Title (eng): Towards Cloud Computing for Small and Medium Enterprises

Author: Schögler, P. (Philip)

Description (deu): St. Pölten, Studiengang Information Security, Masterarbeit, 2016

Description (deu): Seit den letzten 10 Jahren ist "Cloud Computing" eines der populärsten Schlagwörter in der IT. Denoch zeigt sich die Einführung dieser Technologie, speziell in Europa als zurückhaltend. Die Hauptgründe für diese zögerliche Umsetzung sind der Mangel an Wissen in Bezug auf rechtliche Fragen, die Funktionalität der Technik selbst, und die Angst vor einem Kontrollverlust durch den Verbraucher. Diese Gründe treffen speziell auf Public Clouds zu, weil der Verbraucher einen Service Provider mit dem Betrieb der Infrastruktur beauftragt. Durch die Einführung einer Private Cloud, können rechtliche Bedenken und ein Kontrollverlust automatisch ausgeschlossen werden. Diese Arbeit zielt darauf ab, das Verständnis über diese Technologie und ihre Auswirkungen in Bezug auf die Sicherheit zu erhöhen. Mit diesem vorgeschlagenen OpenStack Konzept, das Infrastructure as a Service bereitstellen kann, ist es möglich eine bestehende IT Infrastruktur mit einer Private Cloud zu ersetzen. Aufgrund der Nutzung neuer Funktionen in OpenStack ist es möglich, kleinere Private Clouds ohne mehrere dedizierte Management-Systeme zu betreiben. Durch diesen verringerten Mehraufwand wird der Einsatz dieser Technologie auch für kleinere und mittlere Unternehmen als effizient angesehen. Darüber hinaus macht die Verwendung dieser Technologie es möglich eine komplette IT Infrastruktur mit Commodity Hardware und Open-
Source Software zu betreiben. Um Auswirkungen auf die Sicherheit von bestimmten Elementen zu ermitteln wurde das STRIDE-per-Element Bedrohungsmodell herangezogen. Des Weiteren wurden bestehende Forschungen in Bezug auf Cloud Computing Sicherheit und Virtualisierung untersucht, um vergangene Sicherheitsvorfälle zu identifizieren. Die identifizierten Bedrohungen wurden entweder beseitigt, gemildert, oder mit zusätzlichen Vorkehrungsmaßnahmen adressiert. Letztlich wurden in OpenStack verfügbare Vorkehrungsmaßnahmen aufgelistet, und zusätzliche unabhängige Sicherheitsvorkehrungen empfohlen.

Description (eng): In the past 10 years cloud computing has been one of the most popular buzzwords in IT. Nevertheless, the adoption of cloud computing is still somewhat reluctant in Europe. The main reasons for such hesitant implementation are the lack of knowledge in regards to legal issues, the functionality of the technology itself, and the fear of "loss of control" by the consumer. These reasons are specific to the public cloud, because the consumer entrusts a service provider with the task of operating the IT infrastructure. With the adoption of a private cloud, legal doubts and "loss of control" fears are automatically eliminated. This thesis aims to increase the understanding about this technology and its security implications. Here, an example OpenStack concept is proposed, which can provide Infrastructure as a Service in order to replace an existing IT infrastructure. Through the usage of new OpenStack features it is possible to build smaller private clouds without much management overhead. Due to this reduced overhead even smaller deployments are considered to be efficient, and therefore, applicable for small and medium enterprises. Furthermore, the usage of this more state of the art computing model makes it possible to run the complete IT infrastructure with commodity hardware and open-source software. In order to determine security implications, the STRIDE-per-element threat model has been used to identify threats against components in the cloud computing framework. Additionally, existing research with a focus on cloud computing security and virtualization has been studied to identify previous security incidents. The identified threats are either eliminated, mitigated, or addressed with appropriate mitigation strategies. Finally, recommended mitigation techniques, which are available within OpenStack, or have to be deployed independently, are listed and elaborated.

Object languages: English

Date: 2016

Rights: © All rights reserved

Classification: Cloud Computing; Virtualisierung

Permanent Identifier