Beherrschen Sie die Komplexität Ihrer Cloud-Umgebung?

Ist Ihre TLS-Konfiguration auf dem neuesten Stand der Technik?

Verhält sich Ihre Anwendung wie zugesichert?

Ist Ihr Cloud-Service ausreichend gegen Angriffe geschützt?

Clouditor

Continuous Cloud Assurance

© Foto Fraunhofer AISEC

Der Clouditor ermöglicht maßgeschneiderte Tests von Diensten und Anwendungen.

Die Cloud spart Anwendern Zeit und Geld. Einfach und schnell können mit heutigen Cloud-Diensten selbst komplexe Anwendungen realisiert werden - ein Weg, den viele innovative Unternehmen wählen, um so konkurrenzfähig und erfolgreich zu sein. Die erhoffte Ersparnis und Agilität birgt jedoch Herausforderungen. Die Kontrolle abstrakter Cloud-Ressourcen ist anspruchsvoll und vielschichtig. Oft lassen sich wichtige Fragen wie etwa Ist meine Anwendung in der Cloud gegen Angriffe geschützt? oder Verhält sich ein Dienst wie per SLA zugesichert? nicht eindeutig beantworten. Hier setzt der Clouditor an, ein Assurance-Werkzeug, das Ihren Produkten und Anwendungen automatisiert kritische Fragen stellt und die Antworten darauf genau auswertet.

Was ist der Clouditor?


Der Clouditor überprüft Anforderungen an Dienste und Anwendungen, insbesondere in der Cloud: Maßgeschneiderte Tests, die kontinuierlich ausgeführt werden, erlauben hohe Genauigkeit und präzise Aussagen. Die Ergebnisse sind unmittelbar nach Ausführung der Tests verfügbar, was eine prompte Reaktion auf entdeckte Abweichungen erlaubt.

Was leistet der Clouditor?

 

Mit dem Clouditor können Sie kontinuierlich prüfen und nachweisen, dass Ihre Cloud-Dienste zugesagte Sicherheits- oder Compliance-Anforderungen erfüllen. Dies schafft Sicherheit, Vertrauen sowie Transparenz, erhöht die Kundenbindung und minimiert Ihr Geschäftsrisiko. Die Informationen des Clouditors ergänzen ISMS-Werkzeuge um anwendungsspezifische Sicherheitsinformationen.

 

Der Clouditor überprüft typische Anforderungen an die Datensicherheit, wie:

  • Sichere Verbindungsverschlüsselung mit TLS nach Stand der Technik
  • Verschlüsselung sensitiver Daten in Cloudspeichern, wie AWS S3 und Azure Storage Accounts
  • Verschlüsselung von Daten in Datenbanken, z.B. Azure SQL
  • Ausschließlich autorisierter Zugriff auf sensible Daten
  • Korrekte Umsetzung von Sicherheitsrichtlinien in AWS S3 Bucket Policies
  • Einhaltung der zugesicherten Verfügbarkeit der Daten

 

Zudem überprüft der Clouditor Anforderung an den geographischen Ort, wie:

  • Konforme Zuordnung von Cloud-Ressourcen zu Regionen in AWS und Azure
  • Konforme Konfiguration von Geo-Replikationen, z.B. Azure SQL
  • Lokalisierung eines Dienstes, z.B. mittels GeoIP
  • Erkennung der Veränderung einer geographischen Lage mittels Machine Learning

 

Auch Anforderungen an das Identitäts- und Zugriffsmanagement prüft der Clouditor:

  • Korrekte Umsetzung und Konfiguration von Single-Sign-On-Systemen, z.B. basierend auf OAuth 2.0
  • Sicheres Life-Cycle-Management von Zugriffsberechtigungen, z.B. geeignete Passwortrotation
  • Korrekte Konfiguration der Zugriffskontrolle für netzbasierte Cloud-Ressourcen, z.B. Security Groups, Network ACLs und Firewalls

Was ist unser Angebot?

Wir bieten interessierten Unternehmen mehrere Möglichkeiten, mit uns zu kooperieren:

  • Wir planen mit Ihnen gemeinsam den Einsatz des Clouditors in Ihrem Unternehmen
  • Wir beraten Sie bei der Sicherheitsanalyse Ihres Cloud-Dienstes
  • Wir erarbeiten gemeinsam mit Ihnen ein Sicherheitskonzept oder beraten Sie bei der Weiterentwicklung von bestehenden Konzepten

So funktioniert der Clouditor

 

 

Die Beschreibung ist in englischer Sprache gehalten

 

Clouditor Whitepaper

Erfahren Sie, wie Sie als Nutzer oder Betreiber von Cloud-Diensten den Clouditor effektiv einsetzen können, um kontinuierlich Anforderungen an Ihren Cloud-Dienst zu validieren.

Mehr zu den Themen Service & Application Security

 

Clouditor Infoflyer

Weitere Clouditor-Projekte

NGCert - Next Generation Certification

 

www.ngcert.eu