SBA Live Academy: Cloud Security Zertifizierungen und Gütesiegel by Günther Roat

Classification: Public 1
Willkommen
zur SBA Live Academy
#bleibdaheim # remotelearning
Heute: Cloud-Security-Zertifizierungen
Günther Roat
This talk will be recorded as soon as the presentation starts!
Recording will end BEFORE the Q&A Session starts.
Please be sure to turn off your video in your control panel.

Cloud-Security-Zertifizierungen
SBA Research gGmbH, 2020

Cloud-Zertifizierungen
Vorwort
Was will diese Session?
✓ Einen Überblick der gängigsten Zertifizierungen zum Thema
InfoSec in der Cloud geben.
✓ Deren Ausrichtung/Scope darstellen.
✓ Kurz ausgewählte Inhalte beschreiben.
✓ Impulse geben, wo man sich „bedienen“ kann, wenn man z.B.
Cloud-Security-Richtlinien formulieren will.

Ausgewählte Standards und Gütesiegel auf einer Slide
• Zertifizierbare Informationssicherheitsmanagementsysteme + „Cloud Module“
o ISO/IEC 27001 - Informationssicherheitsmanagementsystem (hier leider nicht im Detail)
o + ISO/IEC 27017 - Leitfaden f. Informationssicherheitsmaßnahmen für Cloud Services
o + ISO/IEC 27018 - Datenschutz in Public Cloud Services
o BSI Grundschutzkompendium (ISO 27001) + OPS.2.2 Cloud-Nutzung
• Zertifikate für Cloud Service Provider (CSP)
o BSI C5: Anforderungskatalog Cloud Computing (InfoSec-Kriterien)
o Cloud Security Alliance (CSA): Security, Trust & Assurance Registry (STAR) -
www.cloudsecurityalliance.org/star
• Wirtschaftsprüfungen: ISAE 3402 – Wirksamkeit des IKS bei Dienstleistern
• … und auch personenbezogene Zertifikate (CSA CCSK, ISC² CCSP)

Typen
1st Party
Audit
•Prüfung mit eigenen Ressourcen oder mit externer Beratung, die in Auftrag
des geprüften Unternehmens handelt.
•Beispiel: BSI C5, CSA STAR Stufe 1
2nd Party
Audit
•Prüfung durch eine Person oder Organisation, die ein Interesse an dem
Dienstleister hat.
•Beispiel: Supply Chain Audits
3rd Party
Audit
•Unabhängige externe Stelle, die zur Durchführung einer Prüfung Auditoren in
die Organisation entsendet.
•Beispiel: ISO 27001, EuroPriSe

Shared Responsibility
• Cloud Service Provider (CSP) gewährleistet die Erfüllung der Anforderungen bis zu
einer (hoffentlich) definierten Verantwortungsgrenze.
• Der Kunde muss eigene Maßnahmen innerhalb der eigenen Verwendung von Cloud
Services umsetzen:
Verantwortung SaaS PaaS IaaS
Information & Data
Accounts & Identities
Directories & Authentication
Applikationen
Operating System
Netzwerksicherheit
Physische Hosts & Datacenter
Kunde CSP
• Standards, die Kontrollen des Cloud-
Anbieters im Fokus haben = Security of
the Cloud.
• Standards, die Kontrollen des Cloud-
Benutzers im Fokus = Security in Cloud.

… die ISO 27001, 27017, 27018…

• ISO27001, 27017, 27018 sind keine Produktzertifizierung! (wäre Common Criteria)
• Zertifikat durch akkreditierte Stelle bestätigt ein funktionierendes InfoSec-Mgmt System.
• ISO/IEC 27017 kann mit einer ISO 27001 Zertifizierung verbunden werden:
o Ist entlang der ISO 27002 Kapiteln strukturiert und referenziert auf diese.
o Cloud-spezifische (neue) Maßnahmen (Annex A) müssen in die
Anwendbarkeitserklärung (SOA) der ISO 27001 integriert werden.
o Gewohnter Takt: jährliche Überwachungsaudits -> alle 3 Jahre Re-Zertifizierung.
• Maßnahmen sind aufgeteilt für CSPs und Kunden:
o Type1 Control: getrennt für Service Provider & Customer.
o Type 2 Control: gilt für beide Rollen gleichermaßen.
CSP and Customer should agree upon the procedure to respond to digital evidence requests etc.
(SLA-Thema)
ISO 27017:2015
Code of practice for information security controls based on ISO 27002 for cloud services

ISO 27017:2015
• Bei 114 Sicherheitsmaßnahmen (ISO 27002) gibt es nur bei ca. 40 Anmerkungen
zu Cloud – und die auch nicht für beide Parteien.
o Der Rest: „Control xyz and the associated implementation guidance and other
information specified in ISO/IEC 27002 apply.”
• Hier hauptsächlich Anforderungen an CSPs, Informationen an Kunden
weiterzugeben:
o Changemgmt (Wartungsfenster und neue Features), Mgmt of Secrets, Backups,
Reporting bei Incidents, Implementierung und Prüfung von Security-Maßnahmen.

Mehr findet man im Annex A (SOA relevant):
• Removal of cloud service customer assets
o Dokumentierte Vorgehensweise & Nachweise
• Segregation in virtual computing environments
o Trennung der Mandanten & der internen Admin-Umgebung
• Virtual machine hardening
o Nur benötigte Dienste, Ports, Protokolle
o AV & Logging-Anforderungen
• Administrator's operational security
• Monitoring of Cloud Services
o Angriffe auf und von Mandanten erkennen und DLP
• Alignment of security management for virtual and physical networks
o Sicherheitsanforderungen an virtuelle und physische Netze
ISO 27017:2015

ISO 27018:2019
Code of practice for protection of PII in public clouds acting as PII processors
• Wie bei ISO 27017 bleiben viele 27002 Maßnahmen unverändert.
• In Kombination mit ISO 27001 zertifizierbar wie 27017 = SOA um
Annex A erweitern (Beispiele):
o Zweckbindung bei der Verarbeitung von personenbezogenen Daten.
o Rückgabe, Übermittlung und Vernichtung von personenbezogenen Daten
muss geregelt sein.
o Verletzung der Datensicherheit ist mit Folgeabschätzung zu dokumentieren
und dem Kunden unverzüglich zu melden (Meldepflicht der Kunden selbst zu
bedenken).
o Die Weitergabe von Daten an Strafverfolgungsbehörden darf nur bei
rechtlicher Anweisung erfolgen. Kunde muss informiert werden, außer wenn
es rechtlich untersagt ist (Strafverfolgung).
o …

… Bundesamt für Sicherheit in der
Informationstechnik …

BSI Grundschutzkompendium mit Cloud-Nutzung
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_2_2_Cloud-Nutzung.html
• Seit 2018: Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz
durch einen vom Bundesamt für Sicherheit in der Informationstechnik
(BSI) akkreditierten Auditor.
• Wird durch ein Audit beim Cloud-Kunden geprüft!
• Grundschutzkatalog besteht aus „Bausteinen“:
o ISMS: Sicherheitsmanagement, ORP: Organisation und Personal,
CON: Konzeption und Vorgehensweisen, OPS: Betrieb, u.s.w.
• OPS.2.2 Cloud-Nutzung beschreibt Anforderungen, durch die sich
Cloud-Dienste sicher nutzen lassen.

OPS.2.2 Cloud-Nutzung - grobe Struktur:
• Kapitel 2: Gefährdungslage
• Kapitel 3: Basisanforderungen, Standardanforderungen, Anforderungen bei
erhöhtem Schutzbedarf.
• Basisanforderungen sind MUSS Kriterien.
Basisanforderungen – MUSS-Kriterien!
• Cloud-Nutzungs-Strategie & Sicherheitsrichtlinie für die Cloud-Nutzung.
• Service-Definition für Cloud-Dienste durch den Anwender.
• Festlegung von Verantwortungsbereichen und Schnittstellen.

Standardanforderung – Soll-Kriterien.
• Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung.
• Planung der sicheren Migration & sicheren Einbindung zu einem Cloud-Dienst.
• Erstellung eines Notfallkonzeptes für einen Cloud-Dienst.
• Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungsbetrieb.
• Geordnete Beendigung eines Cloud-Nutzungs-Verhältnisses.
Anforderungen bei erhöhtem Schutzbedarf – Soll-Kriterien
• Portabilität von Cloud-Diensten.
o Anforderungen definieren, die es ermöglichen, einen CSP zu wechseln oder den
Cloud-Dienst bzw. die Daten in die eigene IT-Infrastruktur zurückzuholen.

Anforderungen bei erhöhtem Schutzbedarf (Soll-Kriterien)
• Einsatz von Verschlüsselung bei Cloud-Nutzung.
o Schlüsselmanagement und Verschlüsselungsmechanismen definieren.
• Einsatz von Verbunddiensten
o Fokus: Federation Services
o Sicherstellen, dass in einem SAML-Ticket (Security Assertion Markup Language)
nur die erforderlichen Informationen an den CSPs übertragen werden.
o Die Berechtigungen sollten regelmäßig überprüft werden, sodass nur
berechtigten Benutzern ein SAML-Ticket ausgestellt wird.
• Durchführung eigener Datensicherungen.

BSI Anforderungskatalog Cloud Computing (C5)
• Cloud Computing Compliance Controls Catalogue (C5):2020
o 125 Maßnahmen in 17 Domains (geht auf 117 Seiten ins Detail):
• C5 wird durch ein Audit beim Cloud-Anbieter geprüft (nach ISAE 3000 Standard):
o SOC 1-Bericht über die Angemessenheit der Kontrollen/Maßnahmen,
o … gefolgt von einem SOC 2-Bericht über die Wirksamkeit der Kontrollen.
• Basis- (muss jeder CSP haben) und Zusatzkriterien (bei erhöhtem Schutzbedarf).
o Auch Kriterien für Kunden – soll potenzielle Mitwirkungspflicht aufzeigen.
• Diese Testierung steht jedoch unter keinerlei Aufsicht durch das BSI, sondern wird
durch einen WirtschaftsprüferInnen/InfoSec AuditorInnen vergeben.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020.html

BSI Anforderungskatalog Cloud Computing (C5)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020.html
Bereich und
Kennung
Ziel Beispiele
Organisation der
Informationssicherheit
(OIS)
Planung, Umsetzung, Aufrechterhaltung
und KVP.
Basiskrit.: ISMS nach ISO 27001 mit angemessenem
Scope.
Zusatzkrit.: Gültiges Zertifikat
Regelbetrieb (OPS) Sicherstellen eines ordnungsgemäßen
Regelbetriebs einschließlich
angemessener Maßnahmen für Planung
und Überwachung der Kapazität,
Schutz vor Schadprogrammen,
Protokollierung und Überwachung von
Ereignissen sowie den Umgang mit
Schwachstellen, Störungen und Fehlern
Basiskrit.: OPS 18/19 Schwachstellen
• Beurteilen des Schweregrads identifizierter
Schwachstellen,
• Priorisieren und Umsetzen von Maßnahmen […]
• Umgang mit Systemen, […] bei denen keine
Maßnahmen […] eingeleitet werden.
• Jährliche Pentests aller relevanten
Systemkomponenten
Zusatzkrit.: Halbjährliche Pentest
Kryptographie und
Schlüsselmanagement
(CRY)
Sicherstellen eines angemessenen und
wirksamen Gebrauchs von Kryptographie
zum Schutz der Vertraulichkeit,
Authentizität oder Integrität von
Information.
Basiskrit.:
• Nutzung starker Verschlüsselungsverfahren und die
Verwendung sicherer Netzprotokolle, die dem Stand
der Technik entsprechen.

… Cloud Security Alliance …

Cloud Security Alliance
• CSA Security Trust Assurance
and Risk (STAR) Registry.
Grundlage:
o Consensus Assessments
Initiative Questionnaire
(CAIQ)
o CSA Cloud Controls Matrix
(CCM)
o Level 1 = Self-Assessment
o Level 2 = „3rd Party Audit“
o Level 3 = KVP.
• CCM & CAIQ sind wieder
Guidelines für „Security of the
Cloud“ https://cloudsecurityalliance.org/research/artifacts/
https://cloudsecurityalliance.org/star/levels/

• Fokus: CSP Sicherheits- und Compliance-Kontrollen: Security of the Cloud
• Consensus Assessments Initiative Questionnaire (CAIQ):
o Eine Reihe von Ja/Nein(N.A.)-Fragen (Self-Assessment).
o 295 Fragen in 16 Domains.
o Fragen viel granularer als bei den CCM, da die Zielgruppe nicht AuditorInnen
sind.
• Cloud Controls Matrix (CCM v 3.0.1):
o 133 Kontrollen in 16 Domains.
o Gleiche Abdeckung wie CAIQ – überlässt die Fragen aber den AuditorInnen.
• Trifft eine Zuordnung der Kontrollen zu mehrere Sicherheits- und Compliance-
Standards. (ISO 27001, 27017, Cobit, ...).
https://cloudsecurityalliance.org/research/artifacts/

Control Domain
Control
ID
Question
ID
Control Specification Consensus Assessment Questions
Consensus Assessment
Answers
Yes No
Not
Applicable
Application &
Interface
Security
Application
Security
AIS-01 AIS-01.1 Applications and
programming interfaces
(APIs) shall be designed,
developed, deployed, and
tested in accordance with
leading industry standards
(e.g., OWASP for web
applications) and adhere to
applicable legal, statutory, or
regulatory compliance
obligations.
Do you use industry standards (Build Security in Maturity Model [BSIMM]
benchmarks, Open Group ACS Trusted Technology Provider Framework,
NIST, etc.) to build in security for your Systems/Software Development
Lifecycle (SDLC)?
Do you use an automated source code analysis tool to detect security
defects in code prior to production?
AIS-01.2 Do you use manual source-code analysis to detect security defects in
code prior to production?
Do you verify that all of your software suppliers adhere to industry
standards for Systems/Software Development Lifecycle (SDLC) security?AIS-01.3
Control Domain
Control
ID
Updated Control Specification
Architectural Relevance
Corp Gov
Relevance
Cloud Service Delivery
Model Applicability
Supplier Relationship
Phys Network Compute Storage App Data SaaS PaaS IaaS
Service
Provider
Tenant /
Consumer
Application &
Interface Security
Application Security
AIS-01 Applications and programming interfaces
(APIs) shall be designed, developed,
deployed, and tested in accordance with
leading industry standards (e.g., OWASP
for web applications) and adhere to
applicable legal, statutory, or regulatory
compliance obligations.
X X X X X X X X
CAIQ
CCM

• Domain CCC: Change Control & Configuration
o Gibt es Kontrollen, um Mindeststandards zu gewährleisten?
• Domain DSI: Data Security & Information Lifecycle Management
o Gibt es die Möglichkeit, virtuelle Maschinen über Policy Tags/Metadaten zu identifizieren (z.B.
können Tags verwendet werden, um VMs davon abzuhalten, in der falschen Geo-Region zu
booten)?
• Domain GRM: Governance and Risk Management
o Einführung eines Information Security Management Program (ISMP) = ISMS
(Risikomanagement, Security Policies, Asset Management, …),
• Domain IAM: Identity & Access Management
o Wird der Zugriff auf IS-Systeme (z.B. Hypervisor, Firewalls, Schwachstellenscanner) beschränkt
und protokolliert?
• Domain STA: Supply Chain Management, Transparency, and Accountability
o Stellen Sie dem Kunden eine Liste aller Subauftragnehmer-Verträge zur Verfügung?
o Wird das Risikomanagement von Dienstleistern überprüft?

… und aus …

Meine 3 Key Take-Aways
1. Scope und Ziel der Zertifizierungen verstehen.
2. Verantwortungsgrenzen kennen.
3. Security in the Cloud Standards bei der
eigenen Cloud Security Policy einfließen lassen.

Günther Roat
SBA Research gGmbH
Floragasse 7, 1040 Vienna
groat@sba-research.org

#bleibdaheim #remotelearning
Coming up @ SBA Live Academy
9.4. , 13.00 Uhr, live:
„The Future of Software Security
– Towards a Mature Lifecycle and
DevSecOps “
by Thomas Konrad
Treten Sie unserer MeetUp Gruppe bei!
https://www.meetup.com/Security-Meetup-by-SBA-
Research/

SBA Live Academy: Cloud Security Zertifizierungen und Gütesiegel by Günther Roat

Recommandé

Recommandé

Contenu connexe

Plus de SBA Research

Plus de SBA Research (19)

SBA Live Academy: Cloud Security Zertifizierungen und Gütesiegel by Günther Roat