Suchen

Aufgaben und Ziele der Cloud Security Alliance (CSA) Die Cloud Security Alliance im Überblick

Autor / Redakteur: MiR / Florian Karlstetter

Cloud-Sicherheit mit Best Practices überprüfen: Als global agierende Organisation hat es sich die Cloud Security Alliance (kurz: CSA) zur Aufgabe gemacht, Sicherheitslücken in Cloud-Umgebungen zu identifizieren. Prinzipielles Ziel ist es, sowohl native und hybride als auch Multi-Cloud-Umgebungen gezielt zu schützen sowie zu zertifizieren.

Firmen zum Thema

Die Cloud Security Alliance, kurz CSA, hat sich zur Aufgabe gemacht, mit Best Practices die Sicherheit von Cloud-Infrastrukturen zu überprüfen.
Die Cloud Security Alliance, kurz CSA, hat sich zur Aufgabe gemacht, mit Best Practices die Sicherheit von Cloud-Infrastrukturen zu überprüfen.
(Bild: gemeinfrei © Gerd Altmann / Pixabay )

Gezielte Absicherung von Cloud-Technologien und Cloud-Umgebungen: Die Cloud Security Alliance (CSA) ist eine reine Non-Profit-Organisation. Laut ihren Statuten fördert sie als gemeinnütziger Zusammenschluss international ausgerichteter Unternehmen die Erforschung und Entwicklung von Best Practices rundum die effektive Absicherung von Cloud-Umgebungen respektive von Cloud-Technologien und Cloud-Computing im Allgemeinen. Konkret setzt sich die CSA für die Einhaltung und die Entwicklung von Sicherheitsstandards bei Cloud-Diensten ein, um damit für eine sichere Nutzung zu gewährleisten.

Zudem veranstaltet die Cloud Security Alliance Fortbildungen zu Themenbereichen wie zum Beispiel Security. Die Organisation stellt Unternehmen auch Leitlinien zur Integration von Cloud-Computing und Cloud-Umgebungen zur Verfügung. Explizit unterstützt werden des Weiteren die Software-Hersteller, um auf diese Weise eine sichere Gestaltung und Entwicklung von Auslieferungsmodellen zu gewährleisten.

Entwickeln spezifischer Sicherheitsstandards für die Cloud-Anbieter

Auf Basis verschiedener, von der CSA betriebener Forschungs-Initiativen werden den Unternehmen und Anbietern im Bereich Cloud-Computing Berichte, Whitepaper und Tools zur Verfügung gestellt. Diese sollen gezielt bei der Absicherung von Produkten und Leistungen im Segment Cloud-Computing helfen bzw. unterstützen. So bietet die Cloud Security Alliance zum Beispiel ein spezielles Toolkit an, das die Sicherheit von öffentlichen und privaten Clouds überprüft.

Als Vergleichsstandard fungieren hier die branchenüblichen Best Practices. Die CSA versucht auch das Erfassen von Audit-Daten zu optimieren. Hierfür wurde das Projekt Cloud Audit ins Leben gerufen. Im Rahmen dieses Projekts entwickelt die CSA Standard-Methoden für die Cloud-Anbieter, anhand derer die Kommunikation zur GRC-Thematik (Governance, Risk und Compliance) vertieft und verbessert werden soll.

Schwerpunkt Fortbildung: Zertifikate für echtes Experten-Wissen

Die CSA vergibt auch Zertifikationen hinsichtlich unterschiedlicher Qualifikationen und Kenntnisse. Schwerpunkte bilden dabei Zertifikate wie das CCSK (Certificate of Cloud Security Knowledge). Mit diesem Zertifikat wird der Nachweis erbracht, über grundlegende Kenntnisse im Hinblick auf Sicherheitsfragen rundum Clouds zu verfügen. Die jeweiligen CCSK-Kandidaten müssen für den Erwerb des Zertifikates eine Multiple-Choice-Prüfung bestehen.

Als Grundlage dienen diesbezüglich das von der CSA veröffentlichte Dokument „Security Guidance for Critical Areas of Focus in Cloud Computing“ sowie der Bericht „Cloud Computing: Benefits, Risks and Recommendations for Information Security“, der von der European Network and Information Security Agency verfasst worden ist. Für die Teilnahme an der Multiple-Choice-Prüfung müssen die Interessenten aktuell 295 US-Dollar entrichten.

Fachkenntnis und Expertise der Mitglieder sorgen für inhaltliche Tiefe

Gleich mehrere Unternehmen unterstützen die CSA bei ihren Bemühungen und Bestrebungen, Cloud-Computing sicher zu gestalten. Zu nennen sind hier vor allem die stark aktiven Unternehmen Qualys Inc., PGP Corp. und Zscaler. Aber auch weltweit agierende Großkonzerne wie Google, Microsoft und Vodafone zählen zu den rund 100 Mitgliedern der Allianz. Die Organisation selbst wird von Experten für Security und Cloud-Computing geleitet. Als Technischer Direktor fungiert zum Beispiel der Blogger und Sicherheitsexperte Christopher Hoff.

Ihm zur Seite stehen mit Dave Cullinane, Philippe Courtot, Jay Chaudhry, Alan Boehme, Izak Mutlu, Jean Pawluk oder auch Paul Kurtz zahlreiche Entscheidungsträger aus der Wirtschaft und der IT-Branche. Grundsätzlich soll die Ansammlung von Fachwissen, Erfahrung und Expertise für einen hohen Kompetenzgrad und für die Definition universeller Sicherheitsparameter sorgen. Eine entsprechende Mitgliedschaft in der Cloud Security Alliance ist nicht an Voraussetzungen geknüpft. Sie steht jedem offen, der fachlich wertvolle Beiträge zur Cloud-Computing-Thematik leisten bzw. beisteuern möchte.

Studien der CSA machen die Probleme für Cloud-Anbieter sichtbar

Die CSA hat auch schon mehrere interessante Studien zum Thema Cloud-Sicherheit erstellt. Die aktuelle Studie (Stand November 2019) stellt dabei noch einmal deutlich in den Vordergrund, was für eine hohe Bedeutung ein ganzheitliches Cloud-Management für die Sicherheit hat. Denn die Aufgaben sind in der Regel komplex. Zum einen geht es schließlich immer darum, das Risiko von Fehlkonfigurationen und Ausfällen zu reduzieren.

Zum anderen müssen die Unternehmen zudem auch gezielt darauf achten, dass sie im Rahmen ihrer Vorgehensweisen und Aktivitäten die Audit- und Compliance-Anforderungen zu erfüllen. Wer den Mehrwert der Cloud mit all ihrer Flexibilität und der verbesserten Agilität vorteilhaft nutzen möchte, sieht sich gleichzeitig nämlich immer mit altbekannten und neuen Sicherheitsproblemen konfrontiert. Insbesondere dann, wenn ein bereits komplexes IT-Umfeld besteht und neue Cloud-Dienste und -Plattformen in dieses integriert werden sollen.

CSA STAR Zertifikat setzt Maßstäbe in der Branche

Nicht zuletzt als Konsequenz auf die Studienergebnisse haben die CSA-Mitglieder bestimmte Richtlinien und Regeln festgelegt, die für eine größtmögliche Datensicherheit sorgen sollen. Daraus entwickelte die Cloud Security Alliance dann das viel beachtete und öffentlichkeitswirksame CSA STAR Zertifikat. Das Kürzel STAR steht für Security Trust & Assurance Registry. Hierbei handelt es sich um eine dreistufige Prüfung der Sicherheitskenntnisse von Cloud-Anbietern.

Folgende Stufen umfasst die Prüfung:

  • 1. Selbstevaluation durch den jeweiligen Anbieter gemäß der CSA-Vorschriften.
  • 2. Anschließend kann das geprüfte Unternehmen die CSA mit der Beurteilung der bestehenden Sicherheitsstandarrds beauftragen.
  • 3. Verschärfte Überprüfung der Sicherheitsleistung des Unternehmens und der involvierten Mitarbeiter im Hinblick auf den Umgang mit Clouds. In diesem Rahmen ist es möglich, abschließend das CSA STAR Zertifikat zu erhalten.

Neben der Beurteilung der aktuellen Sicherheit zeigt die CSA den Cloud-Anbietern dabei zusätzlich die Schwachstellen und Mängel im unternehmenseigenen Sicherheitssystem auf, die verbessert werden müssen. Nur bei einer entsprechenden Umsetzung behält das Unternehmen auch in der Zukunft seinen zertifizierten Status. Diesbezüglich erfolgt eine kontinuierliche Prüfung durch die CSA. Der Überprüfungsprozess orientiert sich dabei an den Sicherheitsnormen und -standards des ISO/IEC 27001 sowie an den zusätzlich von der Cloud Security Alliance formulierten Richtlinien und spezifizierten Kriterien.

Hoher Mehrwert für die Nutzer von Cloud-Diensten

Die potenziellen Kunden von Cloud-Diensten und Cloud-Plattformen finden im Online-Register der CSA eine Auflistung sämtlicher Organisationen und Unternehmen, die sich den verschiedenen Evaluierungsschritten des CSA STAR Zertifikats unterzogen haben. Auf diese Weise erhält jeder potenzielle Nutzer von Cloud-Diensten und Cloud-Strukturen die Möglichkeit, infrage kommende Anbieter in Bezug auf den Sicherheitsstatus genau zu überprüfen. Ein robustes Cloud-Sicherheitsmanagement wird durch diese Transparenz für die Cloud-Anbieter und Cloud-Plattformen immer stärker zu einem sensiblen bzw. geschäftskritischen Faktor. Davon profitiert letztendlich auch wieder der Verbraucher.

(ID:46234881)