Im Folgenden stellen wir Ihnen die einzelnen Bausteine der Open Telekom Cloud und ihr Sicherheitskonzept im Detail vor.
- Betrieb im Hochsicherheits-Rechenzentrum
- Umfangreiche Tests von Hard- und Software
- Abwehr von Cyber-Angriffen
Open Telekom Cloud – die sichere Cloud made in Europe
Wie alle Cloud Service Provider sind T-Systems und die Deutsche Telekom auf die Zulieferung von Hardware-Herstellern angewiesen. Für die Open Telekom Cloud bezieht T-Systems hoch standardisierte Server und Netzkomponenten von Huawei, aber auch von westlichen Herstellern. Technologisch basieren alle Server auf der so genannten x86-Architektur. Sie nutzen Prozessoren und Grafikkarten von US-amerikanischen Technologiepartnern (Intel® und NVIDIA). Die Lieferfähigkeit von Servern und ihren Komponenten hat Huawei mittels langfristiger Exportlizenzen abgesichert. Mit Blick auf die Multi-Vendor-Strategie der Telekom setzt T-Systems, im Gegensatz zu anderen Cloud-Providern, nicht auf proprietäre Serverarchitekturen. Die technische Abnahme von Servern alternativer Lieferanten ist inzwischen abgeschlossen. Diese Server werden bereits bei der bevorstehenden Erweiterung der Open Telekom Cloud zum Einsatz kommen.
Damit setzen wir auch in diesem Bereich eine Dual-Vendor-Strategie um, um kritische Abhängigkeiten von einzelnen Lieferanten zu vermeiden.
Im Rahmen der Innovationspartnerschaft liefert Huawei mit dem Cloud-Betriebssystem Huawei OpenStack Distribution eine zentrale Softwarekomponente der Open Telekom Cloud. Allerdings: Sie basiert auf OpenStack, einer Open Source Software für Private und Public Cloud-Plattformen. Eine internationale Gemeinschaft entwickelt OpenStack ständig weiter. Als ein Softwareprojekt, das eine Open-Source Architektur für Cloud-Computing zur Verfügung stellt, wird OpenStack von vielen internationalen Cloud-Anbietern verwendet.
Um Funktion und Sicherheit der Open Telekom Cloud stetig zu verbessern, arbeiten T-Systems und Huawei partnerschaftlich an der Weiterentwicklung der OpenStack-Plattform. Dabei prüfen T-Systems-Experten alle (Security-)Fixes und neue Funktionen. Nur nach ihrer Freigabe werden sie in den Betrieb der Open Telekom Cloud übernommen und - gemäß den Grundsätzen internationalen Entwicklergemeinschaft - in die Open Source Community zurückgespielt. T-Systems trägt damit entscheidend zur Verbesserung und Absicherung der freien OpenStack-Technologie bei. Gleichzeitig stellt dieser Prozess sicher, dass sich die Open Telekom Cloud im Kern nicht zu weit von der Community-Lösung entfernt und unabhängige Dritte Code jederzeit überprüfen können. Die Open Telekom Cloud ist durch die OpenStack Foundation nach der neuesten Version des Standards zertifiziert (https://www.openstack.org/marketplace/public-clouds/deutsche-telekom/open-telekom-cloud). Ein Wechsel des Software-Partners bleibt damit selbst für die Kerntechnologie der Open Telekom Cloud grundsätzlich möglich.
Ausschließlich T-Systems-Mitarbeiter managen die Open Telekom Cloud. Die Server stehen in einem hoch sicheren Zwillingsrechenzentrum der Telekom in Magdeburg und Biere (Sachsen-Anhalt). Den Betrieb steuern T-Systems-Experten von Ungarn aus (Budapest). Huawei liefert zwar die notwendigen Server (s. oben), hat aber während der Betriebsphase keinerlei Zugriff auf Hardware oder Software der Cloud-Plattform.
Beim Aufbau der Infrastruktur im Rechenzentrum greift T-Systems - branchenüblich - teilweise auf einen deutschen Dienstleister zurück. Das Unternehmen und seine Servicekräfte sind von T-Systems zertifiziert und durchlaufen regelmäßig eine Sicherheitsüberprüfung. Wartungsarbeiten und die Außerbetriebnahme von Hardware erfolgen ausschließlich durch T-Systems-Mitarbeiter. Einmal genutzte Datenträger verlassen die Rechenzentren nicht, sondern werden physisch zerstört.
Die Installation, Inbetriebnahme und Wartung der Open-Telekom-Cloud-Software übernehmen ausschließlich Mitarbeiter von T-Systems. Kontrollierte Remote-Zugänge und die Umsetzung eines strikten Need-to-Know-Prinzips stellen dabei sicher, dass nur wenige, ausgewählte und entsprechend geschulte Mitarbeiter Zugriff haben. Alle administrativen Zugriffe auf die Cloud-Infrastruktur werden dokumentiert und automatisiert auf auffällige Aktivitäten und Anomalien untersucht.
Um Fragen und Probleme von Kunden kümmert sich im so genannten First und Second Level Support ausschließlich T-Systems. Erst bei Bedarf im Third Level Support unterstützen Huawei-Experten per Video-Konferenz. Diese haben aber keinen Zugriff auf die Produktionsplattform oder Kundendaten. Sowohl die Analyse als auch das Einspielen von Software-Fixes wird von den T-Systems-Mitarbeitern erledigt.
Das Sicherheitskonzept der Open Telekom Cloud umfasst alle drei Ebenen: Betrieb, Hardware und Software. So durchlaufen grundsätzlich alle neuen Produkte und Hardware-Komponenten das PSA-Verfahren (Privacy and Security Assessment) der Telekom. Das Verfahren gewährleistet, dass alle Projekte zur Entwicklung und Einführung neuer Techniken und Produkte die hohen Anforderungen an technische Sicherheit und Datenschutz erfüllen.
Wie die Hardware unterziehen die Sicherheitsexperten von T-Systems auch jede Feature-Erweiterung und jedes Software-Update einer genauen Prüfung. Bevor es in das Live-System eingespielt werden darf, muss es seine fehlerfreie Funktion in einer gekapselten Abnahmeumgebung beweisen.
Alle Sicherheitsmaßnahmen, die während des Privacy and Security Assessment implementiert werden, sind im Sicherheits- und Datenschutzkonzept der Open Telekom Cloud dokumentiert. Das Sicherheits- und Datenschutzteam der Telekom aktualisiert dieses Konzept regelmäßig. Es führt auch zusätzlich regelmäßige Sicherheitstests, sogenannte Penetrationstests durch, um den Sicherheitsstatus zu überprüfen. Durch Red-Team-Einsätze werden die Sicherheitstests wirkungsvoll ergänzt.
Zusätzlich wird die Cloud-Plattform kontinuierlich von innen und außen mittels eines externen Tools auf Schwachstellen, Compliance und verdächtige Netzwerkkommunikation überprüft. Das Security Operation Center der Telekom überwacht unter anderem die Protokollierungsdaten auf verdächtige Aktivitäten. Das heißt: Der Datenfluss wird analysiert und mit Ereignissen korreliert, um potenzielle Angriffe zu erkennen. Im Angriffsfall ergreift das SOC sofort Gegenmaßnahmen.
Unabhängige Prüfer testen das Sicherheitskonzept der Open Telekom Cloud regelmäßig auf Herz und Nieren. Unabhängige Auditoren attestieren jährlich das Einhalten der Sicherheitsmechanismen (SOC/C5, ISO2700x). Die Open Telekom Cloud entspricht den Anforderungen der DSGVO und besitzt folgende Zertifikate und Gütesiegel, die regelmäßig von unabhängiger Seite überprüft werden: TDCP 1.0, Trusted Cloud, CSA Star Certification, TISAX.
Die Open Telekom Cloud ist ein Infrastruktur-Angebot (IaaS, Infrastructure as a Service). Nutzer stellen sich ihre Infrastruktur für den Bedarf ihrer Anwendungen selbst zusammen. Die Sicherung von Daten erfolgt in der Applikation des Kunden in der Regel mittels Verschlüsselung. T-Systems selbst separiert die Kundendaten technisch voneinander, um Zugriffe auf fremde Daten zu verhindern. Dabei kommen die gleichen Verfahren zum Einsatz wie in allen anderen Clouds (u.a. Virtualisierung mittels Hypervisor). Darüber hinaus können Kunden verschiedene Sicherheitsmechanismen (Anti-DDoS, WAFaaS, Security Groups, Key Management Service) selbst konfigurieren.