CSA - Cloud Security Alliance
Die Cloud Security Alliance (CSA) ist eine Non-Profit-Organisation, die 2008 gegründet wurde, um Best Practices und Sicherheitsrichtlinien in Bezug auf Cloud-Computing zu erstellen und zur Verfügung zu stellen. Diese Informationen sollen Unternehmen und Organisationen zur Verfügung gestellt werden, um Kunden und Verkäufern eine standardisierte für die Bewertung und Verbesserung von Cloud-Produkten zu ermöglichen. Die Cloud Security Alliance umfasst aktuell 90.000 Mitglieder, 80 Stellen weltweit und ca. 400 Unternehmen und Organisationen. Die Mitglieder sind dabei zum Teil in verschiedenen Bereichen der Privatwirtschaft, öffentlichen Verwaltung und des Gesundheitswesens, sowie für verschiedene bekannte Cloud-Provider tätig. Mittels der Bereitstellung von Forschungsergebnissen zu neuen Erkenntnissen und Produkten innerhalb des Cloud-Computing und der Bereitstellung von Zertifizierungen für Cloud-Produkte und Sicherheits-Experten, stellt die Cloud Security Alliance eine zentrale Plattform bereit um die Sicherheit der Produkte unabhängig zu bewerten und ihre Systemhärtung sowohl auf Käufer- als auch auf Anwenderseite zu ermöglichen.
Security, Trust , Assurance and Risk Registry (STAR-Registry)
Das STAR-Registry ist ein Register welches verschiedene Cloud-Provider und deren Produkte enthält. Das Register ist öffentlich verfügbar und beinhaltet Informationen zu den Sicherheitsstandards der Händler und der einzelnen Produkte. Provider können durch Abschließen einer CSA-Zertifizierung in das Register eingetragen werden. Die Zertifizierung unterscheidet zwei Stufen.
STAR LEVEL ONE
Für „STAR LEVEL ONE“ werden beispielsweise über einen Self-Assessment-Fragebogen bereitgestellt, der vordefinierte Fragen zu verschiedenen allgemeinen und Cloud-spezifischen Sicherheitsaspekten enthält, welche von den Providern eigenständig beantwortet werden. Die verschiedene Varianten der Zertifizierung beinhalten beispielsweise den Consensus Assessment Initiative Questionnaire (CAIQ), ein Spreadsheet welches bezugnehmend auf die Cloud Controls Matrix (CCM) Sicherheitsmaßnahmen der Provider und ihrer Produkte näher beleuchtet. Das CAIQ liegt aktuell in der Version 4 vor. Die Cloud Controls Matrix stellt ein Framework dar, welches die Aspekte des Cloud-Computing in 16 verschiedenen Bereichen in Hinblick auf ihre Sicherheit betrachtet. Die CCM beinhaltet zudem Querverweise auf weitere bestehende Standards. Liste einiger referenzierter Standards nach CCM-Version:
CCM v4:
- ISO/IEC 27001/27002/27017/27018
- CCM V3.0.1
- CIS Controls V8.
CCM v3.0.1:
- ISO 27001/27002/27017/27018
- NIST SP 800-53
- AICPA TSC
- German BSI C5
- PCI DSS
- ISACA COBIT
- NERC CIP
- FedRamp
- CIS
Des weiteren enthält „STAR LEVEL ONE“ ein Self-Assessment zur DSGVO (GDPR Self-Assessment), welches die DSGVO-Konformität der Produkte und Prozeduren der Cloud-Provider näher beleuchtet.
STAR LEVEL TWO
„STAR LEVEL TWO“ beinhaltet darüber hinaus eine Überprüfung durch Dritte. Diese Zertifizierung ist nach Angaben von CSA vor allem für Organisationen und Unternehmen gedacht, welche in kritischen Bereichen tätig sind. Außerdem ermöglicht Level 2 die STAR-Zertifizierung auf Basis von bestehenden Industrie-Zertifizierungen und -Standards zu erlangen, wie SOC 2 oder ISO/IEC 27001:2013.
Fortbildungen und Zertifizierungen
Die CSA bietet zudem Fortbildungen und Zertifizierungen für Sicherheits-Spezialisten und Cloud-Entwickler. Die CCSK-Zertifizierung (Certificate of Cloud Security Knowledge) ist eine Zertifizierung, welche Wissen über die Inhalte von CCM, CAIQ und der DSGVO voraussetzt.
Quellen
https://www.l7defense.com/cyber-security/cloud-security-alliance/
https://cloudsecurityalliance.org/blog/2021/09/01/what-is-caiq/
https://cloudsecurityalliance.org/blog/2020/10/16/what-is-the-cloud-controls-matrix-ccm/