Cloud Computing Standards

Ähnliche Dokumente
Cloud Computing Standards

Studie zu den Mindestanforderungen an Cloud-Computing-Anbieter

Anforderungskatalog Cloud Computing C5. Cloud Computing Compliance Controls Catalogue (C5)

Sicherheit und Compliance in der Cloud: Regulatorische Anforderungen und Good-Practice Frameworks

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

Cloud Computing mit IT-Grundschutz

Der Anforderungskatalog des BSI zur Bewertung der Informationssicherheit von Cloud-Diensten Cloud Computing Compliance Controls Catalogue (C5)

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Blog: Newsletter: Jens Eichler

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

3. IT-Grundschutz-Tag 2010 Effizienz und Internationale Ausrichtung im IT-Grundschutz Herzlich willkommen!

Zertifizierung von Cloud Information Security?

An der Cloud führt kein Weg vorbei. Darauf sollten Sie sich vorbereiten! Dieter Rehfeld Bremen

Unternehmenspräsentation matrix technology AG

Azure Stack «Die Microsoft Public Cloud im eigenen Rechenzentrum»

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

Vertrauensbildung in Community Clouds Cloud Use Case Day Januar 2014

Trust in Cloud Quo Vadis Zertifizierung. Wolfgang Schmidt, Folker Scholz. Folker Scholz. Cloud-Ecosystem Cloud-EcoSystem

OSL Technologietage Virtualization Clustering

Cloud Monitor 2017 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz

Inhalt. Überblick über die Normenfamilie. Struktur der ISO/IEC 27018:2014. Die Norm im Einzelnen. Schnittmenge zum Datenschutz. Kritische Würdigung

Sicheres Hosting in der Cloud

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

DocuWare erfüllt wichtige Prüfungsstandards

Rechenzentrumszertifizierung mit der neuen Norm EN Dipl. Inform. Joachim Faulhaber

Der Weg in die Cloud. ESE Conference Schlieren, 24. April Stella Gatziu Grivas. Fachhochschule Nordwestschweiz

Einführung in Cloud Computing

BAUSTEINE FÜR EIN SICHERES CLOUD COMPUTING

Glücklich mit Grundschutz Isabel Münch

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Security on Cloud Computing

Linux Server in der eigenen Cloud

Anforderungen an Cloud Computing-Modelle

Der Anforderungskatalog des BSI zur Bewertung der Informationssicherheit von Cloud-Diensten. Dr. Clemens Doubrava, BSI,

Cloud Security Der sichere Weg in die Cloud

Zertifizierung von Cloud Information Security?

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

IT-SICHERHEITSEXPERTE/IN Audits/Zertifizierungen JOBPERSPEKTIVE

Blick über den Tellerand Erfahrungen der EVU

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

CloudingSMEs Umfrage für ICT-Unternehmen (KMU)

Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste. Stephan Di Nunzio

CloudingSMEs Umfrage für ICT-Unternehmen (KMU)

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Compliance as a Service (CaaS) AWS Enterprise Summit

Cloud Computing. Strategien auf dem Weg in die Cloud. Björn Bröhl

Informations-Sicherheitsmanagement und Compliance

IT-Sicherheitszertifikat

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson

Hosting in der Private Cloud

Sicherheit und Datenschutz in der Cloud

Management von Informationssicherheit und Informationsrisiken Februar 2016

Umfrage: Verschlüsselung in Rechenzentren Zusammenfassung

dacoso Technik, die funktioniert. In einer Zusammenarbeit, die Spaß macht. dacoso im Überblick data communication solutions

Cloud Computing Eine Definition

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - niclaw

EuroCloud Deutschland Confererence

Platform as a Service (PaaS) & Containerization

GIS-Projekte in der Cloud

Bedarfsanalyse für ein Anwendungszentrum im Bereich Data Science

Cloud Computing Teil 2

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

ISO Zertifizierung

Modernisierung des IT-Grundschutzes - Modernisierung, Zertifizierung & Migration - Birger Klein, BSI

DevOps with AWS. Software Development und IT Operation Hand in Hand. Matthias Imsand CTO Amanox Solutions AG

Trusted Cloud Umsetzungskonzept. Cloud Expo Europe Frankfurt Marius Vöhringer Frankfurt,

DATENSICHERHEIT BEI AUTODESK BIM 360

Zertifizierung von IT-Standards

«IT-Leistungen werden bedarfsgerecht und flexibel in Echtzeit als Service bereitgestellt und nach Nutzung abgerechnet.» Quelle: BITKOM, 2010

Zertifizierung Auditdauer und Preise

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Software Engineering für kritische Systeme

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

Software Engineering effizient und flexibel siemens.de/sicbs

Nachts ist s kälter als draußen Warum qualifizieren und nicht zertifizieren?

IT-Notfallmanagement - Aufbau, Praxisbeispiele u. Erfahrungen

Besuchen Sie uns: siemens.de/sicbs

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

Digitalisierung / Industrie 4.0 Zertifizierung von IoT-Devices

Cloud Computing in der Standardisierung

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

Cloud Compliance Fakt oder Fiktion?

Zentrum für Informationssicherheit

Proseminar. Werkzeugunterstützung für sichere Software. SoSe 15. ClouDAT. Patrick Nowak Proseminar: ClouDAT

Gedanken zum Einstieg in die Cloud. Strategien und Maßnahmen zur Sicherheit in der Cloud

15 Jahre IT-Grundschutz

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

ISO / ISO Vorgehen und Anwendung

PROFESSIONELLES PROZESSUND INFRASTRUKTUR-MONITORING

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik

IT-Sicherheitsaudits bei KRITIS-Betreibern: Zusätzliche Prüfverfahrens-Kompetenz für 8a (3) BSIG

Woche der IT-Sicherheit

Sicht eines Technikbegeisterten

Status e-shelter Wien mit Ausblick 2017 Alfred Suchentrunk, e-shelter

Transkript:

Cloud Computing Standards Jannis Fey 1

Motivation In dieser Präsentation sollen Zertifikate und Ihre zugrundeliegenden Standards auf ihre Eignung für eine Zertifizierung von Cloud Computing Services betrachtet werden. 2

Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 4. Auditing Tools 5. Fazit und Ausblick 3

Einleitung abschalten -> Kosten sparen Spitzenlast an Weihnachten etc. 4

Einleitung Flexibles, dynamisches System Risiken Zugangskontrolle Verschlüsselung etc. Lösung: Zertifizierung nach Standards speziell für Cloud Computing 5

Inhalt 1. Einleitung 2. Grundlagen 1. Cloud Computing 2. Zertifizierung 3. Auditing 4. Organisationen 3. Zertifizierung 4. Auditing Tools 5. Fazit und Ausblick 6

Grundlagen Wie genau ist Cloud Computing definiert? Was bedeutet Zertifizierung eigentlich und was ist ein Zertifikat? Was versteht man unter dem begriff Auditing und was sind Auditing Tools? Welche Organisationen gibt es in diesem Bereich? 7

Cloud Computing Definition des BSI: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. [ ] Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst [ ] unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. Liefermodelle: public, private, community und hybrid Cloud Servicemodelle: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) 8

Zertifizierung Überprüfungsprozess auf bestimmte Anforderungen. Zertifikat = Nachweis über Einhaltung Zertifizierung von: Mitarbeiter (z.b. schriftliche Prüfung) Software (z.b. Qualität) komplette IT-Umgebung (z.b. Cloud Computing System) Beispiel: Zertifizierung nach dem IT-Grundschutz 9

Auditing Überprüfung von Softwareprojekten durch Auditor spezielle Audits für: Quellcode, Sicherheitsaspekte, Performance, etc. bei Cloud Computing ist ein Security-Audit notwendig Sicherheitslücke suchen -> Lösung finden Auditing-Tools Unterstützung des Audits (Automatisierung) z.b. Wireshark, etc. 10

Organisationen 1. Cloud Security Alliance (CSA) 2. National Institute of Standards and Technology (NIST) 3. EuroCloud 4. Bundesamt für Sicherheit in der Informationstechnik (BSI) 11

Cloud Security Alliance (CSA) internationale, non-profit Organisation Ziel: Förderung von Standardisierung und Sicherheit geführt von Spezialisten aus Industrie, Verbänden, etc. aktive Forschung Certificate of Cloud Security Knowledge CloudAudit 12

National Institute of Standards and Technology (NIST) amerikanische Bundesbehörde für Standards viele Bereiche: z.b. Chemie, Physik, Logistik, Medizin, etc. große Beteiligung an Cloud Computing Standards (wie CSA) internationales Ansehen NIST Cloud Computing Standards Roadmap Definition, Lücken, Prioritäten der Standardisierung Bietet keine Zertifizierung an 13

EuroCloud unabhängig, non-profit Organisation für Europa gegliedert in zwei Stufen Haupt Organisation koordiniert lokale Komitees auf Länderebene Vorteil: jeder profitiert von jedem trotzdem noch unabhängig und eigenständig 14

Bundesamt für Sicherheit in der Informationstechnik (BSI) nationale Sicherheitsbehörde zuständig für IT-Sicherheit in Deutschland Im Bereich Cloud Computing: Anwendern und Anbieter bei Problemen helfen eigenes Zertifikat scheint in Arbeit zu sein bisher nur Zertifizierung nach ISO 27001 Eckpunktepapier mit relevanten Sicherheitsaspekten Leitfaden für Anbieter 15

Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 1. nach ISO/IEC 27001 2. EuroCloud Star Audit (ECSA) 3. Trusted Cloud - TÜV TRUST IT 4. CSA Security, Trust & Assurance Registry (STAR) 5. Certificate of Cloud Security Knowledge 6. Übersicht 4. Auditing Tools 5. Fazit und Ausblick 16

Zertifizierung Zertifizierung nach dem ISO 27001 Standard Spezielle Cloud Zertifikate EuroCloud Star Audit Trusted Cloud Register, Liste, Verzeichnis von Anbietern CSA Security, Trust & Assurance Registry Zertifizierung von Fachpersonal Certificate of Cloud Security Knowledge 17

ISO/IEC 27001 internationaler Standard für Informationssicherheits- Managementsysteme Aufbau, Instandhaltung, Verbesserung von IT- Sicherheitsmanagements Einschätzung und Behandlung von Risiken für alle Unternehmen anwendbar unabhängig von Größe und Art nicht Cloud spezifisch 18

ISO/IEC 27001 allgemeine Norm auf Cloud System anwendbar Vorsicht! Sicherheitslücken? evt. wichtige Bereiche für Cloud Systeme nicht abgedeckt in Branche trotzdem anerkannt ISO stellt selbst keine Zertifikate aus Zertifizierung durch z.b. BSI in Deutschland oder selbst verkünden 19

ISO/IEC 27001 Ablauf der Zertifizierung durch das BSI 1. Überprüfung des Dienstes durch BSI zertifizierten Auditor Sichtung aller notwendigen Dokumente, Protokolle, etc. Vor-Ort-Prüfung 2. Auditor erstellt Audit-Report 3. Report wird dem BSI zur Zertifizierung vorgelegt 4. BSI entscheidet ob Zertifikat vergeben wird 20

ISO/IEC 27001 Inhalt der Norm 21

EuroCloud Star Audit (ECSA) wird seit 2011 ausgestellt Kriterien: Sicherheit, Infrastruktur, Anwendungen, Implementierung Fragenkatalog mit ca. 200 Fragen (BSI) Fragebogen wird ausgewertet persönliches Gespräch Besichtigung der Rechenzentren zweijährige Zertifizierung individuelle Bewertung (1-5 Sterne) 22

EuroCloud Star Audit (ECSA) optimal für Cloud-Computing Services zugeschnitten Zertifizierung von nur zwei Jahren gezwungen zur erneuten Überprüfung kontinuierliche Überprüfung zuverlässige Sicherheit eher für mittelständiges Unternehmen aber auch Microsoft hat Interesse an Zertifizierung 23

Trusted Cloud - TÜV TRUST IT basiert auf z.b. ISO 27001, Bundesdatenschutzgesetz und Telekommunikationsgesetz 4 Bereiche: Organisatorische Sicherheit, technische Sicherheit, Qualität des Service-Managements und Compliance. Trust-Level (1-4) für jeden Bereich Gesamtlevel 7 Stufen 24

Trusted Cloud - TÜV TRUST IT Bewertung des Service sofort für Nutzer/Kunde einsehbar Beispiele: Level 1: geeignet für unkritische/unsensible Daten Level 4: Provider unterliegt höchsten Sicherheitsstandards Zertifikat 3 Jahre gültig allerdings jährlicher Monitoring-Audit zum Vergleich: EuroCloud nur 2 Jahre und erneuter Audit erst nach Ablauf des Zertifikats 25

CSA Security, Trust & Assurance Registry (STAR) offenes Online-Verzeichnis Dokumentation der Sicherheit von Providern 3 Level: Self-Assessment : Selbsteinschätzung seines Services Mithilfe von Tool Unterstützung Oder Multiple-Choise Fragen (Consensus Assessments Initiative Questionnaire) Certification/ Attestation Zertifizierung durch STAR Certificate basiert auf ISO 27001 Continuous erst für 2015 geplant, Automatisierung des Security Audits 26

CSA Security, Trust & Assurance Registry (STAR) Ein Blick in das Verzeichnis: https://cloudsecurityalliance.org/star/#_registry 27

Certificate of Cloud Security Knowledge (CCSK) Zusammenarbeit zwischen CSA und ENISA Online-Test individuelles Wissen Sicherheit im Cloud Computing Bereich 90 Minuten, 60 zufällige Fragen, 80% richtig Bereiche: Verschlüsselung, Virtualisierung, Architektur, etc. Spezielle Trainings und Vorbereitungskurse Partner z.b. 28

Certificate of Cloud Security Knowledge (CCSK) gilt als Ausgangspunkt ( Mutter ) der Cloud Security Zertifikate international anerkannt bestätigt Wissen über Risiken und Sicherheit anders als Zertifikate zuvor: zertifiziert eine Person kein IT-System 29

Übersicht Anbieter ISO 27001 EuroCloud Star Audit CSA STAR Microsoft Azure Ja Nein Ja Microsoft BPOS/365 Ja geplant Ja Google Apps Ja Nein Nein Amazon AWS Ja Nein Ja 30

Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 4. Auditing Tools 1. CloudAudit (CSA) 2. ClouDAT 5. Fazit und Ausblick 31

Auditing Tools Was machen Auditing Tools eigentlich? Werkzeuge zur Unterstützung einer Überprüfung von Cloud Computing Services systematisches testen von Sicherheitsanforderungen Erstellung eines Berichtes 32

CloudAudit (CSA) noch laufendes Forschungsprojekt der CSA Ziel der Projekts: Tool welches den Audit Prozess automatisiert möglichst simpel Möglichkeit für Erweiterungen (Plug-Ins) Plattformunabhängig 33

CloudAudit (CSA) Tool auf HTTP-Basis aufgebaut wie ein(e) Verzeichnis(-struktur) muss durch Provider mit Inhalt gefüllt werden egal wie genau der Inhalt aussieht z.b. PDFs, Text-Dateien, URLs, Log-Files, Firewall=true, etc. Aufgabe des Tools: Daten auswerten und ausgeben ob Anforderungen aus Kontrollrahmen erfüllt werden 34

ClouDAT Forschungsprojekt (Beteiligung der TU-Dortmund) Ziel des Projekts: Open-Source-Tool zu Unterstützung von Sicherheitsanforderungen und Maßnahmen standardkonforme Dokumentation generieren Tool auf Basis von vorhandenen Open-Source-Tools Standardnotation: UML mit Erweiterungen wie UMLsec flexibel also individuelle anpassbar für Benutzer 35

ClouDAT Cloud Computing Anbieter können Analyse durchführen prüft ob die Umsetzung des Services den Sicherheitsanforderungen entspricht erzeugten Dokumente einem Auditor vorlegen Zertifizierung mit geringem Aufwand möglich Open-Source: Möglichkeit für Forschung und Lehre, individuell anpassbar, attraktiv für kleine und mittlere Unternehmen. 36

Inhalt 1. Einleitung 2. Grundlagen 3. Zertifizierung 4. Auditing Tools 5. Fazit und Ausblick 37

Fazit und Ausblick Zertifizierung in Bezug auf Sicherheit ein wichtiges Thema im Bereich Cloud Computing neue Zertifikate speziell für Cloud Computing EuroCloud STAR Audit, TÜV Trust IT Gütesiegel. Level direkt ablesbar CSA STAR offenes Online Verzeichnis / schnelle und einfache Aufnahme Certificate of Cloud Security Knowledge Zertifikat der individuellen Fachkompetenzen 38

Fazit und Ausblick ISO 27001 Norm nicht speziell für Cloud Computing unverzichtbar für Service Provider zuverlässiger Indikator für Sicherheit wird von der Industrie erwartet 39

Fazit und Ausblick Cloud Security Allinace (CSA) weltweit, führende Forschung CloudAudit, CCSK, STAR Certificate / Register USA -> NIST, Deutschland -> BSI bundesbehörden zuständig für Standards im Cloud Bereich EuroCloud übergeordnetes Netzwerk für Europa 40

Fazit und Ausblick Auditing wird versucht zu automatisieren bislang nur Forschungsprojekte CloudAudit (CSA), ClouDAT 41

Fazit und Ausblick Ausblick: Entscheident für die Zukunft ist die Entwicklung neuer Standards bzw. Umsetzung der bestehenden. Verteilung der Standards? EuroCloud STAR Audit für ganz Europa? oder doch lieber ein internationales nutzen? 42

VIELEN DANK 43

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback