Description
Abstract English:
This thesis shows how policy enforcement can provide solutions to everyday problems such as the increasing
regulatory pressure in companies. It presents a methodology that allows the identification of security and
privacy related requirements that can be implemented by policy enforcement means. Furthermore, it provides
a taxonomy of general measures for the implementation of such requirements. Thus, it bridges the gap between
the legal realm and technical feasibility.
This work also shows how companies can benefit from policy enforcement systems in container-based environments
and which new operational concepts result from this. It proposes the framework design of a centralized policy
enforcement system that builds trust, provides auditability and eliminates costly errors by using consistent
real-time policies. The proposed system synergizes corporate and technical requirements and facilitates collaboration
between managers, security officers, architects, developers and auditors. An instantiation of the presented framework
in form of an implementation of different policies in a Kubernetes cluster consolidates the findings. The prototypical
policies used in the implementation are derived from the Cloud Computing Compliance Criteria Catalogue (C5) by the
German Federal Office of Information Security.
Abstract German:
Diese Arbeit zeigt wie Policy Enforcement alltägliche Probleme wie den zunehmenden Regulierungsdruck in Unternehmen
lösen kann. Es wird eine Methodologie vorgestellt, welche die Identifikation von sicherheits- und datenschutz-relevanten
Anforderungen ermöglicht, welche sich mittels Policy Enforcement durchsetzen lassen. Zusätzlich wird eine Taxonomie von
generellen Maßnahmen zur Implementierung solcher Anforderungen vorgestellt. Es wird somit ein Vorstoß zum Schließen der
Lücke zwischen dem Rechtsraum und der technischen Machbarkeit vorgestellt.
In dieser Arbeit wird auch gezeigt, wie Unternehmen von Policy Enforcement in containerbasierten Umgebungen profitieren
können und welche neuen Betriebskonzepte sich daraus ergeben. Es wird ein Framework-Design für ein zentralisiertes Policy
Enforcement System vorgeschlagen, welches mittels konsistenten Echtzeit-Policies Vertrauen schafft, Auditierbarkeit ermöglicht
sowie teure Verstöße gegen Anforderungen verhindert. Das vorgeschlagene System eint Unternehmens- und technische Anforderungen
und erleichtert die Zusammenarbeit zwischen Managern, Verantwortlichen für Informationssicherheit, Architekten, Entwicklern
und Auditoren. Eine Instanziierung des vorgestellten Frameworks in Form einer Implementierung verschiedener Policies in einem
Kubernetes Cluster verdeutlicht die Ergebnisse. Die in der Implementierung verwendeten prototypischen Policies sind aus dem
Cloud Computing Compliance Criteria Catalogue (C5) des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI)
abgeleitet.
|
Thesis topic in co-operation with the Fraunhofer Institute for Applied and Integrated Security AISEC, Garching