RSA Conference 09: Cloud Security Alliance mit erstem Security-Report
Non-Profit-Organisation forciert Sicherheit beim Cloud Computing
23.04.2009 | Redakteur: Stephan Augsten
Auf der RSA Conference 09 hat die erst Ende März gegründete Cloud Security Alliance ihren ersten, 83-seitigen Report „Security Guidance for Critical Areas of Focus in Cloud Computing“ veröffentlicht. Darin nennt die Organisation über ein Dutzend Bereiche, die bei der Absicherung von Cloud-Computing-Umgebungen adressiert werden müssen.
Viele Unternehmen haben in den vergangenen Jahren die Virtualisierung vorangetrieben oder Cloud-Service-Anbietern ihre Datenhaltung anvertraut, um Server-Management-Kosten zu sparen. Doch dabei blieb der Sicherheitsgedanke oft auf der Strecke. Mit Best Practices, Experten-Ratschlägen, Anwenderberichten und Schulungen plant die Cloud Security Alliance, die Sicherheit bei Cloud-Computing-Implementierungen voranzutreiben.
Einer der Berater ist Dave Culliance, CISO und Vizepräsident für die weltweite Informationssicherheit bei eBay. Auf der RSA Conference 2009 in San Francisco gestand Cullinane ein, dass es seinem Unternehmen als einem der Pioniere des Cloud Computing an nützlichen Informationen und Best Practices zur Datensicherheit im Internet gemangelt habe. „Also dachte ich, die Zeit sei reif dafür dieses Thema offensiv anzugehen“, so Cullinane.
Obwohl die Gründung der Organisation erst gegen Ende März angekündigt wurde, engagieren sich bereits zahlreiche Unternehmen und Einzelpersonen in der Cloud Security Alliance. Zu den bekannteren Mitgliedern gehören unter anderem Microsoft, PGP, Qualys und Zscaler.
Bericht beleuchtet sicherheitskritische Aspekte des Cloud Computing
In erster Instanz wurde nun zunächst die Anleitung „Security Guidance for Critical Areas of Focus in Cloud Computing“ veröffentlicht. In einer Präsentation auf der RSA Conference unterstrich Jim Reavis, Geschäftsführer der Reavis Consulting Group und Mitbegründer der Cloud Computing Alliance, dass der Bericht Unternehmen bei der Umsetzung der Virtualisierung sowie der Auswahl eines Cloud-Computing-Anbieters unterstützen solle.
Von insgesamt 15 thematisierten Aufgabengebieten zur Absicherung von Cloud-Computing-Umgebungen beleuchtet die Cloud Security Alliance zwei im Detail: die Betriebsführung und den Geschäftsbetrieb innerhalb der Cloud. „Wir haben die Bereiche sorgfältig ausgewählt, basierend auf operativen und taktischen Knackpunkten“, erläutert Reavis. Denn während die Virtualisierung ein wichtiger technischer Baustein für das Cloud Computing sei, müsse man sich auch dem breiteren und strategischen Bereich der Geschäftsführung widmen.
Eingangs skizziert der Report die gängige Struktur zahlreicher Cloud-Computing-Architekturen und nennt anschließend drei Auslieferungsmodelle: Infrastucure as a Service, Platform as a Service und Software as a Service. Gleichzeitig geht die Cloud Security Alliance auf Fragen zu Governance und Risk Management ein.
So sollten Service-Provider regelmäßig Dritte mit dem Risk Assessment betrauen und die Ergebnisse an die Kunden kommunizieren. In Sachen Compliance und Auditing empfiehlt die Organisation den Diensteanbietern, ihre Sicherheit im Rahmen von ISO-27001-Zertifizierungen und Typ-2-Audits nach dem Statement of Auditing Standard (SAS) 70 auf den Prüfstand zu stellen.
Zu den thematisierten Bereichen gehören darüber hinaus Encryption- und Key-Management, Storage-Aspekte sowie Applikations- und Virtualisierungssicherheit. Weitere Anweisungen und Best Practices sollen schon bald folgen. Angesichts des Virtualisierungs- und Cloud-Computing-Hypes wird SearchSecurity.de regelmäßig über die Arbeit der Cloud Security Alliance berichten.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2021503)
