Mit der zunehmenden Nutzung des Cloud Computing in den letzten zehn Jahren hat sich auch die Reife der für die Verwaltung dieser Ressourcen verwendeten Normen erhöht. Daher ist es wichtig, Cloud Computing und die Besonderheiten einer Cloud Computing-Prüfung zu definieren, wobei der Schwerpunkt auf den modernen Prüfungsrichtlinien der Cloud Security Alliance (CSA) liegt.
Eine oft verwendete Definition von Cloud Computing ist die vom National Institute of Standard and Technology (NIST). Diese Definition lautet wie folgt:
“Cloud Computing ist ein Modell für den allgegenwärtigen, bequemen und bedarfsgerechten Netzzugang zu einem gemeinsamen Pool konfigurierbarer Rechenressourcen (z.B. Netzwerke, Server, Speicher, Anwendungen und Dienste), die mit minimalem Verwaltungsaufwand und ohne Interaktion mit dem Dienstanbieter schnell bereitgestellt und freigegeben werden können.”
Um es in laienhafteren Worten auszudrücken: Unter Cloud Computing versteht man die Nutzung von IT-Ressourcen über das Internet. Die Daten werden nicht lokal auf dem eigenen PC gespeichert, sondern an einem beliebigen Ort, der oft mit einer Datenwolke (Englisch: Cloud) dargestellt wird. Daraus hat sich der Begriff "Cloud Computing" entwickelt. In dem oben erwähnten Dokument diskutieren die NIST-Autoren fünf wesentliche Merkmale, drei Servicemodelle und vier Bereitstellungsmodelle, die für das Cloud-Modell gelten. Das folgende Bild stellt diesen Aspekt genauer dar.
Ein manchmal verwirrender Aspekt ist die Unterscheidung zwischen den drei Servicemodellen - SaaS, PaaS und IaaS - des Cloud Computing. Bei "Infrastructure-as-a-Service" (IaaS) können Nutzer direkt über das Internet auf einzelne virtuelle Ressourcen wie Speicher, Server, Netzwerkkomponenten zugreifen. "Software-as-a-Service" (SaaS) ermöglicht es den Nutzern, Softwareanwendungen über das Internet zu nutzen, ohne sie auf ihrem PC zu installieren. "Platform-as-a-Service" (PaaS) ist besonders für Entwickler interessant, die gemeinsam Programme über das Internet entwickeln und anbieten wollen.
Für Unternehmen bietet der Einsatz von Cloud Computing im Allgemeinen Flexibilität, Skalierbarkeit und Mobilität. Einige der wichtigsten Vorteile für Unternehmen sind die folgenden:
Sie verwenden weniger Kapital in Hardware und Softwarelizenzen und erhalten dennoch eine hochflexible Infrastruktur, die jederzeit an neue Anforderungen angepasst werden kann.
Sie übertragen die Installation und Wartung ihrer IT-Systeme an Spezialisten und können sich auf ihr Kerngeschäft konzentrieren.
Auf dieselben Daten kann von verschiedenen Standorten und von verschiedenen Personen zugegriffen werden. So können Mitarbeiter Unternehmensdaten auch unterwegs über mobile Geräte wie Smartphones und Tablets bearbeiten.
Im Rahmen des Cloud Computing, insbesondere bei den risikoreicheren Einsatzmodellen, sollten die Daten immer über eine verschlüsselte Verbindung übertragen werden. Höchste Priorität haben dabei besonders sensible Informationen, für die besondere Maßnahmen getroffen werden müssen. Hier spielt die Wahl des Cloud-Anbieters eine wichtige Rolle. Es sollten nur spezialisierte Cloud-Anbieter genutzt werden, die an die Anforderungen der jeweiligen Datenart oder Branche angepasst sind.
Darüber hinaus gelten die Grundregeln für die sichere IT-Nutzung. Das bedeutet unter anderem, dass Passwörter sicher sein müssen und regelmäßig geändert werden sollten. Auch auf eine gute Datensicherung (Backup) muss geachtet werden. Seriöse Cloud-Computing-Anbieter sichern die Daten in der Regel mehrfach. Eine regelmäßiger lokaler Backup bietet zusätzlichen Schutz. Eine solche Sicherung gewährleistet den Zugriff auf die Daten, wenn die Internetverbindung unterbrochen ist.
Cloud Compliance bezeichnet die Erfüllung der Anforderungen oder Kriterien, die erforderlich sind, um einer bestimmten Art von Zertifizierung oder Rahmenwerk zu entsprechen. Es gibt eine Vielzahl verschiedener Arten von Compliance, die je nach Branche, Request for Proposal, Kunde usw. erforderlich sein können. Die Art der Sicherheits- und Konformitätsanforderungen für die Cloud trägt dazu bei, die richtige Cloud-Konformität für ein Unternehmen zu bestimmen.
SOC 2 beispielsweise, eine Prüfung der Kontrollverfahren in einer dienstleistenden IT-Organisation, enthält keine spezifischen Anforderungen an Cloud Compliance. Sie verlangt jedoch die Implementierung von Software, Infrastruktur und Architektur für die Sicherheit des logischen Zugriffs auf Informationsbestände, um diese vor Sicherheitsbedrohungen zu schützen. Kontrollen werden als Mittel zum Nachweis der (Cloud) Compliance und ordnungsgemäßer Implementierungsstandards implementiert, z.B. Kontrolle des Zugangs zu sensiblen Informationen, Datenverschlüsselung und regelmäßiges Patching. Compliance Programme wie FedRAMP, Cloud Security Alliance (CSA), HITRUST, ISO 27017, and PCI konzentrieren sich auf die Standardisierung von Rahmenwerken zur Sicherheitsbewertung, Autorisierung und kontinuierlichen Überwachung von Cloud-Produkten und -Diensten.
Während der Planungs- und Ausführungsphase einer Prüfung der Sicherheit und Einhaltung von Vorschriften in der Cloud ist es von entscheidender Bedeutung, ein gründliches Verständnis für alle relevanten Prüfungsziele zu entwickeln. Idealerweise sollten Unternehmen ihre Geschäftsziele mit den Zielen der Prüfung in Einklang bringen. ISACA ist eine unabhängige Organisation, die sich für die Entwicklung, Einführung und Nutzung von weltweit anerkanntem, branchenführendem Wissen und Praktiken für Informationssysteme einsetzt. Eine ausgezeichnete Liste von Zielen für Cloud Computing ist ISACA's “IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud” zu entnehmen.
Die Cloud Security Alliance (CSA) ist die weltweit führende Organisation bei der Definition von Best Practices für die Einrichtung einer sicheren Cloud Computing Umgebung. Seit 2010 hat die CSA mehrere Versionen einer Cloud Controls Matrix (CCM) zur öffentlichen Nutzung veröffentlicht. Die neueste Version (v4.0) wurde im Juli 2021 veröffentlicht, wobei die Geschäftsführer von SRC, Jan Jacobsen and Bilal Khattak, zu den Hauptautoren zählen.
Das CSA CCM ist ein Rahmenwerk für Cybersecurity-Kontrollen für Cloud Computing, das sich an den CSA Best Practices orientiert - dem De-facto-Standard für Cloud-Sicherheit und Datenschutz. Der dazugehörige Fragebogen CAIQ v4 enthält eine Reihe von Ja/Nein-Fragen, die auf den Sicherheitskontrollen des CCM basieren. Der CCM und der CAIQ können über den folgenden Link heruntergeladen werden. Die Cloud-Kontrollmatrix von CSA ermöglicht es (Dienstleistungs-)Unternehmen, die Kontrollen zu identifizieren, die sie zur Vorbereitung auf verschiedene Engagements einrichten sollten.
In Kapitel 2 des CSA CCM v4 werden die Prüfungsrichtlinien für 17 Bereiche (Domänen) beschrieben, die zusammen die aktuelle Cloud-Kontrollmatrix (CCM) von CSA bilden. Jede Domäne enthält eine Reihe von Kontrollen. Zu jeder Kontrolle werden der Titel der Kontrolle, ihre ID, die Kontrollspezifikation und die kontrollspezifischen Prüfungsrichtlinien angegeben. Die 17 Bereiche, die CSA angibt, sind in der folgenden Tabelle aufgeführt:
CCM Domäne (Englisch) |
Anzahl an Kontrollen |
---|---|
Audit & Assurance (A&A) |
6 |
Application & Interface Security (AIS) |
7 |
Business Continuity Management & Operational Resilience (BCR) |
11 |
Change Control & Configuration Management |
9 |
Cryptography, Encryption & Key Management |
21 |
Datacenter Security (DCS) |
15 |
Data Security & Privacy Lifecycle Management (DSP) |
19 |
Governance, Risk Management and Compliance (GRC) |
8 |
Human Resources (HRS) |
13 |
Identity & Access Management (IAM) |
16 |
Interoperability & Portability (IPY) |
4 |
Infrastructure & Virtualization Security (IVS) |
9 |
Logging and Monitoring (LOG) |
13 |
Security Incident Management, E-Discovery, & Cloud Forensics (SEF) |
8 |
Supply Chain Management, Transparency, and Accountability (STA) |
14 |
Threat & Vulnerability Management (TVM) |
10 |
Universal Endpoint Management (UEM) |
14 |
Der Cloud Security Alliance Guide v4.0 ist ein Dokument (in englischer Sprache), das von der Website der Cloud Security Alliance über den folgenden Link heruntergeladen werden kann. Kurz gesagt, bietet der Leitfaden zusätzliche Informationen für Unternehmen, wie sie Cloud-Dienste sicher einführen und die zugrundeliegenden Risiken erkennen und angehen können.
In diesem Artikel wurde versucht, einen kurzen, aber dennoch umfassenden Überblick über Cloud Computing und die zugrundeliegenden Aspekte in Bezug auf Audit und Compliance zu geben. Darüber hinaus wurde die CSA CCM v4.0 vorgestellt. Die CSA CCM v4.0 ist die neueste Cloud-Sicherheitsmatrix (CCM), die von der Cloud Security Alliance (CSA) - der weltweit führenden Organisation bei der Formulierung von Best Practices für sicheres Cloud Computing - entwickelt wurde, um Unternehmen bei der Bewertung ihrer Cloud-Sicherheitslage und der Umsetzung von Best Practices zu unterstützen.
Wenn Sie weitere Fragen zu den zahlreichen Dienstleistungen haben, die wir bei SRC Consulting anbieten, wie z.B. Leistungen in den Bereichen Netzwerksicherheit, Informationssicherheitsaudit und Cloud-Sicherheit, können Sie uns gerne jederzeit kontaktieren.