Gemeinsames Cloud-Sicherheitsframework und Standards

Cloud-Sicherheitsrahmen und -standards bieten Richtlinien, bewährte Methoden und Best-Use-Prinzipien für die Sicherung von Cloud-Umgebungen. Hier sind einige der gängigsten und am weitesten verbreiteten Cloud-Sicherheitsrahmen und -standards:

1. NIST-Rahmenwerk für Cybersicherheit (NIST CSF)

Übersicht: Dieses vom National Institute of Standards and Technology entwickelte Framework bietet einen politischen Rahmen mit Leitlinien zur Computersicherheit, der beschreibt, wie Organisationen des privaten Sektors ihre Fähigkeit zur Verhinderung, Erkennung und Reaktion auf Cyberangriffe bewerten und verbessern können.

Kernstruktur: Besteht aus fünf Kernfunktionen – Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen – sowie Kategorien und Unterkategorien für bestimmte Aktivitäten.

2. ISO/IEC 27001 und 27002

Übersicht: Internationale Standards für Informationssicherheits-Managementsysteme (ISMS). ISO/IEC 27001 beschreibt die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS, während ISO/IEC 27002 Best Practices für die Implementierung von Sicherheitskontrollen bietet.

Hauptaugenmerk: Risikomanagement, umfassende Informationssicherheitskontrollen und Einführung eines Ansatzes, bei dem Sicherheit an erster Stelle steht.

3. Sicherheitsleitfaden der Cloud Security Alliance (CSA)

Überblick: Die CSA ist eine gemeinnützige Organisation, die die Verwendung von Best Practices zur Gewährleistung der Sicherheit im Cloud-Computing fördert. Ihre Leitfäden konzentrieren sich auf Cloud-spezifische Sicherheitsprobleme.

Schlüsseldokument: Die „Cloud Control Matrix“ (CCM) bietet ein speziell auf Cloud Computing zugeschnittenes Kontrollframework für die Cybersicherheit.

4. Datenschutz-Grundverordnung (DSGVO)

Überblick: Obwohl die DSGVO in erster Linie eine Verordnung zum Datenschutz und zur Wahrung der Privatsphäre in der Europäischen Union ist, legt sie strenge Anforderungen für Organisationen fest, die personenbezogene Daten verarbeiten, und hat Auswirkungen darauf, wie Cloud-Dienste diese Daten schützen müssen.

Wichtige Grundsätze: Zustimmung, Anonymisierung der Daten, Recht auf Zugriff und Datenschutz durch Technikgestaltung.

5. Bundesweites Risiko- und Autorisierungsmanagementprogramm (FedRAMP)

Überblick: Ein US-Regierungsprogramm, das die Sicherheitsbewertung und Autorisierung von Cloud-Produkten und -Diensten standardisiert. Es bietet einen standardisierten Ansatz zur Sicherheitsbewertung für die US-Bundesregierung.

Schlüsselkomponente: Agenturen können Sicherheitsbewertungen von Cloud-Diensten anhand eines einzigen Standards teilen, anstatt ihre Bewertungen einzeln durchzuführen.

6. Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)

Übersicht: Eine Reihe von Sicherheitsstandards, die sicherstellen sollen, dass alle Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übermitteln, eine sichere Umgebung aufrechterhalten.

Hauptaugenmerk: Organisationen, die Cloud-Dienste zur Verarbeitung von Zahlungskartendaten verwenden, müssen aus Sicherheitsgründen die PCI-DSS-Anforderungen erfüllen.

7. ISO/IEC 27017

Übersicht: Ein Standard, der Richtlinien für Informationssicherheitskontrollen bereitstellt, die für die Bereitstellung und Verwendung von Cloud-Diensten gelten.

Schwerpunkt: Es deckt sowohl Anbieter von Cloud-Diensten als auch Kunden von Cloud-Diensten ab und legt Verantwortlichkeiten und Kontrollen für beide Parteien fest.

8. CIS-Kontrollen

Übersicht: Das Center for Internet Security (CIS) bietet eine Reihe von Best Practices, die Unternehmen dabei helfen sollen, sich gegen gängige Cyberbedrohungen zu verteidigen. CIS hat Benchmarks speziell für Cloudumgebungen erstellt.

Hauptaugenmerk: Ein praktischer Ansatz durch eine Reihe priorisierter Maßnahmen, die zur Verbesserung der Sicherheitslage der Cloud-Infrastruktur ergriffen werden können.

9. Zero-Trust-Architektur (ZTA)

Übersicht: Dieses Sicherheitsmodell geht davon aus, dass Bedrohungen intern oder extern sein können und erfordert daher eine strenge Überprüfung für jeden, der versucht, auf Ressourcen im Netzwerk zuzugreifen, unabhängig davon, ob er sich außerhalb oder innerhalb des Perimeter befindet.

Schlüsselprinzipien: Kontinuierliche Überprüfung, geringstprivilegierter Zugriff und Mikrosegmentierung.

10. ITIL (Information Technology Infrastructure Library) Sicherheitsmanagement

Übersicht: ITIL ist zwar nicht spezifisch auf die Cloud ausgerichtet, bietet jedoch eine Reihe von Praktiken für das IT-Service-Management (ITSM), die auch die Service-Management-Sicherheit umfassen.

Hauptaugenmerk: Ausrichtung der IT-Services an den Anforderungen der Unternehmen und Aufrechterhaltung eines angemessenen Sicherheitsniveaus während des gesamten Service-Lebenszyklus.

Abschluss

Bei der Einführung von Cloud-Diensten ist es wichtig, die relevanten Frameworks und Standards zu verstehen und umzusetzen, um angemessene Risikomanagement-, Compliance- und Sicherheitspraktiken sicherzustellen. Jedes Framework oder jeder Standard hat seinen eigenen Schwerpunkt, daher übernehmen Organisationen oft eine Kombination, die ihren spezifischen Sicherheits- und Compliance-Anforderungen entspricht.