Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Gründe für Handlungsempfehlungen für die Cloud-Sicherheit (1)

Anleitung zur sicheren Konfiguration, Bereitstellung und Nutzung von Cloud Services

Wozu diese Handlungsempfehlungen?

Diese Richtliniensammlung hilft Ihnen festzustellen, ob ein Cloud-Service für Ihre Datenverarbeitung sicher genug ist. Dieses Framework basiert auf den nachfolgenden 14 Cloud Security-Prinzipien.

  1. Schutz von Daten im Transit
    Benutzerdaten, die über ein Netzwerk übertragen werden, sollten angemessen vor Manipulationen und Lauschangriffen geschützt werden.
  2. Asset-Schutz und Widerstandsfähigkeit
    Benutzerdaten und die Assets, die sie speichern oder verarbeiten, sollten vor physischer Manipulation, Verlust, Beschädigung oder Inbesitznahme geschützt werden.
  3. Trennung zwischen den Benutzern
    Ein bösartiger oder kompromittierter Benutzer des Dienstes sollte nicht in der Lage sein, den Dienst oder die Daten eines anderen zu beeinträchtigen
  4. Governance Framework
    Der Dienstanbieter sollte über ein Security Governance Framework verfügen, das sein Service- und Informationsmanagement koordiniert und steuert. Grundsätzlich werden alle technischen Kontrollen, die ausserhalb dieses Rahmens eingesetzt werden, geschwächt.
  5. Betriebssicherheit
    Der Dienst muss sicher betrieben und verwaltet werden, um Angriffe zu behindern, zu erkennen oder zu verhindern. Eine gute Betriebssicherheit sollte keine komplexen, bürokratischen, zeitaufwändigen oder teuren Prozesse erfordern.
  6. Personalsicherheit
    Wo Mitarbeiter von Dienstleistern Zugang zu Ihren Daten und Systemen haben, benötigen Sie ein hohes Mass an Vertrauen in deren Vertrauenswürdigkeit. Eine gründliche Überprüfung, unterstützt durch eine angemessene Schulung, reduziert die Wahrscheinlichkeit von versehentlichen oder bösartigen Kompromittierungen durch das Personal des Dienstleisters.
  7. Sichere Entwicklung
    Dienste sollten so konzipiert und entwickelt werden, dass sie Bedrohungen für ihre Sicherheit erkennen und mindern, ansonsten könnten sie anfällig für Sicherheitsprobleme sein, die Ihre Daten gefährden, zum Verlust von Diensten führen oder andere bösartige Aktivitäten ermöglichen könnten.
  8. Lieferkettensicherheit
    Der Dienstleister sollte sicherstellen, dass seine Lieferkette alle Sicherheitsgrundsätze, die der Dienstleister angeblich anzuwenden gedenkt, zufriedenstellend unterstützt.
  9. Sichere Benutzerverwaltung
    Ihr Provider sollte Ihnen die Tools zur Verfügung stellen, mit denen Sie Ihre Nutzung des Dienstes sicher verwalten können. Managementschnittstellen und -verfahren sind ein wichtiger Bestandteil der Sicherheitsbarriere und verhindern den unbefugten Zugriff und die Veränderung Ihrer Ressourcen, Anwendungen und Daten.
  10. Identität und Authentifizierung
    Jeglicher Zugang zu Service-Schnittstellen sollte auf authentifizierte und autorisierte Personen beschränkt sein.
  11. Externer Schnittstellenschutz
    Alle externen oder weniger vertrauenswürdigen Schnittstellen des Dienstes sollten identifiziert und angemessen geschützt werden.
  12. Sichere Service-Verwaltung
    Systeme, die für die Verwaltung eines Cloud-Dienstes verwendet werden, haben einen hoch privilegierten Zugriff auf diesen Dienst. Ihre Kompromittierung hätte erhebliche Auswirkungen, einschliesslich der Mittel, um Sicherheitskontrollen zu umgehen und grosse Datenmengen zu stehlen oder zu manipulieren.
  13. Auditinformationen für Benutzer
    Sie sollten die Auditprotokolle erhalten, die für die Überwachung des Zugangs zu Ihrem Dienst und der darin gespeicherten Daten erforderlich sind. Die Art der Ihnen zur Verfügung stehenden Auditinformationen hat direkte Auswirkungen auf Ihre Fähigkeit, unangemessene oder bösartige Aktivitäten innerhalb angemessener Fristen zu erkennen und darauf zu reagieren.
  14. Sichere Nutzung des Dienstes
    Die Sicherheit von Cloud-Diensten und der darin enthaltenen Daten kann beeinträchtigt werden, wenn Sie den Dienst schlecht nutzen. Daher haben Sie bei der Nutzung des Dienstes bestimmte Verantwortlichkeiten, damit Ihre Daten angemessen geschützt sind.

1.1 Grundsätzliche Fragen

Der Umfang Ihrer Sicherheitsaufgaben als Käufer des Dienstes variiert je nach Art des Dienstes erheblich. Im Vorlauf sind aber zuerst einige wichtige Fragen zu klären:

1 Befassen Sie sich mit Ihren Geschäftsanforderungen
Verstehen Sie Ihren Verwendungszweck des Cloud-Service. Berücksichtigen Sie Probleme wie Verfügbarkeit und Konnektivität. Identifizieren Sie die Risiken, die für Ihr Unternehmen unannehmbar wären, wenn sie vorkommen würden, und diejenigen, die akzeptabel wären.

2 Verstehen Sie Ihre Daten
Identifizieren Sie die Informationen, die vom Cloud-Service verarbeitet, gespeichert oder transportiert werden. Verstehen Sie die rechtlichen und regulatorischen Auswirkungen. Sollen beispielsweise personenbezogene Daten gespeichert oder verarbeitet werden, ist die Datenschutzgesetzgebung zu beachten.

3 Festlegung relevanter Sicherheitsprinzipien
Sie kennen jetzt Ihre Geschäftsanforderungen, Sie haben die Risiken identifiziert, die Sie (nicht) eingehen wollen. Und Sie haben ein klares Bild der Daten, die dem Service ausgesetzt sind.

Anhand dieser Informationen sollten Sie feststellen können, welche der Cloud-Sicherheitsprinzipien für Ihre geplante Nutzung des Dienstes am relevantesten sind.

4 Verstehen Sie, wie die Prinzipien umgesetzt werden
Finden Sie heraus, wie der Cloud-Service behauptet, die von Ihnen als relevant identifizierten Sicherheitsprinzipien umzusetzen. Unterschiedliche Ansätze führen zu unterschiedlichen Risiken, die Sie berücksichtigen sollten.

5 Verstehen Sie den Grad der angebotenen Sicherheit
Kann der Dienstleister nachweisen, dass die von Ihnen in Schritt 3 genannten Grundsätze korrekt umgesetzt wurden?

Einige Lieferanten bieten wenig mehr als Versprechungen, andere bieten Verträge an, und einige beauftragen zertifizierte unabhängige Sachverständige, um ihre Aussagen zu bestätigen.

6 Identifizieren Sie zusätzliche Minderungsmassnahmen, die Sie anwenden können
Bedenken Sie alle zusätzlichen Massnahmen, die Ihr Unternehmen (als Kunde des Cloud-Service) ergreifen kann, um das Risiko für Ihre Anwendungen und Informationen zu verringern.

7 Restrisiken berücksichtigen
Nachdem Sie die oben genannten Schritte durchgearbeitet haben, entscheiden Sie, ob die verbleibenden Risiken akzeptabel sind.

8 Fortlaufende Überwachung und Steuerung der Risiken
Sobald der Service benutzt wird, überprüfen Sie regelmässig, ob der Service noch Ihren Geschäfts- und Sicherheitsanforderungen entspricht.

www.ncsc.gov.uk

http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

17.11.2018

Kategorie: Cybersecurity
© Swiss Infosec AG 2024