Wesentliche Sicherheitsaspekte bei PaaS-Umgebungen

Das Thema Platform as a Service (PaaS), also die Nutzung einer Entwicklungsplattform aus der Cloud, wird für viele Unternehmen zunehmend interessanter. So hat mittlerweile nahezu jeder große Hersteller von Entwicklerwerkzeugen ein entsprechendes Angebot im Betrieb oder zumindest am Start, ähnlich sieht es aber auch bei vielen mittelgroßen und kleinen Unternehmen aus. Einer der Protagonisten, Progress, hat nun wichtige Fragen zum Thema Sicherheit beantwortet, die sich Unternehmen bei der Auswahl einer passenden PaaS-Umgebung stellen sollten.

Zur Beantwortung der Frage, wem Code und Daten gehören, sollte der Vertrag mit dem PaaS-Anbieter juristisch genau geprüft werden, um zu gewährleisten, dass Unternehmen im Falle eines rechtlichen Konflikts, beim Konkurs des Anbieters oder sonstigen juristischen Ereignissen im Besitz des Codes und der Daten bleiben. Zusätzlich gebe es auch praktische Hürden: So nutze es wenig, wenn man zwar den PaaS-Code besitze, aber technisch in die Plattform "eingesperrt" sei und sie so bei Bedarf nicht verlassen könne.

Auf die Frage, ob Entwicklungs-, Test- und Betriebs-Umgebungen getrennt seien, heißt es, dass auch in PaaS-Umgebungen die klassische Trennung von Entwicklung, Test und Betrieb gewährleistet sein solle. Vor allem bei geschäftskritischen Anwendungen müsse diese Trennung sichergestellt werden. Bei Compliance-relevanten Finanzanwendungen müsse darüber hinaus auch eine Trennung der Aufgaben gewährleistet sein, denn zahlreiche transaktionelle Systeme verlangten, dass finanzielle Aktionen von mehr als nur einer Person durchgeführt würden. So dürfe es beispielsweise nicht möglich sein, dass ein einzelner User eine Bestellung aufgebe, die Bestellung bestätige und die Bezahlung der Bestellung freigeben könne.

Die meisten PaaS-Provider bieten eine robuste Abwehr gegen Viren, Datendiebstahl oder Denial-of-Service-Attacken. Man sollte aber dennoch genauer hinsehen, wie der Anbieter mit Sicherheitsvorfällen umgehe und welche Auswirkungen ein solcher Vorfall auf die eigene Anwendung haben könnte. Deshalb empfehle es sich, die Failover-Architektur des Anbieters, seine Recovery Time Objectives sowie seine Disaster-Recovery-Architektur und -Prozesse genau unter die Lupe zu nehmen.

Siehe dazu auf heise Developer:

• Die wichtigsten Fragen und Antworten zur PaaS-Einführung

(ane)