Was leistet der Clouditor?
Mit dem Clouditor können Sie kontinuierlich prüfen und nachweisen, dass Ihre Cloud-Dienste zugesagte Sicherheits- oder Compliance-Anforderungen erfüllen. Die Anforderungen können aus Katalogen wie z.B. der Cloud Control Matrix (CCM) der Cloud Security Alliance (CSA) oder dem Cloud Computing Compliance Controls Catalogue (C5) des Bundesamtes für Sicherheit in der Informatiostechnik (BSI) gewonnen werden. Dies schafft Sicherheit, Vertrauen sowie Transparenz, erhöht die Kundenbindung und minimiert Ihr Geschäftsrisiko. Die Informationen des Clouditors ergänzen ISMS-Werkzeuge um anwendungsspezifische Sicherheitsinformationen.
Der Clouditor überprüft typische Anforderungen an die Datensicherheit, wie:
- Sichere Verbindungsverschlüsselung mit TLS nach Stand der Technik
- Verschlüsselung sensitiver Daten in Cloudspeichern, wie AWS S3 und Azure Storage Accounts
- Verschlüsselung von Daten in Datenbanken, z.B. Azure SQL
- Ausschließlich autorisierter Zugriff auf sensible Daten
- Korrekte Umsetzung von Sicherheitsrichtlinien in AWS S3 Bucket Policies
- Einhaltung der zugesicherten Verfügbarkeit der Daten
- Fristgerechte Löschung personenbezogener Daten (Konformität mit Datenschutz-Grundverordnung der EU)
Zudem überprüft der Clouditor Anforderung an den geographischen Ort, wie:
- Konforme Zuordnung von Cloud-Ressourcen zu Regionen in AWS und Azure
- Konforme Konfiguration von Geo-Replikationen, z.B. Azure SQL
- Lokalisierung eines Dienstes, z.B. mittels GeoIP
- Erkennung der Veränderung einer geographischen Lage mittels Machine Learning
Auch Anforderungen an das Identitäts- und Zugriffsmanagement prüft der Clouditor:
- Korrekte Umsetzung und Konfiguration von Single-Sign-On-Systemen, z.B. basierend auf OAuth 2.0
- Sicheres Life-Cycle-Management von Zugriffsberechtigungen, z.B. geeignete Passwortrotation
- Korrekte Konfiguration der Zugriffskontrolle für netzbasierte Cloud-Ressourcen, z.B. Security Groups, Network ACLs und Firewalls