Security engineering and software development for critical infrastructure IT in the cloud

Abstract

Mit der steigenden Popularität von Cloud Computing, hat auch das Thema Informationssicherheit und Datenschutz einen hohen Stellenwert bekommen und wird in diesem Zusammenhang meist sehr heiß diskutiert. Der Erfolg von Cloud-basierten Diensten hängt davon ab, ob zu den Nutzern von Cloud-Angeboten das notwendige Vertrauen aufgebaut werden kann. Das wiederrum kann nur dann gelingen, wenn zuverlässige und sichere Cloud Computing Umgebungen durch den Entwicklungsprozess und eingesetzten Technologien garantiert werden kann. Diese Forschungsarbeit hat zum Ziel gesetzt, existierende Sicherheitsstandards und Werkzeuge für Kritische Infrastrukturen (KI) in Cloud Umgebungen zu evaluieren, und deren Anwendbarkeit in der Softwareentwicklung abzuschätzen. Das Hauptaugenmerk bei der Evaluierung liegt auf dem Beitrag der Standards und Werkzeuge zur sicheren Software und System Engineering. Ein Anforderungskatalog für sicherheitsrelevante Anforderungen wurde einerseits durch die Literaturanalyse und andererseits mit einem Prototypen (Werkezuge zur Speicherung von Bilder einer Überwachungskamera) erstellt. Basierend auf den Anforderungen, wurde eine mehrdimensionale Taxonomie erstellt, die die Beziehungen zwischen Anforderungen und existierenden Sicherheitsstandards und Werkzeugen darstellt. Diese Taxonomie hilft Softwareentwicklern dabei, die notwendigen Sicherheitsstandards zu identifizieren, wenn es darum geht sicherheitsrelevante Anforderungen für Cloud-basierte Infrastruktur zu realisieren.

With the increasing popularity of cloud computing, security in cloud-based applications is gaining awareness and security is regarded as one of the most crucial factors for the long-term success of such applications. Despite all the benefits of cloud computing, its fate lies in its success in gaining trust from its users that can be achieved only by ensuring safe and secure cloud environments. The objective of this research is to evaluate currently existing security standards and tools for Critical Infrastructure (CI) in cloud computing with focus on software development standards and tools to discuss their applicability in this context and to discuss how they support development of secure software and system engineering. A show case for a surveillance video or image storage system is used to experiment with a software development tool. We have identified security issues from literature review and experimentation with the show case. We have developed a multidimensional taxonomy based on the identified security issues and the existing standards and tools. The development of a multidimensional taxonomy is based on open security issues for CI in the Cloud, points out multiple standards and tools, and map security requirements to the available standards and tools. This multidimensional taxonomy will help software developers to identify appropriate means for creating secure cloud applications in CI domain.