Details und Kontext für die 14 Cloud-Sicherheitsprinzipien, einschliesslich Zielen und technischer Umsetzung
Die 14 Cloud-Sicherheitsprinzipien
Für jedes der 14 Prinzipien beantworten wir drei Fragen:
- Was ist das Prinzip? Eine Beschreibung, die dem Prinzip einen Kontext gibt.
- Was sind die Ziele des Prinzips? Konkrete zu erreichende Ziele der Umsetzung
- Wie wird das Prinzip umgesetzt? Details zu einer Reihe möglicher Implementierungen
Schutz von Daten beim Transit (1)
Benutzerdaten, die über ein Netzwerk übertragen werden, sollten angemessen vor Manipulationen und Lauschangriffen geschützt werden.
Asset-Schutz und Widerstandsfähigkeit (2)
Benutzerdaten und die Assets, die sie speichern oder verarbeiten, sollten vor physischer Manipulation, Verlust, Beschädigung oder Beschlagnahme geschützt werden.
Trennung zwischen den Benutzern (3)
Ein bösartiger oder kompromittierter Benutzer des Dienstes sollte nicht in der Lage sein, den Dienst oder die Daten eines anderen zu beeinträchtigen.
Governance-Rahmenbedingungen (4)
Der Dienstanbieter sollte über Security Governance-Rahmenbedingungen verfügen, der sein Management des Dienstes und der darin enthaltenen Informationen koordiniert und steuert. Alle technischen Kontrollen, die ausserhalb dieses Rahmens eingesetzt werden, werden grundsätzlich untergraben.
Betriebssicherheit (5)
Der Dienst muss sicher betrieben und verwaltet werden, um Angriffe zu verhindern, zu erkennen oder zu verhindern. Eine gute Betriebssicherheit sollte keine komplexen, bürokratischen, zeitaufwändigen oder teuren Prozesse erfordern.
Personalsicherheit (6)
Wo Mitarbeiter von Dienstleistern Zugang zu Ihren Daten und Systemen haben, benötigen Sie ein hohes Mass an Vertrauen in deren Vertrauenswürdigkeit. Eine gründliche Überprüfung, unterstützt durch eine angemessene Schulung, reduziert die Wahrscheinlichkeit versehentlicher oder böswilliger Kompromittierung durch Personal des Dienstleisters.
Sichere Entwicklung (7)
Dienste sollten so konzipiert und entwickelt werden, dass sie Sicherheitsbedrohungen erkennen und mindern. Sind sie es nicht, können sie anfällig für Sicherheitsprobleme sein, die Ihre Daten gefährden, zum Verlust von Diensten führen oder andere bösartige Aktivitäten ermöglichen.
Lieferkettensicherheit (8)
Der Dienstleister sollte sicherstellen, dass seine Lieferkette alle Sicherheitsgrundsätze, die der Dienstleister angeblich umgesetzt hat, zufriedenstellend unterstützt.
Sichere Benutzerverwaltung (9)
Ihr Provider sollte Ihnen die Tools zur Verfügung stellen, mit denen Sie Ihre Nutzung des Dienstes sicher verwalten können. Managementschnittstellen und -verfahren sind ein wichtiger Bestandteil der Sicherheitsbarriere und verhindern den unbefugten Zugriff und die Veränderung Ihrer Ressourcen, Anwendungen und Daten.
Identität und Authentifizierung (10)
Jeglicher Zugang zu Service-Schnittstellen sollte auf authentifizierte und autorisierte Personen beschränkt sein.
Externer Schnittstellenschutz (11)
Alle externen oder weniger vertrauenswürdigen Schnittstellen des Dienstes sollten identifiziert und angemessen verteidigt werden.
Sichere Service-Verwaltung (12)
Systeme, die für die Verwaltung eines Cloud-Dienstes verwendet werden, haben privilegierten Zugriff auf diesen Dienst. Ihre Kompromittierung hätte erhebliche Auswirkungen, einschliesslich der Möglichkeit der Umgehung von Sicherheitskontrollen und des Diebstahls oder der Manipulation grosser Datenmengen.
Audit-Informationen für Benutzer (13)
Sie sollten die Auditprotokolle erhalten, die für die Überwachung des Zugangs zu Ihrem Dienst und der darin gespeicherten Daten erforderlich sind. Die Art der Ihnen zur Verfügung stehenden Auditinformationen hat direkte Auswirkungen auf Ihre Fähigkeit, unangemessene oder bösartige Aktivitäten innert angemessener Fristen zu erkennen und darauf zu reagieren.
Sichere Nutzung des Dienstes (14)
Die Sicherheit von Cloud-Diensten und der darin enthaltenen Daten kann beeinträchtigt werden, wenn Sie den Dienst schlecht nutzen. Daher haben Sie bei der Nutzung des Dienstes bestimmte Verantwortlichkeiten, damit Ihre Daten angemessen geschützt sind.
www.ncsc.gov.uk
http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/
17.11.2018