Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss

Größe: px

Ab Seite anzeigen:

Download "Cloud-Standards und Zertifizierungen im Überblick Session I. Andreas Weiss"

Victor Holst
vor 8 Jahren
Abrufe

1 Cloud-Standards und Zertifizierungen im Überblick Session I Andreas Weiss

2 IT Ressourcing Data Center fokussiert </nav> X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN Unterbrechungsfreie Stromversorgung DC-Services Privat Cloud Privat IT Shared IT Zutrittskontrolle

3 Risiken im Data Center IT Bereitstellung Verkabelung Arealrisiken Stromversorgung

4 Computerkrimminalität Böswillige Insider Sicherheitslücken Cyber-Angriffe Schadprogramme

5 Cloud spezifische Risiken Datenspeicherung regional vs. global gesetzliche Bestimmungen Lock in Datenmigration Mangelhafte Interoperabilität Gemeinsame Umgebung Unterschiedliche Sicherheitsanforderungen und Daten-Separation Neue Bedeutung von System/Netzwerk/ Operating System Hypervisor: CPU, Netzwerk, OS

Interoperabilität Gemeinsame Umgebung Unterschiedliche

6 Eine Cloud Service Prüfung muss ein weites Spektrum abdecken Bereich Vertrag Thema Geschäftsbedingungen, SLA, Gesetzliche Regulierung Daten Sicherheit Gesetzliche Anforderungen, Ort der Datenhaltung, Datenschutzbestimmungen, Export Kontrolle,.. ISMS, Zugriffskontrolle, Archivierung Datenschutz Rechenzentrum Datentrennung, Datenlöschung, Zugriffskontrolle, Datenlöschung Technik und Infrastruktur Betriebsprozesse Service Management Anwendung und Schnittstellen Daten-Export Funktionalität und Vollständigkeit, allgemeine Benutzerfreundlichkeit, Transparenz,

. ISMS, Zugriffskontrolle, Archivierung Datenschutz Rechenzentrum Datentrennung, Datenlöschung, Zugriffskontrolle, Datenlöschung Technik

7 Relevante Standardisierungen Standards Datei & Austauschformate Programmierungsmodelle Beispiele OVF, EC2, USDL, CIM SVM, EDI MapReduce, JAQL; PIG, HIVE Technologie Protokolle & Schnittstellen OCCI. CDMI, Cloud Audit, Google DLF,... Standardkomponenten & Referenzarchitekturen OpenStack, OSGI, NIST RM, IBM RM, DMTF, CTP,... Benchmark & Tests Benchmarking Suits, Security Assessment,... Geschäftsmodelle IaaS, PaaS, SaaS operating models, Hybrid, Community Service-Level-Vereinbarungen WS-Vereinbarungen (W3C), Business SLAs,... Management Vertragsbedingungen EVB-IT, EU SVK, Komponenten von T&C, EULA Management-Modelle & Prozesse ISO 27001/27002, ITIL, COBIT,... Controlling-Modelle & Prozesse SSAE, SAS 70,... Recht Richtlinien Gesetzliche Anforderungen BSI-Anforderungen, NIST UC, EuroCloud LDP&C Freiwillige Verpflichtung Open Cloud Manifesto,... EU Datenschutz Vorschriften, nationale Vorschriften, Safe Harbor Unternehmensleitlinien Interne Leitlinien,... Source Analyse by Booz & Company und FZI (2012) -

.. Geschäftsmodelle IaaS, PaaS, SaaS operating models, Hybrid, Community Service-Level-Vereinbarungen WS-Vereinbarungen (W3C), Business SLAs,.

8 Bekannte Zertifizierungsstandards ISO / IEC legt Anforderungen für die Erstellung, Durchführung, Überwachung und Überprüfung, Wartung und Verbesserung eines Management-Systems fest, d.h. eine allgemeine Verwaltung und ein Kontrollraster um Sicherheitsrisiken eines Unternehmens zu überblicken und zu handhaben. Es schreibt keine spezifischen Informationen über Sicherheitskontrollen vor und bleibt auf dem Niveau des Management-Systems. Die Standards ISAE 3402 und SSAE 16 erfordern, dass das Management der Service- Organisation eine angemessene Darstellung und Gestaltung der Abläufe (in einem Typ-1- Bericht) schriftlich zusichert. Diese Zusicherung sollte zusätzlich zu den schriftlichen Erklärungen des Managements erfolgen. Der Payment Card Industry Data Security Standard (PCI-DSS), ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. (Debit-, Kredit-, Prepaid-, e-purse-, ATM-, und POS-Kartens. Erforscht, entwickelt, verbreitet und fördert ein maßgebliches, aktuelles und internationales Set von allgemein anerkannten IT Kontrollzielen zur täglichen Nutzung für Manager, IT- und Versicherungs-Experten.

Es schreibt keine spezifischen Informationen über Sicherheitskontrollen vor und bleibt auf dem Niveau des Management-Systems.

9 Cloud spezifische Auditierung EuroCloud arbeitet eng mit nationalen und internationalen Organisationen im Bereich Technologie, Forschung, öffentliche Verwaltung, Sicherheit, Datenschutz und rechtlichen Themen zusammen. Diese vernetzte Kompetenz wird genutzt, um Wissen aufzubereiten, spezielle Qualitätskriterien zu erstellen und Cloud-Service-Provider dabei zu unterstützen eine differenzierende Qualität zu erreichen und den Reifegrad der Dienstleistungen durch die EuroCloud Star Audit-Zertifizierung nachzuweisen. Das bundesweite "Federal Risk and Authorization Management Program" (FedRAMP) der US-Regierung ist ein Programm, das einen standardisierten Ansatz zur Sicherheitsbewertung, zur Zulassung für die Nutzung bei Behörden und zur ständigen Überwachung der Cloud Services und Dienstleistungen bietet. Die Cloud Security Alliance (CSA) ist eine Non-Profit Organisation mit dem Ziel, den Einsatz von Best Practices bzgl. der Sicherheit im Cloud Computing zu fördern, um Aufklärung über die Verwendung von Cloud Computing zu bieten sowie alle anderen Formen der IT Services abzusichern. Die Cloud Security Alliance wird von einer breiten Koalition von Praktikern aus der Industrie, Unternehmen, Verbänden und anderen wichtigen Interessengruppen geführt.

Diese vernetzte Kompetenz wird genutzt, um Wissen aufzubereiten, spezielle Qualitätskriterien zu erstellen und Cloud-Service-Provider dabei zu unterstützen eine differenzierende Qualität zu erreichen

10 Do You Have Any Questions? We would be happy to help. Page 10

Ähnliche Dokumente

Eine Bestandsaufnahme von Standardisierungspotentialen und -lücken im Cloud Computing

Eine Bestandsaufnahme von Standardisierungspotentialen und -lücken im Cloud Computing 11. Internationale Tagung Wirtschaftsinformatik, 28. Februar 2013 Robin Fischer, Christian Janiesch, Joachim Strach,