Cloud-Sicherheitsstandards: ISO, PCI, DSGVO und Ihre Cloud

Was sind Cloud-Sicherheitsstandards?

Mit der Umstellung auf Cloud-Infrastrukturen mussten sich auch die Compliance-Standards weiterentwickeln. Cloud-Dienste und -Plattformen müssen nun die Einhaltung verschiedener bundesstaatlicher, internationaler, lokaler und staatlicher Sicherheitsgesetze, -vorschriften und -standards gewährleisten.

Compliance-Standards wie ISO, PCI DSS, HIPAA und DSGVO stellen spezifische Anforderungen an Cloud-Umgebungen. Bei zwingenden gesetzlichen Vorschriften können Verstöße zu rechtlichen Sanktionen wie Geldbußen führen.

Neben allgemeinen Compliance-Standards haben sich spezielle Standards entwickelt, die Unternehmen dabei helfen können, eine sichere Cloud-Umgebung zu schaffen. Dazu gehören die Cloud Security Benchmarks des Center for Internet Security (CIS), die Controls Matrix der Cloud Security Alliance (CSA) und das Cloud Architecture Framework.

Die Notwendigkeit von Cloud-Sicherheitsstandards

Da Unternehmen ihre Workloads zunehmend in die Cloud migrieren, müssen sie sicherstellen, dass Cloud Computing die richtige Bereitstellungsumgebung für ihre Anwendungen ist. Dabei stehen Sicherheit und Risikominimierung im Vordergrund. Unternehmen prüfen, ob sensible Daten in der Cloud sicher sind und wie sie Cloud-Dienste unter Einhaltung von Standards und Vorschriften nutzen können.

Die Cloud ist von Natur aus ein attraktives Ziel für Cyberangriffe, da sie standardmäßig öffentlichen Netzwerken ausgesetzt ist und eine gut dokumentierte Umgebung darstellt, deren Ausnutzung Angreifer zunehmend lernen. Cloud-Konfigurationen sind komplex, und die große Anzahl beweglicher Komponenten – wie VMs, serverlose Funktionen, Container und Speicherbereiche – stellen jeweils eine Bedrohungsfläche dar.

Sowohl Cloud-Anbieter als auch Cloud-Nutzer tun sich schwer damit, zu definieren, was sie tun müssen, um eine sichere Umgebung zu gewährleisten. Es gibt zwar zahlreiche Forschungseinrichtungen, bewährte Sicherheitsmethoden und regulatorische Anforderungen, aber keinen klaren Standard oder Konsens darüber, was eine wirklich sichere Cloud-Umgebung ausmacht.

Daher ist es für Unternehmen wichtiger denn je, ein Framework einzuführen, das ihnen hilft, alle Aspekte der Cloud-Sicherheit zu berücksichtigen – einschließlich Identitäts- und Zugriffsverwaltung (IAM), Netzwerksicherheit, Virtualisierungssicherheit, Zero Trust Network Access (ZTNA), Endpunktsicherheit, Datenschutz und Inhaltssicherheit.

Cloud-Compliance: Welche Auswirkungen haben wichtige Compliance-Standards auf die Cloud?

Hier sind einige der wichtigsten Sicherheitsvorschriften weltweit und wie sie sich auf die Cloud-Sicherheit auswirken können.

ISO-Normen

Die Internationale Organisation für Normung (ISO) 27001 hat einen Standard geschaffen, der Organisationen dabei unterstützt, ihre Informationen durch bewährte Verfahren zu schützen.

Die ISO hat Standards für viele Arten von Systemen und Technologien erstellt, beispielsweise:

• ISO/IEC 17789 (2014)– dieser Standard beschreibt Cloud-Computing-Aktivitäten, Funktionskomponenten und Rollen, einschließlich der Art und Weise ihrer Interaktion.
• ISO/IEC 19944-1 (2020)– dieser Standard legt fest, wie Daten über Cloud-Service-Center und Cloud-Service-Benutzer transportiert werden.
• ISO/IEC-Technische Spezifikation 23167 (2020)– dieser Standard spezifiziert Techniken und Technologien, die im Cloud Computing eingesetzt werden, wie etwa VMs, Container und Hypervisoren.
• ISO/IEC 27018 (2019)– Dieses Dokument beschreibt Richtlinien auf Grundlage von ISO/IEC 27002 und legt den Schwerpunkt auf den Schutz personenbezogener Daten (PII) in der öffentlichen Cloud.

PCI DSS

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Sicherheitsbedingungen für Händler, die Debit- oder Kreditkarten akzeptieren. PCI DSS bezieht sich auf Organisationen, die Karteninhaberdaten speichern oder verarbeiten.

Wenn Ihr Unternehmen vertrauliche Zahlungskartendaten in der Cloud speichert und verarbeitet, liegt es in Ihrer Verantwortung, Ihr IT-Team mit umfassendem Cloud-Know-how auszustatten, um die sichere Einrichtung und Pflege Ihrer Cloud-Umgebung zu gewährleisten. Wenn Sie die PCI DSS-Richtlinien für Cloud Computing nicht einhalten, verlieren Sie möglicherweise die Möglichkeit, Zahlungskartentransaktionen abzuwickeln.

HIPAA

Zum Schutz der gesundheitsbezogenen Daten von Einzelpersonen enthält der Health Insurance Portability and Accountability Act (HIPAA) Abschnitte, die sich direkt auf die Informationssicherheit beziehen.

HIPAA ist ein Gesetz, das sich auf Organisationen bezieht, die mit personenbezogenen medizinischen Daten arbeiten. In Bezug auf die Informationssicherheit ist die HIPAA-Sicherheitsregel (HSR) am relevantesten. Die HSR bietet Richtlinien für den Schutz elektronischer Gesundheitsdaten einer Person. Dazu gehören Informationen, die eine betroffene Einrichtung verwendet, erstellt, verwaltet oder empfängt.

Wenn Ihr Unternehmen Cloud-basierte Dienste (IaaS, PaaS, SaaS) zur Verwaltung und Übertragung von Gesundheitsdaten nutzt, müssen Sie sicherstellen, dass der Dienstanbieter HIPAA-konform ist. Außerdem müssen Sie Best Practices für die Überwachung von Cloud-Konfigurationen implementieren.

DSGVO

Eines der strengsten und am weitesten verbreiteten Datenschutzgesetze weltweit ist die Datenschutz-Grundverordnung (DSGVO). Ihr zentrales Ziel ist der Schutz personenbezogener Daten von Unternehmen und Einzelpersonen in der Europäischen Union (EU).

Eines der elf Kapitel der DSGVO-Verordnung, „Kapitel 4: Verantwortlicher und Auftragsverarbeiter“, enthält Artikel, die sich auf Sicherheits- und IT-Teams auswirken, die mit öffentlichen Cloud-Umgebungen arbeiten, in denen Benutzerdaten verarbeitet und verwaltet werden. Zum Beispiel:

• Artikel 25: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen– weist darauf hin, dass Maßnahmen ergriffen werden sollten, damit personenbezogene Daten standardmäßig nicht ohne Eingreifen der betroffenen Person einer unbestimmten Anzahl natürlicher Personen zugänglich gemacht werden. Microsoft Azure Active Directory-Berechtigungen und -Richtlinien sowie AWS IAM tragen dazu bei, den Umfang des Informationszugriffs zu begrenzen.
• Artikel 30: Verzeichnis der Verarbeitungstätigkeiten– weist darauf hin, dass Datenverarbeiter Aufzeichnungen über die Informationsverarbeitung führen müssen. Durch die API-Überwachung über Azure Monitor oder AWS CloudTrail, bei der die Protokolle in S3-Speicher-Buckets oder Blobs übertragen werden, können Unternehmen diese Anforderung erfüllen.
• Artikel 32: Prozesssicherheit– weist darauf hin, dass personenbezogene Daten verschlüsselt werden müssen. Sicherheits- und IT-Teams können Strategien zur Verschlüsselung von Daten während der Übertragung und im Ruhezustand implementieren.

Berichterstattung zu System- und Organisationskontrollen (SOC)

Der SOC-Berichtsstandard ist freiwillig. Organisationen implementieren die SOC-Zertifizierung, um ihr großes Engagement für die Datensicherheit zu demonstrieren und sicherzustellen, dass sie über die richtigen Sicherheitsstrategien verfügen.

Jede der fünf SOC 2-Vertrauenskategorien besteht aus neun Unterkategorien. Zu den Sicherheitskriterien gehören die Vertrauensprinzipien, die für Compliance- und Sicherheitsteams relevant sind, die öffentliche Cloud-Infrastrukturen verwalten:

• CC2.0: Kommunikation und Information– befasst sich damit, wie Organisationen externe und interne Kommunikations- und Datenflüsse verwalten.
• CC5.0: Kontrollaktivitäten– befasst sich damit, wie die Kontrollaktivitäten einer Organisation das Technologie- und Risikomanagement berücksichtigen.
• CC6.0: Logische und physische Zugangskontrolle– behandelt, wie Organisationskontrollen den logischen Zugriff auf IT-Anmeldeinformationen und -Systeme ermöglichen. Umfasst die Kontrolle des physischen Zugangs zu Einrichtungen und Sicherheitsstandards zur Verhinderung und Erkennung unbefugten Zugriffs.
• CC7.0: Systembetrieb– befasst sich damit, wie eine Organisation Systeme auf mögliche Ereignisse, Anomalien und Konfigurationsänderungen überwacht, die Sicherheitsrisiken mit sich bringen könnten. Außerdem werden Maßnahmen zur Reaktion auf Sicherheitsvorfälle festgelegt, um diese zu beheben, einzudämmen und bekannt zu geben.
• CC8.0: Änderungsmanagement– befasst sich damit, wie Organisationen den Bedarf an Änderungen an ihren Daten, ihrer Infrastruktur, ihren Verfahren und ihrer Software ermitteln und bestimmen. Dies ermöglicht es ihnen, notwendige Änderungen sicher durchzuführen und gleichzeitig unbefugte Änderungen zu verhindern.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Tipps vom Experten

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, Cloud-Sicherheitsstandards besser zu übernehmen und umzusetzen:

Zentralisieren Sie die Compliance-Berichterstattung über alle Clouds hinweg
Wenn Sie eine Multi-Cloud-Strategie verfolgen, standardisieren Sie Ihr Compliance-Reporting plattformübergreifend. Die Verwendung eines einheitlichen Tools oder Frameworks wie der STAR-Zertifizierung der Cloud Security Alliance (CSA) vereinfacht Audits und Sicherheitsmanagement.

Priorisieren Sie regionale Standards
Verschiedene Regionen haben unterschiedliche regulatorische Anforderungen (wie die DSGVO in Europa und der CCPA in Kalifornien). Stellen Sie sicher, dass Ihre Cloud-Sicherheitsstrategie diese berücksichtigt, insbesondere wenn Sie global tätig sind. Priorisieren Sie die Compliance-Automatisierung in mehreren Regionen, um die Komplexität zu reduzieren.

Integrieren Sie Compliance in Ihre DevOps-Pipeline
Integrieren Sie Sicherheitskontrollen und Compliance-Prüfungen in Ihre CI/CD-Pipeline. So stellen Sie sicher, dass Ihre Bereitstellungen während des gesamten Softwareentwicklungszyklus Cloud-Sicherheitsstandards wie ISO oder PCI DSS entsprechen.

Nutzen Sie automatisierte Cloud-Compliance-Audits
Nutzen Sie Cloud-native Tools oder Tools von Drittanbietern, die kontinuierliche Compliance-Prüfungen durchführen und Echtzeitberichte erstellen können. Diese Automatisierung reduziert den Zeitaufwand für manuelle Audits und hilft, Probleme vor behördlichen Prüfungen zu erkennen.

Führen Sie Schulungen zur gemeinsamen Verantwortung durch
Informieren Sie sowohl IT- als auch Sicherheitsteams über das Modell der geteilten Verantwortung. Missverständnisse hinsichtlich der Grenzen zwischen den Verantwortlichkeiten von Cloud-Anbietern und Kunden können zu Compliance-Lücken führen, insbesondere in Bereichen wie Datenverschlüsselung und IAM.

Cloud-spezifische Sicherheitsrahmen und Benchmarks

Hier sind einige Frameworks, die Unternehmen dabei helfen, ein hohes Maß an Cloud-Sicherheit aufrechtzuerhalten.

CIS Cloud-Sicherheitsbenchmarks

Die CIS Foundations Benchmarks sind Bestandteil der Cybersicherheitsstandards des Center for Internet Security (CIS). CIS Benchmarks sind herstellerunabhängige, konsensbasierte Richtlinien zur sicheren Konfiguration der gängigsten Technologien und Systeme.

Es gibt über 100 frei verfügbare CIS-Benchmarks für Dutzende von Produktgruppen, darunter Server, Betriebssysteme, mobile Geräte, Cloud-Anbieter, Netzwerkgeräte und Desktop-Software. Die CIS Foundations Benchmarks bieten Unterstützung für öffentliche Cloud-Umgebungen auf Kontoebene.

Die CIS Foundations Benchmarks befassen sich mit:

• Oracle Cloud-Infrastruktur
• IBM Cloud
• Amazon Web Services
• Microsoft Azure
• Google Cloud Platform
• Alibaba Cloud

CIS Benchmarks bieten Sicherheitskonfigurationsübersichten basierend auf Best Practices und sind von Unternehmen, Behörden, Hochschulen und Branchenverbänden anerkannt. Die CIS Foundations Benchmarks richten sich an Anwendungs- und Systemadministratoren, Sicherheitsexperten und Auditoren sowie an Plattformbereitstellungs-, Helpdesk- und einzelne DevOps-Mitarbeiter, die Lösungen in der Cloud erstellen, bereitstellen, sichern oder evaluieren möchten. Sie sind kostenlos erhältlich und können als PDF-Dokumente heruntergeladen werden.

CSA-Kontrollmatrix

Diese von der Cloud Security Alliance (CSA) implementierte Gruppe von Sicherheitskontrollen bietet Sicherheitsanbietern einen grundlegenden Überblick, erhöht die Robustheit von Sicherheitskontrollumgebungen und vereinfacht Audits. Dieses Framework hilft potenziellen Kunden auch dabei, die Risikolage potenzieller Cloud-Anbieter einzuschätzen.

Die Cloud Security Alliance hat die Zertifizierungsinitiative STAR ins Leben gerufen. Die CSA STAR-Zertifizierung belegt eine herausragende Position im Bereich Cloud-Sicherheit, die von Kunden geschätzt wird. Dieser Standardsatz kann für Kunden, die das Sicherheitsengagement eines Anbieters bewerten, von entscheidender Bedeutung sein und ist ein Muss für jedes Unternehmen, das das Vertrauen seiner Kunden gewinnen möchte.

Das STAR-Register beschreibt die Datenschutz- und Sicherheitskontrollen, die von gängigen Cloud-Computing-Funktionen angeboten werden, sodass Cloud-Kunden ihre Sicherheitsanbieter bewerten und fundierte Kaufentscheidungen treffen können.

Cloud-Architektur-Frameworks

Diese Frameworks können als Best-Practice-Richtlinien für Cloud-Architekten angesehen werden, die sich regelmäßig mit Betriebssicherheit, Effizienz und Kosten-Nutzen-Analysen befassen. Hier sind drei Frameworks, die Cloud-Architekten kennen sollten:

• AWS Well-Architected Framework– unterstützt Amazon Web Services-Architekten bei der Erstellung von Anwendungen und Workloads in der Amazon Cloud. Dieses Framework skizziert Fragen zur Bewertung von Cloud-Umgebungen und bietet Kunden eine zuverlässige Ressource für die Architekturanalyse. Fünf Kernprinzipien leiten Amazon-Architekten: Sicherheit, operative Exzellenz, Leistungseffizienz, Zuverlässigkeit und Kostenoptimierung.
• Google Cloud-Architected Framework– bietet eine Grundlage für die Erweiterung und Erstellung von Google Cloud-Funktionen. Dieses Framework unterstützt Architekten durch die Berücksichtigung von vier zentralen Prinzipien: Sicherheit und Compliance, operative Exzellenz, Leistungskostenoptimierung und Zuverlässigkeit.
• Azure-Architektur-Framework– unterstützt Architekten bei der Entwicklung cloudbasierter Funktionen in Microsoft Azure. Dieser Leitfaden unterstützt bei der Optimierung von Architektur-Workloads und basiert auf ähnlichen Prinzipien wie die Google Cloud- und AWS-Frameworks, wie Datensicherheit, Kostenoptimierung, Zuverlässigkeit, Leistungseffizienz und operative Exzellenz. Dies kann Unternehmen dabei helfen, die Systemfunktionalität aufrechtzuerhalten und sich von Vorfällen zu erholen.

Exabeam: Verbesserte Bedrohungserkennung mit fortschrittlicher Sicherheitsanalyse

Die Exabeam Security Operations Platform bietet eine leistungsstarke Kombination aus SIEM, Verhaltensanalyse, Automatisierung und Netzwerktransparenz, um die Erkennung, Untersuchung und Reaktion von Bedrohungen in Unternehmen zu verändern. Durch die Korrelation von Firewall-Protokollen mit Daten von Endpunkten, Cloud-Umgebungen, Identitätssystemen und anderen Sicherheitsquellen bietet Exabeam tiefere Einblicke in sich entwickelnde Bedrohungen, die sonst unentdeckt blieben.

Dank verhaltensbasierter Analysen geht Exabeam über statische Regeln und Signaturen hinaus und erkennt anomale Aktivitäten, die auf den Missbrauch von Anmeldeinformationen, Insider-Bedrohungen oder laterale Bewegungen im Netzwerk hinweisen. Durch die Analyse des normalen Benutzer- und Entitätsverhaltens im Zeitverlauf deckt Exabeam risikoreiche Aktivitäten auf, die von herkömmlichen Sicherheitstools möglicherweise übersehen werden.

Automatisierte Untersuchungen optimieren Sicherheitsabläufe, indem sie unterschiedliche Datenpunkte zu umfassenden Bedrohungszeitplänen verknüpfen. Dadurch wird der Zeitaufwand für Analysten reduziert, die Vorfälle manuell zusammenzufügen. So können Teams die Ursache eines Angriffs schnell identifizieren und präzise reagieren.

Erfahren Sie mehr über Exabeam SIEM