmechanismen zu erhalten.
Beteiligte Forschungsgruppe war das Institut für Angewandte Informatik und Formale Beschreibungsverfahren (aifb).
Ansprechpartner: Steffen Müller (AIFB)
Cloud-Prototyping
Die Forschung der KASTEL-Arbeitsgruppe Cloud Computing ist durch die experimentelle Entwicklung mehrerer Prototypen geprägt. Mehrere Prototypen sind nötig, um der Vielzahl der unterschiedlichen Architekturen, Sicherheitsmechanismen und deren Konfigurationen zu begegnen. Dabei fokussieren die Untersuchungen insbesondere auf eine verschiedene Gewichtung und Abstufung der Sicherheitsziele Vertraulichkeit und Verfügbarkeit. Die experimentelle Untersuchung dieser Prototypen erlaubt Rückschlüsse auf den Zusammenhang von Sicherheitszielen, Sicherheitsmechanismen und anderen Qualitätsmerkmalen.
Prototyp MimoSecco
Mithilfe von „MimoSecco“ können strukturierte Daten sicher in die Cloud ausgelagert werden. Dazu stellt MimoSecco den Benutzern eine SQL-Schnittstelle bereit und speichert die abgelegten Daten verschlüsselt in Cloud-Datenbanken ab (siehe: MimoSecco).
MimoSecco wird in KASTEL als Basis für weitere Cloud-Speicherdienstprototypen verwendet und weiterentwickelt.
Beteiligte Forschungsgruppe war das Institut für theoretische Informatik (ITI).
Ansprechpartner: Matthias Gabel (ITI)
Referenzen
- MimoSecco: A Middleware for Secure Cloud Storage. Improving Complex Systems Today, Springer London, 2011, S. 175-181.
- Secure Database Outsourcing to the Cloud using the MimoSecco Middleware. Workshop Trusted Cloud 2013. Aug. 2013.
- Side Channels in Secure Database Outsourcing on the Example of the MimoSecco Scheme. Workshop Trusted Cloud 2013. 2013.
- Cumulus4j: A Provably Secure Database Abstraction Layer. Security Engineering and Intelligence Informatics, Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2013, S. 180-193.
Weiterführende Links
Projekt MimoSecco
Prototyp MetaStorage
MetaStorage
ist ein Cloud-Speicherdienst mit
Key-Value-Schnittstelle. MetaStorage abstrahiert dazu die Schnittstellen von
unterschiedlichen Cloud-Speicherdiensten (horizontale
Cloud-Speicherdienst-Föderation), wie z.B.
Amazon S3,
Google Cloud Storage oder
Rackspace Cloud Files.
Im Hintergrund repliziert MetaStorage die Daten dann auf die
angebundenen Cloud-Speicherdienste und hält die Daten konsistent. Fällt nun ein
einzelner Cloud-Anbieter aus, bleiben die Daten trotzdem weiterhin verfügbar.
MetaStorage wird im Rahmen von KASTEL weiterentwickelt und ist als Open Source Projekt bereitgestellt worden (siehe: MetaStorage auf SourceForge.net).
Beteiligte Forschungsgruppe war das Institut für Angewandte Informatik und Formale Beschreibungsverfahren (aifb).
Ansprechpartner: Steffen Müller (AIFB)
Referenzen
- MetaStorage: A Federated Cloud Storage System to Manage Consistency-Latency Tradeoffs. Proceedings of the 2011 IEEE International Conference on Cloud Computing (CLOUD), 2011, S. 452-459.
- Cloud Federation. Proceedings of the 2011 IARIA International Conference on Cloud Computing, GRIDs, and Virtualization (CLOUD COMPUTING 2011), 2011.
Weiterführende Links
MetaStorage auf SourceForge.net
Prototyp UC4MetaStorage
Die vollständige Replikation von Daten auf alle angebundenen
Cloud-Speicherdienste durch MetaStorage kann zu Sicherheits-
und Compliance-Problemen führen. So sollen häufig bestimmte Cloud-Anbieter,
z.B. aufgrund von Sicherheits- oder Datenschutzüberlegungen, bevorzugt werden. Bei
horizontal föderierten Cloud-Speicherdiensten, wie z.B. MetaStorage,
fehlen i.d.R. geeignete Kontrollmechanismen, die die Replikation gemäß
gewünschter Richtlinien bzw. Policies steuern. Der Prototyp Usage Control for
MetaStorage
(UC4MetaStorage
) erlaubt durch die Integration eines Usage
Control Frameworks in MetaStorage die Berücksichtigung von örtlichen,
zeitlichen und qualitativen Einschränkungen in Form von Policies für eine
feingranulare Steuerung der Replikation und Datenverteilung.
Beteiligte Forschungsgruppe war das Institut für Angewandte Informatik und Formale Beschreibungsverfahren (aifb).
Ansprechpartner: Steffen Müller (AIFB)
Referenzen
- Compliance-Preserving Cloud Storage Federation Based on Data-Driven Usage Control Proceedings of the 5th IEEE International Conference on Cloud Computing Technology and Science (CloudCom) 2013, 2013, S. 285-288.
Weiterführende Links
Prototyp MimoSecco + Cassandra
In Zusammenarbeit mit dem Trusted-Cloud-Projekt PeerEnergyCloud wird MimoSecco an verschiedene NoSQL-Systeme, wie z.B. Apache Cassandra, angebunden.
Beteiligte Forschungsgruppe war das Institut für theoretische Informatik (ITI).
Ansprechpartner:
Weiterführende Links
Analysetool TLSBench
Transport Layer Security (TLS) wird immer häufiger zur Absicherung von Kommunikation eingesetzt. Dabei verursacht die Aktivierung von TLS in der Regel gewissen Performance-Overhead. Mit TLSBench lässt sich dieser Performance-Overhead von TLS bei Cloud-Speicherdiensten, wie z.B. Apache Cassandra oder Amazon DynamoDB, messen.
Beteiligte Forschungsgruppe war das Institut für Angewandte Informatik und Formale Beschreibungsverfahren (aifb).
Ansprechpartner: Steffen Müller (AIFB)
Referenzen
- Benchmarking the Performance Impact of Transport Layer Security in Cloud Database Systems. Proceedings of the 2nd IEEE International Conference on Cloud Engineering (IC2E) 2014, 11 03 2014.
Weiterführende Links
TLSBench auf SourceForge.net