Dieser Beitrag wurde von Rohit Kumar Cherukuri, Pankaj Badaya und Vineet Bulbule von Cloud4C mitverfasst.
Australische Regierungsorganisationen suchen nach Anbietern für verwaltete Clouddienste, die eine Platform-as-a-Service-Umgebung (PaaS-Umgebung) für das Verarbeiten, Speichern und Übertragen von Regierungsdaten mit der Klassifizierung „AU-PROTECTED“ bereitstellen können, die den Zielen des vom Australian Signals Directorate (ASD) erstellten Australian Government Information Security Manual (ISM) entspricht.
Eine der größten australischen Bundesbehörden, die für die Optimierung und Verwaltung der Staatsfinanzen zuständig ist, strebte die Implementierung des Information Security Registered Assessors Program (IRAP) an. Dieses Programm ist für den Schutz vertraulicher Daten und zur Einhaltung der Sicherheitskontrollen beim Übertragen, Speichern und Abrufen von Daten von erheblicher Bedeutung.
Das Information Security Registered Assessors Program ist eine Initiative des Australian Signals Directorate, mit dem hochwertige Sicherheitsbewertungsdienste für Informations- und Kommunikationstechnologien bereitgestellt werden sollen, die von der Regierung genutzt werden können.
Das Australian Signals Directorate empfiehlt demnach entsprechend qualifiziertes Fachpersonal für Informations- und Kommunikationstechnologien, um die Sicherheitsdienste bereitzustellen, die zum Schutz der allgemeinen Daten der Industrie und der australischen Regierung (und den jeweils zugehörigen Systemen) eingerichtet werden.
Cloud4C hat sich der Herausforderung angenommen, diesem Regierungskunden die entsprechenden Cloudplattformen zugänglich zu machen. Die Mitarbeiter von Cloud4C haben die strikten Complianceanforderungen analysiert und bewertet, die im Information Security Registered Assessors Program beschrieben werden.
Unter Befolgung der internen Baseline hat Cloud4C die Bewertung in die drei Kategorien „Physisch“, „Infrastruktur“ und „Verwaltete Dienste“ unterteilt. Das Information Security Registered Assessors Program schreibt strikte Sicherheitskontrollen für diese drei Bereiche vor.
Cloud4C hat festgestellt, dass diese Anforderungen am besten erfüllt werden können, indem eine Partnerschaft aufgebaut und die Verantwortung gemeinsam getragen wird. So kann zusammen eine ungewöhnliche, aber erfolgreiche und angemessene Bewertung ausgearbeitet werden. Im April 2018 hat das Australien Cyber Security Centre (ACSC) die Zertifizierung von Azure und Office 365 für die Klassifizierung „PROTECTED bekanntgegeben. Microsoft ist der erste und bisher einzige Anbieter für öffentliche Clouds, der diese Zertifizierungsstufe erreicht hat. Cloud4C ist eine Partnerschaft mit Microsoft eingegangen, um die SAP-Anwendungen und die SAP HANA-Datenbank in Azure bereitzustellen. So werden alle Vorteile der mit dem Information Security Registered Assessors Program konformen Infrastruktur genutzt, um die nahtlose Integration von nativ vorhandenen oder über den Marketplace erhältlichen Azure-Tools und -Technologien zu ermöglichen.
Cloud4C hat die geeigneten Azure-Rechenzentren in Australien ermittelt – Australien, Mitte und Australien, Mitte 2. Diese wurden einer strikten Bewertung anhand des Information Security Registered Assessors Program auf physische Sicherheit und die Standorte der Informations- und Kommunikationsgeräte unterzogen.
Durch die Compliance, die Azure für die Infrastruktur und die Notfallwiederherstellung bietet, konnte Cloud4C einen enormen Vorsprung als Anbieter für verwaltete Dienste erzielen. Mit vereinten Kräften soll der Großteil der verbleibenden Kontrollen bewältigt werden, die nur für den Cloud-Dienstanbieter gegolten haben.
Die Bewertung von Cloud4C anhand des Information Security Registered Assessors Program umfasste nach Abzug der durch die Azure-Notfallwiederherstellung bewältigten Kontrollen 412 große Risiken und die 19 wichtigsten Sicherheitsaspekte, die in 22 Hauptkategorien unterteilt waren.
Lösungsübersicht
Das Ziel der Beschäftigung bestand in der Konfiguration und Verwaltung der SAP-Landschaft in Azure. Hierfür werden bis zur SAP-Basisschicht verwaltete Dienste verwendet. Dabei werden die Klassifizierungsstandards des Information Security Registered Assessors Program für das Verarbeiten, Speichern und Abrufen von klassifizierten Informationen eingehalten. Da es sich um ein PaaS-Beschäftigungsmodell handelt, liegt die Zuständigkeitsmatrix in der SAP-Basisschicht, und die verwalteten Dienste für die Anwendung liegen außerhalb der Zuständigkeit für diese Beschäftigung.
Platform-as-a-Service mit einer einzigen Vereinbarung zum Servicelevel und Information Security Registered Assessors Program-geschützter Klassifizierung
Die vorgeschlagene Lösung enthält SAP-Lösungen wie SAP ERP, SAP BW, SAP CRM, SAP GRC, SAP IDM, SAP Portal, SAP Solution Manager, Web Dispatcher und Cloud Connector mit verschiedenen Datenbanken wie SAP HANA, SAP MaxDB und ehemalige Sybase-Datenbanken. Die Azure-Region „Australien, Mitte“, die primäre Region für die Notfallwiederherstellung, und „Australien, Mitte 2“, die sekundäre Region für die Notfallwiederherstellung, wurden als physische Standorte ausgewählt, um die mit dem Information Security Registered Assessors Program konforme Umgebung für die Notfallwiederherstellung einzurichten. Die vorgeschlagene Architektur umfasst zertifizierte VM-SKUs für SAP-Workloads, optimierte Speicher- und Datenträgerkonfigurationen, die geeigneten Netzwerk-SKUs mit entsprechendem Schutz, einen Hochverfügbarkeitsmechanismus, Notfallwiederherstellung, Sicherung und Überwachung, eine Kombination aus nativen und externen Sicherheitstools und vor allem Prozesse und Richtlinien für die Dienstbereitstellung.
Folgende Azure-Dienste sind in der vorgeschlagenen Architektur enthalten:
- Azure-Verfügbarkeitsgruppen
- Azure Active Directory
- Azure Privileged Identity Management
- Azure Multi-Factor Authentication
- Azure ExpressRoute-Gateway
- Azure Application Gateway mit Web Application Firewall
- Azure Load Balancer
- Azure Monitor
- Azure Resource Manager
- Azure Security Center
- Azure Storage und Disk Encryption
- Azure DDoS Protection
- Azure Virtual Machines (zertifizierte virtuelle Computer für SAP-Anwendungen und SAP HANA-Datenbanken)
- Azure Virtual Network
- Azure Network Watcher
- Netzwerksicherheitsgruppen
Konformität und Bewertungsprozess für das Information Security Registered Assessors Program
Cloud4C ist die Rahmenbedingungen für die Akkreditierung mit Unterstützung durch einen Prüfer für das Information Security Registered Assessors Program durchgegangen, um die Sicherheitsansprüche der australischen Regierung zu verinnerlichen und zu implementieren. So konnten die technischen Voraussetzungen für die Portierung von SAP-Anwendungen und der SAP HANA-Datenbank in ein durch das Information Security Registered Assessors Program geschütztes Setup in einer geschützten Azure-Cloud geschaffen werden.
Der für das Information Security Registered Assessors Program zuständige Prüfer hat die Implementierung, die Eignung und die Effektivität der Sicherheitskontrollen des Systems bewertet. Hierfür wurden gemäß dem Information Security Manual der australischen Regierung zwei Phasen für die Sicherheitsbewertung angesetzt:
- 1. Phase: Bei der Sicherheitsbewertung werden Sicherheitsmängel ermittelt, die der Besitzer des Systems behebt oder abmindert.
- 2. Phase: Bei der Sicherheitsbewertung wird die übrige Compliance bewertet.
Cloud4C hat durch die risikofreie Umgebung und den Schutz der wichtigen Informationssysteme durch die Unterstützung von Microsoft eine erfolgreiche Bewertung in allen zutreffenden Kontrollen des Information Security Manual erzielen können.
Das Microsoft-Team stellt Best Practices zur Nutzung der nativen Azure-Tools bereit, um die nötige Compliance zu erzielen. Ein Team aus Microsoft-Lösungsarchitekten und -Entwicklern hat sich an der Ausarbeitung des Aufbaus beteiligt und dabei eine vorhandene Wissensdatenbank zu nativen Azure-Sicherheitstools, Integrationsszenarios für Sicherheitstools von Drittanbietern und mögliche Architekturoptimierungen eingebracht.
Während der Bewertung haben Cloud4C und der Prüfer für das Information Security Registered Assessors Program Folgendes erarbeitet:
- den Aufbau der Systemarchitektur, die alle Komponenten und an der Kommunikation Beteiligten enthält
- den Entwurf für die Sicherheitscompliance anhand der Sicherheitsrichtlinie der australischen Regierung
- die physischen Einrichtungen (die Azure-Rechenzentren in den Regionen „Australien, Mitte“ und „Australien, Mitte 2“), die durch das Information Security Registered Assessors Program zertifiziert wurden
- die Implementierung der Sicherheitskontrollen des Information Security Manual
- die Migrationsstrategien für nicht konforme Komponenten
- die Risiken für das System und eine Minderungsstrategie
Schritte zur Automatisierungs- und Prozessverbesserung
- Schnelle Bereitstellung mithilfe von Azure Resource Manager-Vorlagen in Kombination mit Tools: Hierdurch konnten große Landschaften mit über 100 virtuellen Computern und 10 SAP-Lösungen in weniger als einem Monat bereitgestellt werden.
- Prozessautomatisierung mithilfe von RPA-Tools (Robotic Process Automation): Hierdurch konnte der Normalbetrieb innerhalb des SAP-Ökosystems ermittelt werden, das für die Information Security Registered Assessors Program-Umgebung bereitgestellt wurde. Zudem konnte der Gesamtprozess verbessert werden, damit nur geringfügige Unterbrechungen bei den Geschäftsprozessen für die Automatisierung auftreten, die für die Infrastrukturebene zuständig ist, die für die Verfügbarkeit der Anwendung sorgt.
Erkenntnisse und während des Prozesses implementierte Lösungen
- Zwischen den Regionen „Australien, Mitte“ und „Australien, Mitte 2“ wurde eine Glasfaserverbindung hergestellt, sodass eine Latenz im Nanosekundenbereich erzielt wird. Zudem werden die SAP-Anwendung und die SAP HANA-Datenbankreplikation im synchronen Modus ausgeführt, und ein Recovery Point Objective (RPO) von Null wurde erreicht.
- Azure Active Directory Domain Services-Instanzen waren nicht in der Region „Australien, Mitte“ verfügbar. Deshalb wurde die Region „Australien, Südosten“ genutzt, um eine nahtlose Bereitstellung sicherzustellen.
- Azure Site Recovery wurde erfolgreich für die Replikation einer SAP MaxDB-Datenbank eingesetzt.
- Der Datenverkehr, der über Azure ExpressRoute fließt, wurde nicht mit Standardmethoden, sondern mithilfe eines virtuellen Netzwerkgeräts von einem Microsoft-Sicherheitspartner verschlüsselt.
Für die Compliance mit dem Information Security Registered Assessors Program müssen die vom Australian Signals Directorate definierten Qualifikationen erfüllt und die Bewertungsphasen bestanden werden. Cloud4C hat folgende Vorteile angeboten:
- Reduzierte Time-to-Market: Cloud4C hat den Bewertungsprozess in 9 Monaten (im Vergleich zum Branchenrekord von 1–2 Jahren) durchlaufen.
- Die Erfahrung und Expertise von Cloud4C bei der Bereitstellung mehrerer Regionen und der Einhaltung von branchenspezifischen Complianceanforderungen für Kunden in Azure waren bei der Zuordnung der geeigneten Kontrollen mit nativen und externen Azure-Sicherheitstools von großem Vorteil.
Durch die Partnerschaft mit Microsoft konnte Cloud4C einen weiteren Meilenstein erreichen und auf sämtliche Sicherheitsfeatures der hyperskalierbaren Azure-Clouds zurückgreifen, um die strikten gesetzlichen und geografischen Complianceanforderungen zu erfüllen.
Cloud4C beherrscht die Verwendung vieler nativ in Azure verfügbaren Sicherheitslösungen sowie die Nutzung des Azure Marketplace für eine reduzierte Time-to-Market bereits. Cloud4C nutzt das Azure-Portfolio vollumfänglich, um die Infrastruktur des Kunden zu sichern und eine sichere Kultur zu fördern, indem Klienten als Azure Expert Managed Service Provider unterstützt werden. Mit dem wachsenden Azure-Sicherheitsportfolio steigt auch die Nutzung der Lösungsangebote durch Cloud4C.
Cloud4C und Microsoft planen einen weiteren Ausbau dieser Partnerschaft, um Kunden ein beispielloses Cloudangebot im Marketplace zu bieten, das für eine Vielzahl der Geografien und Branchen geeignet ist.