Aufgaben und Ziele der Cloud Security Alliance (CSA)

Die Cloud Security Alliance im Überblick

| Autor / Redakteur: MiR / Florian Karlstetter

Die Cloud Security Alliance, kurz CSA, hat sich zur Aufgabe gemacht, mit Best Practices die Sicherheit von Cloud-Infrastrukturen zu überprüfen.
Die Cloud Security Alliance, kurz CSA, hat sich zur Aufgabe gemacht, mit Best Practices die Sicherheit von Cloud-Infrastrukturen zu überprüfen. (Bild: gemeinfrei © Gerd Altmann / Pixabay)

Cloud-Sicherheit mit Best Practices überprüfen: Als global agierende Organisation hat es sich die Cloud Security Alliance (kurz: CSA) zur Aufgabe gemacht, Sicherheitslücken in Cloud-Umgebungen zu identifizieren. Prinzipielles Ziel ist es, sowohl native und hybride als auch Multi-Cloud-Umgebungen gezielt zu schützen sowie zu zertifizieren.

Gezielte Absicherung von Cloud-Technologien und Cloud-Umgebungen: Die Cloud Security Alliance (CSA) ist eine reine Non-Profit-Organisation. Laut ihren Statuten fördert sie als gemeinnütziger Zusammenschluss international ausgerichteter Unternehmen die Erforschung und Entwicklung von Best Practices rundum die effektive Absicherung von Cloud-Umgebungen respektive von Cloud-Technologien und Cloud-Computing im Allgemeinen. Konkret setzt sich die CSA für die Einhaltung und die Entwicklung von Sicherheitsstandards bei Cloud-Diensten ein, um damit für eine sichere Nutzung zu gewährleisten.

Zudem veranstaltet die Cloud Security Alliance Fortbildungen zu Themenbereichen wie zum Beispiel Security. Die Organisation stellt Unternehmen auch Leitlinien zur Integration von Cloud-Computing und Cloud-Umgebungen zur Verfügung. Explizit unterstützt werden des Weiteren die Software-Hersteller, um auf diese Weise eine sichere Gestaltung und Entwicklung von Auslieferungsmodellen zu gewährleisten.

Entwickeln spezifischer Sicherheitsstandards für die Cloud-Anbieter

Auf Basis verschiedener, von der CSA betriebener Forschungs-Initiativen werden den Unternehmen und Anbietern im Bereich Cloud-Computing Berichte, Whitepaper und Tools zur Verfügung gestellt. Diese sollen gezielt bei der Absicherung von Produkten und Leistungen im Segment Cloud-Computing helfen bzw. unterstützen. So bietet die Cloud Security Alliance zum Beispiel ein spezielles Toolkit an, das die Sicherheit von öffentlichen und privaten Clouds überprüft.

Als Vergleichsstandard fungieren hier die branchenüblichen Best Practices. Die CSA versucht auch das Erfassen von Audit-Daten zu optimieren. Hierfür wurde das Projekt Cloud Audit ins Leben gerufen. Im Rahmen dieses Projekts entwickelt die CSA Standard-Methoden für die Cloud-Anbieter, anhand derer die Kommunikation zur GRC-Thematik (Governance, Risk und Compliance) vertieft und verbessert werden soll.

Schwerpunkt Fortbildung: Zertifikate für echtes Experten-Wissen

Die CSA vergibt auch Zertifikationen hinsichtlich unterschiedlicher Qualifikationen und Kenntnisse. Schwerpunkte bilden dabei Zertifikate wie das CCSK (Certificate of Cloud Security Knowledge). Mit diesem Zertifikat wird der Nachweis erbracht, über grundlegende Kenntnisse im Hinblick auf Sicherheitsfragen rundum Clouds zu verfügen. Die jeweiligen CCSK-Kandidaten müssen für den Erwerb des Zertifikates eine Multiple-Choice-Prüfung bestehen.

Als Grundlage dienen diesbezüglich das von der CSA veröffentlichte Dokument „Security Guidance for Critical Areas of Focus in Cloud Computing“ sowie der Bericht „Cloud Computing: Benefits, Risks and Recommendations for Information Security“, der von der European Network and Information Security Agency verfasst worden ist. Für die Teilnahme an der Multiple-Choice-Prüfung müssen die Interessenten aktuell 295 US-Dollar entrichten.

Fachkenntnis und Expertise der Mitglieder sorgen für inhaltliche Tiefe

Gleich mehrere Unternehmen unterstützen die CSA bei ihren Bemühungen und Bestrebungen, Cloud-Computing sicher zu gestalten. Zu nennen sind hier vor allem die stark aktiven Unternehmen Qualys Inc., PGP Corp. und Zscaler. Aber auch weltweit agierende Großkonzerne wie Google, Microsoft und Vodafone zählen zu den rund 100 Mitgliedern der Allianz. Die Organisation selbst wird von Experten für Security und Cloud-Computing geleitet. Als Technischer Direktor fungiert zum Beispiel der Blogger und Sicherheitsexperte Christopher Hoff.

Ihm zur Seite stehen mit Dave Cullinane, Philippe Courtot, Jay Chaudhry, Alan Boehme, Izak Mutlu, Jean Pawluk oder auch Paul Kurtz zahlreiche Entscheidungsträger aus der Wirtschaft und der IT-Branche. Grundsätzlich soll die Ansammlung von Fachwissen, Erfahrung und Expertise für einen hohen Kompetenzgrad und für die Definition universeller Sicherheitsparameter sorgen. Eine entsprechende Mitgliedschaft in der Cloud Security Alliance ist nicht an Voraussetzungen geknüpft. Sie steht jedem offen, der fachlich wertvolle Beiträge zur Cloud-Computing-Thematik leisten bzw. beisteuern möchte.

Studien der CSA machen die Probleme für Cloud-Anbieter sichtbar

Die CSA hat auch schon mehrere interessante Studien zum Thema Cloud-Sicherheit erstellt. Die aktuelle Studie (Stand November 2019) stellt dabei noch einmal deutlich in den Vordergrund, was für eine hohe Bedeutung ein ganzheitliches Cloud-Management für die Sicherheit hat. Denn die Aufgaben sind in der Regel komplex. Zum einen geht es schließlich immer darum, das Risiko von Fehlkonfigurationen und Ausfällen zu reduzieren.

Zum anderen müssen die Unternehmen zudem auch gezielt darauf achten, dass sie im Rahmen ihrer Vorgehensweisen und Aktivitäten die Audit- und Compliance-Anforderungen zu erfüllen. Wer den Mehrwert der Cloud mit all ihrer Flexibilität und der verbesserten Agilität vorteilhaft nutzen möchte, sieht sich gleichzeitig nämlich immer mit altbekannten und neuen Sicherheitsproblemen konfrontiert. Insbesondere dann, wenn ein bereits komplexes IT-Umfeld besteht und neue Cloud-Dienste und -Plattformen in dieses integriert werden sollen.

CSA STAR Zertifikat setzt Maßstäbe in der Branche

Nicht zuletzt als Konsequenz auf die Studienergebnisse haben die CSA-Mitglieder bestimmte Richtlinien und Regeln festgelegt, die für eine größtmögliche Datensicherheit sorgen sollen. Daraus entwickelte die Cloud Security Alliance dann das viel beachtete und öffentlichkeitswirksame CSA STAR Zertifikat. Das Kürzel STAR steht für Security Trust & Assurance Registry. Hierbei handelt es sich um eine dreistufige Prüfung der Sicherheitskenntnisse von Cloud-Anbietern.

Folgende Stufen umfasst die Prüfung:

  • 1. Selbstevaluation durch den jeweiligen Anbieter gemäß der CSA-Vorschriften.
  • 2. Anschließend kann das geprüfte Unternehmen die CSA mit der Beurteilung der bestehenden Sicherheitsstandarrds beauftragen.
  • 3. Verschärfte Überprüfung der Sicherheitsleistung des Unternehmens und der involvierten Mitarbeiter im Hinblick auf den Umgang mit Clouds. In diesem Rahmen ist es möglich, abschließend das CSA STAR Zertifikat zu erhalten.

Neben der Beurteilung der aktuellen Sicherheit zeigt die CSA den Cloud-Anbietern dabei zusätzlich die Schwachstellen und Mängel im unternehmenseigenen Sicherheitssystem auf, die verbessert werden müssen. Nur bei einer entsprechenden Umsetzung behält das Unternehmen auch in der Zukunft seinen zertifizierten Status. Diesbezüglich erfolgt eine kontinuierliche Prüfung durch die CSA. Der Überprüfungsprozess orientiert sich dabei an den Sicherheitsnormen und -standards des ISO/IEC 27001 sowie an den zusätzlich von der Cloud Security Alliance formulierten Richtlinien und spezifizierten Kriterien.

Hoher Mehrwert für die Nutzer von Cloud-Diensten

Die potenziellen Kunden von Cloud-Diensten und Cloud-Plattformen finden im Online-Register der CSA eine Auflistung sämtlicher Organisationen und Unternehmen, die sich den verschiedenen Evaluierungsschritten des CSA STAR Zertifikats unterzogen haben. Auf diese Weise erhält jeder potenzielle Nutzer von Cloud-Diensten und Cloud-Strukturen die Möglichkeit, infrage kommende Anbieter in Bezug auf den Sicherheitsstatus genau zu überprüfen. Ein robustes Cloud-Sicherheitsmanagement wird durch diese Transparenz für die Cloud-Anbieter und Cloud-Plattformen immer stärker zu einem sensiblen bzw. geschäftskritischen Faktor. Davon profitiert letztendlich auch wieder der Verbraucher.

Cloud Security: Schwachstellen in der Wolke

eBook

Cloud Security: Schwachstellen in der Wolke

Die Bedeutung von Cloud Computing nimmt weiter zu. Schwachstellen in der Cloud gehören deshalb zu den besonders kritischen Bedrohungen für Unternehmen. Doch welche Sicherheitslücken und welche weiteren Schwachstellen sind zu erwarten? weiter...

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Aktuelle Cloud-Trends und die Folgen für die Security

Schwachstellen in der Wolke

Aktuelle Cloud-Trends und die Folgen für die Security

Die Bedeutung von Cloud Computing nimmt weiter zu. Schwachstellen in der Cloud gehören deshalb zu den besonders kritischen Bedrohungen für Unternehmen. Doch welche Sicherheitslücken gibt es in der Cloud, und welche weiteren Schwachstellen sind zu erwarten? Dazu ein Auszug aus einem eBook vom Mai 2019. lesen

Quantum Computing aus der Cloud – ein Sicherheitsrisiko?

Missbrauch von Cloud-Services

Quantum Computing aus der Cloud – ein Sicherheitsrisiko?

Ein genügend skalierbarer Quantencomputer würde die gegenwärtig verwendeten Verschlüsselungsverfahren brechen. Wenn Cloud-Provider wie Microsoft nun Quantum Computing aus der Cloud anbieten und Google neue Rekorde bei Quantencomputern aufstellt, ist dies ein steigendes Sicherheitsrisiko? Es kommt darauf an, wie es mit der Cloud-Sicherheit weitergeht. lesen

Verletzliche Cloud

Wertediskussion zur Digitalisierung im Gesundheitssektor Teil 2

Verletzliche Cloud

Krankenhausbetriebe mit kritischen Infrastrukturen schieben zum Großteil noch immer die Entscheidung vor sich her, ob sie ihre Anwendungen einer Cloud-Umgebung anvertrauen oder aber mit einem internen Netz arbeiten sollen. lesen

Alibaba Cloud – Sicherheit und Datenschutz

Cloud-Sicherheit der Provider

Alibaba Cloud – Sicherheit und Datenschutz

Viele Cloud-Anwender haben eine hohe Erwartung an den Cloud-Provider, wenn es um die Datensicherheit geht. Gleichzeitig sind die tatsächlichen Sicherheitsleistungen der Provider zu wenig bekannt. Wir haben uns angesehen, was Alibaba Cloud im Bereich Sicherheit zu bieten hat. Dazu gehören auch Security-Apps, die man über den Cloud-Marktplatz beziehen kann. lesen

Tipps für erfolgreiches Cloud-Management

Potenzial ausschöpfen und Cloud-Nutzung optimieren

Tipps für erfolgreiches Cloud-Management

Die Migration in die Cloud stellt IT-Verantwortliche vor die verschiedensten Herausforderungen. Und obwohl sich das Cloud Computing in den letzten Jahren stark verbreitet hat, haben Cloud-Nutzer trotzdem das Gefühl, noch nicht das volle Potenzial der Cloud ausgeschöpft zu haben. lesen

Neue und fast vergessene Löcher in der Wolke

Cloud-Schwachstellen aufdecken

Neue und fast vergessene Löcher in der Wolke

Cloud-Sicherheit beginnt mit Sichtbarkeit. Die notwendige Transparenz betrifft die genauen Verantwortlichkeiten und genutzten Cloud-Dienste, aber auch die Fülle der vorhandenen Schwachstellen, die es abzusichern gilt. Ein neuer Blick auf Cloud-Schwachstellen ist deshalb entscheidend für den Erfolg der Cloud-Security und des Cloud Computing insgesamt. lesen

Mit flexiblem Evaluationsschema die richtigen Cloud-Services finden

Buchrezension: Scott Feuless „The Cloud Service Evaluation Handbook“

Mit flexiblem Evaluationsschema die richtigen Cloud-Services finden

Die Nutzung der Public Cloud bringt nicht immer die erhofften Vorteile, gerade, wenn es um die IT-Kosten geht. Wer Cloud-Kosten richtig planen und später im Griff behalten will, braucht ein hersteller- und providerunabhängiges Bewertungsschema. Ein solches hat der Cloud-Spezialist Scott Feuless entwickelt. lesen

Cloud-Nutzung auf Rekordniveau - und es geht weiter steil bergauf

Bitkom Cloud-Monitor 2019

Cloud-Nutzung auf Rekordniveau - und es geht weiter steil bergauf

Bitkom Research jubelt in seinem jüngsten Cloud-Monitor, den das Marktforschungsinstitut im Auftrag der KPMG erstellt hat: Cloud Computing wachse so stark wie nie in Deutschland, im vergangenen Jahr nutzten laut Studie drei von vier Unternehmen (73 Prozent) Rechenleistungen aus der Cloud – im Vorjahr waren es erst zwei Drittel (2017: 66 Prozent). lesen

Sicherheit hat bei AWS aktuell Vorrang

Interview mit Glenn Gore zu Development und Open Source

Sicherheit hat bei AWS aktuell Vorrang

Wie unterstützt AWS die Open-Source-Community und Entwickler im Allgemeinen? Welche Dienste, Tools und Blaupausen helfen bei Security-by-Design-Strategien? Diese Fragen beantwortet Glenn Gore, Lead Architect bei Amazon Web Services, im Interview mit unserem Autor Michael Matzer im Auftrag von Dev-Insider. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46234881 / Definitionen)