Neues Zertifikatsprogramm lehrt Cloud-Auditing in einer Multi-Tenant-Architektur

Cyber Security News

Die Niederlassung in Houston, Texas, des Cloud-Service-Anbieters Amazon Web Services (AWS). (Tony Webster aus Minneapolis, Minnesota, Vereinigte Staaten, CC BY 2.0 https://creativecommons.org/licenses/by/2.0, via Wikimedia Commons)

Wenn Sie glauben, dass Sie Ihre Cloud-basierte IT-Infrastruktur auf genau dieselbe Weise prüfen können wie die Sicherheit und den Datenschutz in einem herkömmlichen Netzwerk vor Ort, ist vielleicht ein Realitätscheck fällig.

Auch wenn das Ziel dasselbe ist, handelt es sich doch um einen ganz anderen Prozess, der eine eigene Reihe von Fähigkeiten und Kenntnissen erfordert. Da die Bewegung in Richtung Cloud immer stärker wird, müssen Unternehmen diese Unterschiede schnell erkennen. Und IT-Profis, die zeigen, dass sie sich anpassen können, haben eine große Chance, ihre Karriere voranzutreiben.

Es scheint also ein günstiges Timing zu sein, dass ISACA und die Cloud Security Alliance (CSA) am Montag offiziell den Start ihres neuen Schulungs- und Prüfungsprogramms Certificate of Cloud Auditing Knowledge (CCAK) bekannt gegeben haben.

Die beiden Organisationen bezeichnen es als “die erste Zertifizierung für Branchenexperten, die ihr Fachwissen über die wesentlichen Prinzipien der Prüfung der Sicherheit von Cloud-Computing-Systemen nachweisen können.” Ein Studienleitfaden war bereits letztes Jahr verfügbar, und ab nächster Woche können sich Praktiker für Prüfungen und zweitägige Präsenzschulungen (vorerst nur virtuell) anmelden. Online-Kurse zum Selbststudium werden im April erscheinen, und Fragebänke für Übungszwecke werden im Mai folgen.

Experten im Bereich Cloud, IT-Governance und allgemeiner Cybersicherheit sind der Meinung, dass dieses Zertifikatsprogramm eine bedeutende Ergänzung zum breiten Spektrum der heute verfügbaren Sicherheitstrainingsprogramme darstellt und eine wichtige Lücke im wissensbasierten Trainingsmarkt füllt.

Laut der Februar-2020-Ausgabe des Cloud- und Bedrohungsberichts von Netskope verfügt das durchschnittliche Unternehmen über 2.400 Cloud-Anwendungen – “was den dringenden Bedarf an Fachleuten für Cloud-Sicherheitsaudits unterstreicht”, so Krishna Narayanaswamy, Chief Technology Officer.

Daniele Catteddu, Chief Technology Officer bei der CSA, sagte, die Idee hinter dem CCAK sei es, Sicherheits- und Datenschutzexperten, Beschaffungsspezialisten, Juristen und andere “zu befähigen”, einen Cloud-Service im Laufe der Zeit richtig zu bewerten und zu verstehen – von dem Moment an, in dem Sie die erste Bewertung eines Cloud-Service vornehmen, bevor Sie das Produkt kaufen [through] bis hin zum gesamten Lebenszyklus des Dienstes selbst.”

ISACA hat bereits ein etabliertes Programm für Informationssystem-Auditoren mit dem CISA-Zertifikat, und obwohl es die Cloud abdeckt, ist es nicht der primäre Fokus, bemerkte Donahue. “Da Schätzungen zufolge 70 bis 90+ Prozent der Unternehmen die Cloud nutzen, hörten wir immer häufiger, dass unsere CISAs und andere Mitglieder Zugang zu mehr Programmen wünschten, die sich auf die Cloud konzentrieren”, sagte Shannon Donahue, Vice President of Content Development and Services bei ISACA. “Nicht nur, damit sie neue Fähigkeiten erlernen können, während die Cloud reift, sondern auch, um ihre Fähigkeiten bei Cloud-Audits zu demonstrieren.”

Zu den Themen gehören das Cybersecurity-Framework Cloud Controls Matrix (CCM) der CSA, der Consensus Assessments Initiative Questionnaire (CAIQ), mit dem sich dokumentieren lässt, welche Sicherheitskontrollen in Infrastruktur-, Plattform- und Software-as-a-Service-Angeboten zu finden sind, und das STAR Self-Assessment-Tool, das Anwendern hilft, die Sicherheit ihrer aktuellen oder potenziellen Cloud-Anbieter zu bewerten.

“Das Verständnis der Technologie und der Methodik der Bedrohungsanalyse für die Cloud ist entscheidend”, sagt Jim Reavis, Mitbegründer und CEO der CSA. “Wir wollen Fachleuten die Fähigkeit vermitteln, diese verschiedenen Disziplinen zu beherrschen und die Mechanismen des Einsatzes von CCM und CAIQ in pragmatischen Audit-Szenarien zu verstehen.”

“Sie werden die verschiedenen Cloud-Dienste und Cloud-Typen verstehen und wissen, wie man das Design und die Effektivität der Kontrollen in jeder Situation testet, um sicherzustellen, dass die Daten wie vorgesehen verarbeitet, gespeichert und übertragen werden”, so Donahue.

Laut Narayanaswamy von Netskope müssen Cloud-Audit-Profis neben dem Wissen über Cloud-Kontrollen auch “die Fähigkeit besitzen, kritische Kontrollen zu identifizieren, die für die Vertikale ihres Unternehmens wichtig sind, die Fähigkeit, die von Cloud-Service-Anbietern festgelegten Bedingungen zu verstehen, und die Fähigkeit, Cloud-Kontrollen mit den in den geltenden Compliance-Vorschriften wie PCI, HIPAA, GDPR, CCPA, LGPD usw. festgelegten Anforderungen abzugleichen.”

Tanner, Senior Security Researcher bei Barracuda Networks, stimmte zu, dass es “viele Nuancen speziell bei der Public Cloud gibt, die es zu verstehen gilt”, obwohl er auch der Meinung ist, dass Zertifikatsprogramme darauf achten müssen, nicht zu sehr spezialisiert zu werden. Wichtige Lektionen für ein Trainings- und Wissensprogramm wie dieses seien die “vielen Sicherheitskonfigurationen, die verstanden und richtig genutzt werden müssen, wie z. B. Kontrollgruppen in AWS, sowie “neue Workflows und Tools, die in Cloud-Szenarien verwendet werden – zum Beispiel Kubernetes- und Docker-Bereitstellungsworkflows.”

Der Nachweis, dass man für alle oben genannten Bereiche qualifiziert ist und sich darin auskennt, kann Infosec-Profis helfen, sich zu profilieren und vielleicht sogar einen begehrten Job zu bekommen.

“Der CCAK-Inhaber kann zeigen, dass er über Kenntnisse verfügt, um ein effektiver Auditor zu sein, egal wo Daten gespeichert, verarbeitet oder übertragen werden”, sagt Donahue. “Außerdem können sie Kenntnisse über Cloud-fokussierte Frameworks, Vorschriften und Standards nachweisen.”

“In den letzten Jahren haben wir sogar gesehen, dass traditionelle, gut etablierte Unternehmen verstärkt kundenspezifische Entwicklungen vornehmen, um ihre Geschäftsanforderungen zu erfüllen”, sagt James Pleger, Manager SpecOps bei Sumo Logic. “Viele, wenn nicht sogar die meisten, dieser neuen Projekte werden entweder komplett in der Cloud leben oder in irgendeiner Weise mit ihr interagieren. Mit dieser und ähnlichen Zertifizierungen kann eine Basis an Cloud-Wissen geschaffen werden, die zu qualitativ hochwertigeren Prüfungsergebnissen führen sollte.”

“Diese Zertifizierung ist besonders wertvoll für die Jobfunktion Governance, Risk and Compliance (GRC)”, fügte Narayanaswamy hinzu. “Mit dem Aufkommen von Cloud-Anwendungen und -Services schaffen GRC-Abteilungen von Unternehmen Cloud-Governance-Prozesse, und diese Zertifizierung könnte das Unterscheidungsmerkmal bei einer Einstellungsentscheidung sein.”

Cloud-Auditing vs. traditionelles On-Prem-Auditing

Laut der CSA-Webseite, auf der das CCAK-Programm beschrieben wird, wurden traditionelle IT-Prüfungsausbildungs- und -zertifizierungsprogramme “nicht mit einem Verständnis für Cloud Computing und seine vielen Nuancen entwickelt.” Darüber hinaus “hat eine geprüfte Organisation, die Cloud Computing nutzt, einen ganz anderen Ansatz zur Erfüllung der Kontrollziele” als eine Organisation, die sich auf traditionelle On-Prem-IT-Systeme verlässt, insbesondere in Bezug auf den Administratorzugriff.

“Die Cloud stellt einen Game Changer für IT-Audits dar”, so Reavis – einer, der viele Aspekte des Risikomanagements, der Governance und der Compliance betrifft. Deshalb ist es wichtig zu verstehen, warum spezielle Kenntnisse und Fähigkeiten erforderlich sind.

Einer der Hauptgründe ist, dass Cloud-Services an Drittanbieter ausgelagert werden, die gleichzeitig auch mit anderen Kunden unter Vertrag stehen. Dieses Multi-Tenant-Modell bedeutet, dass Sie nicht einfach hingehen und diese Drittanbieter auf die gleiche Weise bewerten und prüfen können, wie Sie Ihre eigene interne Organisation prüfen würden. Infolgedessen gibt es weniger Kontrolle, was es auch schwieriger macht, einen luftdichten, umfassenden Audit Trail zu erstellen.

Tatsächlich “kann eine traditionelle Audit-Praxis, wie Schwachstellen-Scans oder Penetrationstests, das Risiko bergen, ein Produktionssystem zu beschädigen und wird oft vom Cloud-Service-Provider untersagt”, so Reavis. “Ein weiteres häufiges Szenario ist, dass der Auditor keinen direkten physischen Zugang zu öffentlichen Cloud-Rechenzentren hat.”

Das bedeutet, dass Auditoren sich auf alternative Formen der Beurteilung und Bewertung stützen müssen, einschließlich der Prüfung bestehender Provider-Zertifizierungen und virtualisierter Ausgleichskontrollen”, so Reavis weiter.

Donahue sagte, dass sich die Nutzer von Cloud-Diensten in einigen Fällen auf die SOC2-Zertifizierungsberichte ihres Cloud-Anbieters verlassen müssen, um nachzuweisen, dass sie ihre Daten sicher verwalten. “Ich denke, an diesem Punkt kommt es auf… Vertrauen an”, sagte Donahue, “und das wird durch solide Anbietermanagement-Fähigkeiten, solide Verträge und SLAs [service-level agreements], und dann die Attestierungsberichte.”

Darüber hinaus bedeutet das Hosten von Daten und Diensten eines Drittanbieters, “dass es zusätzliche Bedrohungen gibt, und diejenigen, die die Cloud auditieren, müssen die Bedrohungen verstehen und prüfen, ob die vorhandenen Kontrollen angemessen konzipiert sind und wie beabsichtigt funktionieren, und zwar durchgängig und über einen längeren Zeitraum”, so Donahue. Nicht zu vergessen: “Es wurden neue regulatorische Anforderungen, Frameworks und Standards veröffentlicht, die spezifisch für Cloud Computing sind, so dass sichergestellt werden muss, dass ein Cloud-Auditor die Spezifikationen des Frameworks versteht und weiß, wie die Compliance in der Cloud-Umgebung zu bewerten ist.”

Der Systemzugriff ist nicht der einzige Unterschied. Cloud-basierte Audits können auch Vertrautheit mit bestimmten Technologien erfordern, mit denen Auditoren zuvor nicht gearbeitet haben, insbesondere bei kleineren Organisationen, so Donahue. “Sie müssen virtuelle Server-Images verstehen und all die verschiedenen Dinge, die passieren, je nachdem, ob Sie SaaS oder PaaS verwenden, das ist einfach ein neues Element für sie”, erklärt sie.

“Und dann, wenn wir uns den ausgereifteren Cloud-Ansatz ansehen, sicherlich DevSecOps, Automatisierung und kontinuierliche Compliance, das sind Aspekte, die für viele Mitglieder der Auditing-Community völlig neu sind”, fügte Catteddu hinzu. “Die Idee, dass man es mit Servern oder Diensten zu tun hat, die flüchtig sind, dass sie vielleicht jetzt hier sind, aber nicht in fünf Minuten – [it’s a] eine andere Art und Weise, wie man Beweise sammelt, eine andere Art und Weise, wie man die Effektivität einer Kontrolle innerhalb einer agilen Entwicklung versteht.”

Pleger von Sumo Logic identifizierte eine weitere technologische Herausforderung für Anwenderunternehmen und merkte an, dass Cloud-Umgebungen “sich ständig mit neuen Funktionen weiterentwickeln und die Sicherheitslage schnell ändern können, je nachdem, welche Funktionen genutzt werden.” Aus diesem Grund “denke ich, dass ein Cloud-spezifisches Audit von großem Nutzen sein kann. Allerdings hängt es auch davon ab, dass die Zertifizierung ein aggressiveres, kontinuierliches Lernprogramm hat und sich auf allgemeine Konzepte und Techniken für Audits konzentriert, anstatt auf spezifische Technologien.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com