• Über uns
  • Newsroom
  • Karrieren
  • Partner werden
  • Suche
Compute
Leistungsstarke und skalierbare Rechenressourcen für Ihre kritischen Arbeitslasten. Orchestrieren Sie Ihre Cloud-nativen Anwendungen mit unseren modernen Container-Lösungen.
Entdecken Sie das Angebot Rechnen
Virtuelle Maschinen
VM Instanzen
Eine flexible und sichere On-Demand-Lösung für virtuelle Maschinen auf einer gemeinsam genutzten Infrastruktur.
Dedizierte Server
IaaS OpenSource
Virtualisierte Open-Source-Infrastruktur in einer vertrauenswürdigen, SecNumCloud-qualifizierten Cloud-Umgebung für vollständige technologische Souveränität.
IaaS VMWare
Ihre virtuellen VMware-Maschinen in einer vertrauenswürdigen, SecNumCloud-qualifizierten und HDS-zertifizierten Cloud-Umgebung.
Bare Metal
Dedizierte und vollständig anpassbare Server für die vollständige Autonomie über Ihre souveräne Infrastruktur.
Container
PaaS OpenShift
Die einheitliche Plattform zum Erstellen, Modernisieren und Bereitstellen Ihrer Anwendungen in großem Umfang in einer souveränen Cloud.
Managed Kubernetes
Managed Container-Orchestrierungslösung, die Sicherheit, Ausfallsicherheit und erweiterte Automatisierung auf souveräner Infrastruktur bietet.
Speicherung
Anpassungsfähige und leistungsfähige Speicherlösungen für alle Ihre Bedürfnisse. Optimieren Sie Ihre Daten mit unseren hochverfügbaren Block- und Objektlösungen.
Entdecken Sie das Angebot Storage
Speicherung
Blockspeicher
Die anpassungsfähige Blockspeicherlösung für optimale Speicherleistung in einer souveränen Cloud.
Objektspeicher
Die skalierbare und kostengünstige Speicherlösung für Ihre unstrukturierten Daten in einer souveränen Cloud.
Speichern
Backup solutions
Differenzierte Backup-Lösungen, die auf Ihre Herausforderungen und Umgebungen zugeschnitten sind
Netzwerk
Fortschrittliche Netzwerklösungen, um Ihre Infrastruktur zu verbinden und zu sichern. Stellen Sie Ihre privaten Netzwerke automatisiert und sicher bereit.
Entdecken Sie das Netzwerk-Angebot
Netzwerk
Virtual Private Cloud
Stellen Sie Ihre privaten Netzwerke automatisiert und sicher 100% ein und verwalten Sie sie.
Private Backbone
Übernehmen Sie die volle Kontrolle über Ihr Netzwerk mit erweiterter Layer-2-Konnektivität, die für Hybridarchitekturen und maßgeschneiderte Konfigurationen entwickelt wurde.
Firewall
Managed Firewall
Fortschrittliche Sicherheitslösungen für eine vollständige Isolierung und einen verbesserten Schutz
Unterbringung Sec
Housing - Gewidmeter Raum
Ein sicheres Hosting für Ihre Geräte in einer dedizierten oder gemeinsam genutzten Umgebung, je nach Bedarf.
Sicherheit
Fortschrittliche Sicherheitslösungen zum Schutz Ihrer kritischen Infrastruktur. Kontrollieren Sie den Zugriff und verteidigen Sie sich gegen Online-Bedrohungen.
Entdecken Sie das Angebot Sicherheit
Erkennung
Managed SIEM
Eine zentrale Plattform zur Sammlung und Korrelation von Sicherheitslogs, die KI-Automatisierung mit fortschrittlichen Erkennungsregeln (MITRE ATT&CK) verbindet.
Sovereign SOC
Ein souveränes, rund um die Uhr betriebenes SOC-Angebot, das über unseren Marketplace auf einer SecNumCloud-qualifizierten Infrastruktur bereitgestellt werden kann.
Schutz
Anti-DDoS
Der Schutzschild gegen Online-Angriffe
Bastion Host
Zentrale und transparente Zugangskontrolle für einen robusten Schutz Ihrer Infrastruktur
Managed KMS
Souveräne kryptografische Schlüsselverwaltung mit hardwarebasiertem Root of Trust (HSM) zum Schutz Ihrer sensibelsten Daten in der SecNumCloud-Infrastruktur.
AI
Lösungen mit künstlicher Intelligenz, die Ihre Daten in Erkenntnisse verwandeln und Ihre Geschäftsprozesse beschleunigen.
Entdecken Sie das KI-Angebot
AI
LLMaaS
Greifen Sie auf modernste Sprachmodelle auf einer souveränen, SecNumCloud-qualifizierten und HDS-zertifizierten Infrastruktur zu, um leistungsfähige und sichere KI-Anwendungen zu ermöglichen.
GPU
NVIDIA GPU-Instanzen zur Beschleunigung Ihrer Berechnungen für künstliche Intelligenz und High Performance Computing in einer souveränen Cloud.
Data
Datenlösungen, mit denen Sie Ihre kritischen Daten verwalten, analysieren und nutzen können.
Entdecken Sie das Data-Angebot
Datenbanken
Managed MariaDB
Eine vollständig verwaltete relationale MariaDB-Datenbank und PITR-Backup auf souveräner SecNumCloud-Infrastruktur.
Managed PostGreSQL
Die vollständig gemanagte relationale Datenbanklösung auf souveräner SecNumCloud-Infrastruktur
Big Data
Managed Kafka
Die verteilte Open-Source-Plattform für das Streaming von Daten in Echtzeit
Managed File System
Ein verwaltetes, souveränes und hochverfügbares verteiltes Dateisystem, auf das über NFS und SMB in der SecNumCloud-Infrastruktur zugegriffen werden kann.
Management & Governance
Begleitende und unterstützende Dienstleistungen, die Sie bei Ihrer Cloud-Transformation unterstützen.
Entdecken Sie das Begleitangebot
Begleitung
Unterstützungsstufen
Entdecken Sie die drei Ebenen der Unterstützung, um Sie entsprechend Ihren Herausforderungen bestmöglich zu unterstützen.
Professionelle Dienstleistungen
Von der Konzeption bis zur Optimierung begleitet Sie Cloud Temple in jeder Phase Ihres Projekts.
Regierungsführung
Konsole - API - Terraform Provider
Eine einzige Schnittstelle, um Ihre Produkte und Dienstleistungen zu visualisieren und zu verwalten
Beobachtbarkeit
Metriken Ihrer Infrastruktur, die in den Marktstandards verfügbar sind
Über uns
Das Unternehmen
Wer sind wir?
Führungsteam
Standorte
CSR-Verpflichtungen
Sektoren
Öffentlicher Sektor
Gesundheit
Finanzsektor
Industrie
Unsere Ansätze
Unsere Schritte zur Einhaltung der Vorschriften
Unser SecNumCloud-Ansatz
Vertrauenswürdige KI
Interoperabilität & Hybridität
Transparenz bei der Verarbeitung von Gesundheitsdaten
Newsroom
Die Zeitschrift
Veranstaltungen & Webinare
Pressemitteilungen
In den Medien
Dokumentationsbasis
Research Papers
Karrieren
Arbeiten bei Cloud Temple
Uns erreichen
Partner werden
Softwarehersteller
Managed Services Providers
DE IN VON IT
Kontakt
Das Magazin > Sicherheit sensibler Informationssysteme: Die Empfehlungen des ANSSI

Die Sicherheit von Informationssystemen (IS) ist entscheidend für den Schutz sensibler Daten, unabhängig davon, ob es sich um öffentliche oder private Daten handelt. Die Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI) hat spezielle Empfehlungen für das Hosting von IS in der Cloud erstellt, die sich nach der Sensibilität der IS und der Art der Bedrohungen richten, denen sie ausgesetzt sind. Dieser Artikel erläutert diese Empfehlungen und die Kriterien, die für eine optimale Sicherheit berücksichtigt werden müssen.

Die für die Umsetzung der Empfehlungen notwendigen Werkzeuge

Die Empfehlungen des ANSSI basieren auf drei Schlüsselelementen:

  1. Die Typologie der Cloud-Angebote
  2. Die Typologie der Bedrohungen
  3. Die Art der Informationssysteme

1. Die Typologie der Cloud-Angebote laut ANSSI

Die Typologie der Cloud-Angebote ist entscheidend für die Bestimmung des erforderlichen Sicherheitsniveaus. Die Angebote können kommerziell (öffentlich, privat, gemeinschaftlich) oder nicht kommerziell (intern, gemeinschaftlich) sein.

Kommerzielle Cloud-Angebote

  1. Öffentlich : Dieses Angebot wird für alle Kunden des Angebots gepoolt. Es ermöglicht eine hohe Flexibilität und Skalierbarkeit, kann aber aufgrund der gemeinsamen Nutzung von Ressourcen Risiken in Bezug auf die Sicherheit und Vertraulichkeit der Daten bergen.
  2. Privat : Das private Cloud-Angebot ist einer einzelnen Einheit gewidmet und bietet Ressourcen (Prozessor, Speicherplatz), die physisch der betreffenden Einheit gewidmet sind. Dies ermöglicht eine größere Kontrolle über die Sicherheit und Verwaltung der Daten, kann aber teurer sein als gepoolte Lösungen.
  3. Gemeinschaftlich Cloud-Angebote werden eingesetzt, um die Bedürfnisse einer Gruppe von Einrichtungen mit gemeinsamen Interessen zu erfüllen, unabhängig davon, ob es sich um staatliche oder private Einrichtungen handelt. Die Ressourcen werden von den Mitgliedern der Gemeinschaft gemeinsam genutzt, wodurch die Kosten geteilt und die Nutzung der Infrastruktur optimiert werden können.

Nicht-kommerzielle Cloud-Angebote

  1. Intern Diese Art von Angebot wird intern in der Infrastruktur der nutzenden Einheit bereitgestellt. Der Betrieb und die Überwachung der Infrastruktur können von der Einheit oder einem Subunternehmer übernommen werden. Bei diesem Ansatz kann die Einheit die Vorteile der Cloud wie Flexibilität und Skalierbarkeit nutzen und gleichzeitig eine strenge Kontrolle über die Sicherheit und das Datenmanagement behalten.
  2. Gemeinschaftlich In einigen besonderen Fällen können Unternehmen der gleichen Branche ihre Bedürfnisse bündeln und eine gemeinschaftliche Cloud-Infrastruktur aufbauen. Auf diese Weise können Kosten und Ressourcen geteilt werden, während ein gewisses Maß an Kontrolle und Sicherheit erhalten bleibt. Beispiele für diese Art von Angeboten sind Initiativen wie Pi und Nubo.

2. Die Typologie der Bedrohungen

Informationssysteme können verschiedenen Bedrohungstypologien ausgesetzt sein. Die ANSSI unterscheidet drei Hauptkategorien von Bedrohungen: strategische Bedrohungen, systemische Bedrohungen und hacktivistische oder isolierte Bedrohungen.

Strategische Bedrohung

Strategische Bedrohungen äußern sich in hartnäckigen und gezielten Computerangriffen, die häufig von Staaten finanziert werden. Diese Angriffe nutzen erhebliche technische und organisatorische Mittel und werden mit großer Geheimhaltung durchgeführt. Diese Bedrohungen zielen häufig darauf ab, Institutionen zu destabilisieren oder die nationale Sicherheit zu gefährden, und richten sich gegen kritische Infrastrukturen oder strategische Sektoren.

Einige Staaten können auf extraterritoriale Gesetze oder spezielle Gesetze zurückgreifen, um auf in der Cloud gehostete Daten zuzugreifen, ohne einen Cyberangriff durchzuführen. Hosting-Anbieter, die diesen Gesetzen unterliegen, müssen die Daten ihrer Kunden an die Behörden weiterleiten, oft ohne die Möglichkeit, Rechtsmittel einzulegen oder die betroffenen Kunden vorher zu informieren.

Systemische Bedrohung

Systemische Bedrohungen können eine Vielzahl von Einrichtungen betreffen und umfassen vor allem die Bedrohung durch Cyberkriminalität, die durch opportunistische und oft lukrative Computerangriffe wie Lösegeld und Betrug gekennzeichnet ist.

Diese Bedrohungen werden auch durch die zunehmende Verfügbarkeit von offensiven Werkzeugen und Dienstleistungen, die von Privatunternehmen vermarktet werden, verstärkt. Diese Dienste können für Wirtschaftsintelligenz und Industriespionage genutzt werden oder es bestimmten Staaten mit begrenzten Ressourcen ermöglichen, offensive Fähigkeiten zu erlangen.

Hacktivistische oder isolierte Bedrohung

Hacktivistische oder isolierte Bedrohungen sind oft durch politische oder soziale Ideologien motiviert. Hacktivisten versuchen, eine Sache zu fördern oder gegen bestimmte Aktionen zu protestieren, indem sie die Informationssysteme ihrer Ziele stören. Die Angriffe können Verunstaltungen von Webseiten, Distributed Denial of Service (DDoS) oder Datenlecks umfassen. Isolierte Bedrohungen hingegen werden oft von Einzelpersonen oder kleinen Gruppen ohne Zugehörigkeit zu größeren Organisationen verübt.

Fokus auf das SecNumCloud-Referenzsystem und die Qualifikation
  • Die SecNumCloud-Referenzsystem der ANSSI schlägt Sicherheitsregeln und bewährte Verfahren vor, die ein hohes Sicherheitsniveau gewährleisten. Die SecNumCloud-Qualifizierung stellt sicher, dass die Cloud-Angebote diese Anforderungen sowohl aus technischer als auch aus operativer Sicht erfüllen.

 

  • Die SecNumCloud-Qualifikationwird von der ANSSI für PaaS-, IaaS- und SaaS-Cloud-Angebote vergeben und stellt das Vertrauen in die Cloud-Angebote und Betriebspraktiken der qualifizierten Betreiber sicher. Diese Qualifikation garantiert jedoch nicht die Sicherheit der digitalen Dienste von Kunden, die diese Angebote nutzen.

 

  • Das "Sicherheitsvisum" SecNumCloud ermöglicht es Nutzern, Cloud-Angebote zu identifizieren, die darauf abzielen, sensible Daten und Verarbeitungen vor Bedrohungen durch Cyberkriminalität und extraterritoriale Gesetze zu schützen. Diese Qualifikation erleichtert auch die Zulassungsprozesse für die digitalen Dienste der Kunden, da sie ihnen ein gewisses Maß an Garantie für die zugrunde liegende Infrastruktur bietet.

3. Die Art der Informationssysteme

Das dritte Schlüsselelement der ANSSI-Empfehlungen beruht auf der Art der betroffenen Informationssysteme:

  1. Informationssysteme der Ebene eingeschränkte Verbreitung (DR) Diese Systeme verarbeiten Daten, die als eingeschränkte Verbreitung eingestuft sind und besondere Schutzmaßnahmen erfordern, um eine unbefugte Offenlegung zu verhindern.
  2. Sensible Informationssysteme, die unter die Cloud-Doktrin im Zentrum des Staates fallen Diese Systeme, außerhalb von SIIV, verarbeiten sensible Daten gemäß dem Cloud-Rundschreiben im Zentrum und erfordern besondere Aufmerksamkeit, um ihre Sicherheit zu gewährleisten.
  3. Sensible Informationssysteme von Betreibern lebenswichtiger Dienste (OIV) und Betreibern wesentlicher Dienste (OSE) : Obwohl sie nicht wie die IIVS reguliert sind, gelten diese Systeme aufgrund der Art der Daten, die sie verarbeiten, als sensibel und erfordern verstärkte Schutzmaßnahmen.
  4. Lebenswichtige Informationssysteme (VIS) Diese Systeme sind für die nationale und wirtschaftliche Sicherheit sowie die Überlebensfähigkeit der Nation von entscheidender Bedeutung. Eine Beeinträchtigung ihrer Sicherheit oder ihres Betriebs könnte diese Aspekte ernsthaft gefährden und damit eine erhebliche Gefahr für die Bevölkerung darstellen.

Die Anwendung der ANSSI-Empfehlungen

Die ANSSI definiert für die vier oben dargestellten Informationssysteme je nach Sensibilität der Verarbeitung und der Daten sowie der damit verbundenen Bedrohungsstufe die folgenden Empfehlungen:

Zusammenfassung der ANSSI-Empfehlungen für das Cloud-Hosting von Cloud TempleZusammenfassung herunterladen

Sensitive SI auf DR-Ebene

  • Die ANSSI empfiehlt die Nutzung von nicht-kommerziellen, SecNumCloud-qualifizierten Cloud-Angeboten (intern und in der Gemeinschaft) sowie von privaten kommerziellen Angeboten. Diese Optionen ermöglichen die Nutzung einer dedizierten Infrastruktur und verringern so das Risiko, dass sich ein Angriff von einem Kunden auf einen anderen ausbreitet.
  • Kommerzielle SecNumCloud-qualifizierte Cloud-Angebote, seien sie gemeinschaftlich oder öffentlich, sind ebenfalls denkbar. Sie beinhalten jedoch die gemeinsame Nutzung von IT-Ressourcen durch mehrere Kunden (z. B. die Speicherung von Daten auf derselben physischen Ressource oder das Hosten von Websites auf denselben physischen Servern).
Outsourcing des Hostings

Die Entscheidung, das Hosting auf ein kommerzielles, SecNumCloud-qualifiziertes Cloud-Angebot auszulagern, muss von der betreffenden Einrichtung getroffen werden und auf einer Risikoanalyse basieren, die belegt, dass die Lösung ein angemessenes Schutzniveau bietet.
Es ist entscheidend, den Standort des Hostings und die Nationalität der Administratoren zu berücksichtigen, wenn der Zugriff auf bestimmte Informationen aufgrund der Nationalität eingeschränkt ist (z. B. Informationen Diffusion Restreinte - Special France). In diesem Fall könnte ein nicht-kommerzielles Cloud-Angebot besser geeignet sein, um die Anforderungen von IGI 1300 zu erfüllen.

Sensible IS, die unter die Cloud-Doktrin im Zentrum des Staates fallen

  • Gemäß der "Cloud-im-Zentrum-Doktrin" des Staates müssen diese Systeme ausschließlich in SecNumCloud-qualifizierten Cloud-Angeboten (intern, privat, gemeinschaftlich oder öffentlich) gehostet werden.

Sensible IS eines Betreibers von lebenswichtigen Diensten und sensible IS eines Betreibers von wesentlichen Diensten (einschließlich wesentlicher Informationssysteme)

  • Die ANSSI empfiehlt die Nutzung jedes qualifizierten SecNumCloud-Angebots für diese Systeme.

Lebenswichtiges IS (VIS)

  • Aufgrund der Sensibilität der Verarbeitung und der Daten, die sie verwalten, erfordern VIS eine begründete Entscheidung des Leiters der betroffenen Stelle.
  • Für Cloud-kompatible VIS empfiehlt die ANSSI nicht-kommerzielle (interne und gemeinschaftliche) und private kommerzielle SecNumCloud-qualifizierte Cloud-Angebote, die eine dedizierte Infrastruktur ermöglichen und das Risiko minimieren, dass sich ein Angriff von einem Kunden auf einen anderen ausbreitet.
Bedingungen für andere Arten von kommerziellen Cloud-Angeboten

ANSSI schließt die Nutzung anderer Arten von kommerziellen Cloud-Angeboten nicht aus, vorausgesetzt, dass :

  • sie SecNumCloud-qualifiziert sind
  • Der Leiter der Einheit stützt seine Entscheidung auf eine begründete Risikoanalyse bezüglich der Auslagerung des Hostings des IIVS und darauf, dass alle für das IIVS geltenden rechtlichen Verpflichtungen eingehalten werden.
Katégorien
Cybersicherheit & Compliance
Das Magazin
Cookie-Richtlinie

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung auf unserer Seite zu bieten, erheben aber keine personenbezogenen Daten.

Die Dienste zur Messung des Publikums, die für den Betrieb und die Verbesserung unserer Website erforderlich sind, ermöglichen es nicht, Sie persönlich zu identifizieren. Sie haben jedoch die Möglichkeit, sich ihrer Nutzung zu widersetzen.

Weitere Informationen finden Sie in unserem Datenschutzrichtlinie.

Zulassen Ablehnen