Kategorien
News

Die Cloud Security Alliance plant eigene Cloud Zertifizierung

Die Cloud Security Alliance (CSA) wird ein eigenes Open Certification Framework veröffentlichen, mit dem Cloud Anbieter flexibel, stufenweise und auf unterschiedlichen Ebenen auf Basis der CSA Richtlinien und Kontrollziele zertifiziert werden sollen.

Die Cloud Security Alliance plant eigene Cloud Zertifizierung

Die Cloud Security Alliance (CSA), ein nicht kommerzieller Zusammenschluss von Unternehmen, Einzelpersonen, Organisationen und weiteren „Interessenten“, die die sichere Nutzung des Cloud Computing vorantreiben wollen. Im Wesentlichen versucht die CSA einen gesetzlichen Rahmen für eine weltweit anerkannte Zertifizierung zu entwickeln, welcher die eigenen Anforderungen an die Vertrauenswürdigkeit usw. vertritt. Mit anderen Worten soll eine Reihe von Best Practices für die Cloud Sicherheit erstellt werden.

Das Framework wird auf den Kontrollzielen und der Struktur des CSA Governance, Risk and Compliance (GRC) Stack basieren. Der GRC Stack ist ein sich ständig weiterentwickelndes Tool mit dem Cloud Nutzer und Anbieter, sowohl Private als auch Public Clouds mit etablierten und bewährte Vorgehensweisen, Normen und Compliance-Anforderungen vergleichen können. Das Framework wird zudem einen expliziten Leitfaden für die Nutzung des GRC-Stack-Tools zur Zertifizierung mitbringen.

Der GRC-Stack besteht aus den folgenden Einzelteilen:

  • CloudAudit: Stellt Cloud Computing Anbietern und Nutzern eine offene und sichere Schnittstelle sowie Methoden zur Verfügung, mit denen sie automatisiert das Audit ihrer Cloud Umgebung vornehmen können.
  • Cloud Controls Matrix: Enthält alle grundlegende Richtlinien für die Beurteilung der Sicherheit und das Risiko eines Cloud Anbieters.
  • Consensus Assessments Initiative: Ist für die Forschung, Entwicklung neuer Tools und Förderung von Partnerschaften mit der Industrie zuständig, um Cloud Computing Audits zu ermöglichen.
  • CloudTrust Protocol: Hiermit können Cloud Nutzer alle Informationen bzgl. der Transparenz eines Angebots anfragen. Die Idee hinter dem Protokol ist nachzuweisen, dass in der Cloud exakt alles genauso geschieht, wie es der Cloud Anbieter nach Außen darstellt.

Die Zertifizierung wird zudem verschiedene Ebenen abbilden, welche die unterschiedlichen Anforderungen an die Vertrauenswürdigkeit und den Reifegrade von verschiedenen Anbietern und Nutzern unterstützt. Die Qualität wird auf unterschiedliche Weise sichergestellt. Vom „CSA Security, Trust, and Assurance Registry (STAR)“ Selbsttest bis hin zur kontinuierlichen Überprüfung durch externe Auditor,

Die CSA wird auf dem CSA Congress am 25.September 2012 in Amsterdam weitere Informationen und Partner zu dem Framework bekanntgeben.

Kategorien
News

Windows Azure wird Teil des Cloud Security Alliance STAR

Microsoft hat seine Cloud Plattform Windows Azure dem Cloud Security Alliance STAR (Security, Trust and Assurance Registry) hinzugefügt. Dabei handelt es sich um eine Art Registrierungskatalog, in dem Cloud Anbieter Informationen über ihre Sicherheitsfunktionen hinterlegen können.

Windows Azure wird Teil des Cloud Security Alliance STAR

Zwar wurde STAR bereits im letzten Jahr ins Leben gerufen, aber nach fast sechs Monaten haben erst drei Unternehmen sich durch das 170 Fragen starke Formular erfolgreich gearbeitet. Neben den Cloud Anbietern Mimecast und Solutionary gehört Microsoft mit Microsoft Office 365 zu den ersten Unternehmen, die Sicherheitsinformationen bekannt gegeben haben. Im vergangenen Monat sind mit Microsoft Windows Azure und SHI International zwei weitere gefolgt.

Microsoft gibt bei STAR u.a. an, das die Azure Core Services ISO 27001 zertifiziert sind und das diese Zertifizierung ebenfalls für alle zukünftigen Funktionen der Plattform fester Bestandteil sein soll. Bei den Core Services soll es sich demnach um Rechenleistung, Speicherplatz und Funktionen für virtuelle Netzwerke handeln.

Die Idee hinter STAR ist es, eine transparente Datenbasis zu erschaffen, mit der ein Kunde die unterschiedlichen Sicherheitsfunktionen der einzelnen Cloud Anbieter vergleichen soll. Aktuell besteht jedoch das Problem in der geringen Anzahl von Anbietern, so dass ein Vergleich nicht sehr aussagekräftig ist. Nach Angaben der CSA sollen sich aber bereits weitere Unternehmen wie Google, McAfee, Verizon und Intel angekündigt haben.