Fraunhofer AISEC sichert mit Open-Source-Tool Cloud-basierte Dienste ab

04.06.2019

Fraunhofer AISEC will mit einem neuen Tool die für einen häufigeren profitablen Einsatz von Cloud Computing hemmenden Sicherheitsbedenken zerstreuen: Der Clouitor wird ausschließlich in Deutschland betrieben und ist als Open-Source-Werkzeug in Beschaffenheit wie Arbeitsweise transparent.

Fraunhofer AISEC möchte mit einem neuen Tool Unternehmen darin unterstützen, von den Vorteilen von Cloud Computing wie schnelleren Produktzyklen, der Verkürzung der Time-to-Market und hoher Skalierbarkeit zu profitieren, und dafür dessen größten Nachteil aus Anwendersicht, die Sicherheitsbedenken, entscheidend abmildern. Mit dem "Clouditor" hat das Institut ein Assurance-Werkzeug entwickelt, das die sichere Konfiguration von Cloud-Services überprüfen und Schwachstellen detektieren soll. Als Hauptvorteil seiner Entwicklung hebt Fraunhofer AISEC hervor, dass sein Tool im Gegensatz zu den meisten im Markt verfügbaren Compliance-Tools für Cloud-Services in Deutschland betrieben wird und Einblicke in den Quelltext erlaubt.

 

"Viele Compliance-Dienste-Anbieter haben ihren Sitz in den USA und lassen sich nur ungern in die Karten schauen", sagt dazu Christian Banse, Abteilungsleiter Service and Application Security. "Als Forscherinnen und Forscher an einem unabhängigen, herstellerneutralen Institut war es uns besonders wichtig, ein Tool zu entwickeln, das Vertrauen schafft. Deswegen haben wir die Community-Edition des Clouditors auf Open-Source-Basis konzipiert. Beschaffenheit und Arbeitsweise des Clouditors sind transparent. Im Schulterschluss mit der Community wollen wir es außerdem kontinuierlich anpassen und weiterentwickeln."

 

Laut Fraunhofer AISEC überprüft der Clouditor über die APIs von Cloud-Providern wie Amazon Web Services oder Microsoft Azure Sicherheits- und Compliance-Anforderungen kontinuierlich und automatisiert. Das Werkzeug basiert auf Konfigurationskatalogen, die Best Practices für die Security beschreiben und benutzerdefiniert angepasst werden können. Abweichungen davon beispielsweise bei den Anforderungen an die Datensicherheit, an geographische Zuordnungen der Ressourcen oder an das Identitäts- und Zugriffsmanagement soll das Tool direkt detektieren, was eine unmittelbare Reaktion und Anpassung der Konfiguration ermöglicht. Im Vergleich zu herstellergebundenen Compliance-Diensten zeichnet sich der Clouditor nicht zuletzt durch Neutralität aus.

 

Am ab sofort via GitHub unter http://github.com/clouditor verfügbaren Clouditor arbeiten Wissenschaftlerinnen und Wissenschaftler des Fraunhofer AISEC laut dessen Angaben seit 2016. Unterstützt wurde das Projekt im Rahmen von »NGCert« durch das Bundesministerium für Bildung und Forschung sowie im Rahmen von »EU-SEC« durch die Europäische Union. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Fraunhofer AISEC: Neues Tool zur dezentralen Verwaltung digitaler Identitäten

Fraunhofer AISEC hat eine Alternative zu den Services von zentralen Identitätsprovidern wie Facebook und Google entwickelt: re:claimID will es als dezentraler Dienst ermöglichen, digitale Identitäten und Attribute sicher und selbstbestimmt zu verwalten und anderen Parteien zur Verfügung zu stellen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019