Clouditor

Continuous Cloud Assurance

© Fraunhofer AISEC
Der Clouditor ermöglicht maßgeschneiderte Tests von Diensten und Anwendungen.

Die Nutzung einer Cloud spart Anwendenden Zeit und Geld. Einfach und schnell können mit modernen Cloud-Diensten selbst komplexe Anwendungen umgesetzt werden – ein Weg, den viele innovative Unternehmen wählen, um wettbewerbsfähig und erfolgreich zu bleiben. Doch der Einsatz der Cloud erhöht gleichzeitig die Komplexität: Die Kontrolle über abstrakte Cloud-Ressourcen ist anspruchsvoll und vielschichtig, insbesondere kleine und mittelständische Unternehmen setzten deswegen häufig auf Compliance-Tools, um die Herausforderungen der Cloud zu meistern.

Oft lassen sich wichtige Fragen wie etwa »Ist meine Anwendung in der Cloud gegen Angriffe geschützt?« oder »Verhält sich ein Dienst wie per SLA zugesichert?« nicht eindeutig beantworten. Hier setzt der Clouditor an, ein Assurance-Werkzeug, das Ihren Produkten und Anwendungen automatisiert kritische Fragen stellt und die Antworten darauf genau auswertet. Es führt automatisierte Prüfungen Ihrer Cloud-Dienste durch und speichert und virtualisiert die Ergebnisse, um sie beispielsweise für Zertifizierungsaudits aufzubereiten.

Was ist der Clouditor?


Der Clouditor ist ein Assurance-Werkzeug, das die sichere Konfiguration von Diensten und Anwendungen in der Cloud überprüft: die kontinuierliche Ausführung maßgeschneiderter Checks erlaubt eine hohe Genauigkeit und präzise Aussagen über die erforderlichen Konfigurationen. Die Ergebnisse sind unmittelbar nach Ausführung der Checks verfügbar, was eine prompte Reaktion auf detektierten Abweichungen erlaubt.

Der Clouditor unterstützt aktuell zahlreiche Checks für Amazon Web Services (AWS) und Microsoft Azure. Er basiert auf Security-Best-Practices, also auf Klassifikationen, von Konfigurationskatalogen, die benutzerdefiniert angepasst werden können.

 

Was leistet der Clouditor?

 

Mit dem Clouditor können Sie kontinuierlich prüfen und nachweisen, dass Ihre Cloud-Dienste zugesagte Sicherheits- oder Compliance-Anforderungen erfüllen. Die Anforderungen können aus Katalogen wie z.B. der Cloud Control Matrix (CCM) der Cloud Security Alliance (CSA) oder dem Cloud Computing Compliance Controls Catalogue (C5) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gewonnen werden. Die Informationen des Clouditors ergänzen ISMS-Werkzeuge um anwendungsspezifische Sicherheitsinformationen.

Dies schafft Sicherheit, Vertrauen sowie Transparenz, erhöht die Kundenbindung und minimiert Ihr Geschäftsrisiko. Zudem kann der Aufwand für die Auditvorbereitung signifikant verringert werden – dies gilt insbesondere für Multi-Cloud Systeme. 

Der Clouditor überprüft typische Anforderungen an die Datensicherheit, wie:

  • Sichere Verbindungsverschlüsselung mit TLS nach Stand der Technik
  • Verschlüsselung sensitiver Daten in Cloudspeichern, wie AWS S3 und Azure Storage Accounts
  • Verschlüsselung von Daten in Datenbanken, z.B. Azure SQL
  • Ausschließlich autorisierter Zugriff auf sensible Daten
  • Korrekte Umsetzung von Sicherheitsrichtlinien in AWS S3 Bucket Policies
  • Einhaltung der zugesicherten Verfügbarkeit der Daten
  • Fristgerechte Löschung personenbezogener Daten (Konformität mit Datenschutz-Grundverordnung der EU)

Zudem überprüft der Clouditor Anforderung an den geographischen Ort, wie:

  • Konforme Zuordnung von Cloud-Ressourcen zu Regionen in AWS und Azure
  • Konforme Konfiguration von Geo-Replikationen, z.B. Azure SQL
  • Lokalisierung eines Dienstes, z.B. mittels GeoIP
  • Erkennung der Veränderung einer geographischen Lage mittels Machine Learning

Auch Anforderungen an das Identitäts- und Zugriffsmanagement prüft der Clouditor:

  • Korrekte Umsetzung und Konfiguration von Single-Sign-On-Systemen, z.B. basierend auf OAuth 2.0
  • Sicheres Life-Cycle-Management von Zugriffsberechtigungen, z.B. geeignete Passwortrotation
  • Korrekte Konfiguration der Zugriffskontrolle für netzbasierte Cloud-Ressourcen, z.B. Security Groups, Network ACLs und Firewalls

Was umfasst unser Angebot?

Interessierten Unternehmen bieten wir mehrere Möglichkeiten, mit uns zu kooperieren:

  • Gemeinsame Planung des Einsatzes des Clouditors im Unternehmen
  • Beratung bei der Sicherheitsanalyse des Cloud-Dienstes
  • Gemeinsame Erarbeitung eines umfassenden Sicherheitskonzepts und Beratung bei der Weiterentwicklung bestehender Konzepte

Der Clouditor zeichnet sich im Gegensatz zu herstellergebundenen Compliance-Diensten durch Neutralität und Transparenz aus: auf Open-Source-Basis konzipiert ist der Clouditor ab sofort auch als Community-Edition verfügbar: https://github.com/clouditor  

 

Interessiert? Nehmen Sie Kontakt mit uns auf!

© Fraunhofer AISEC
© Fraunhofer AISEC
© Fraunhofer AISEC
© Fraunhofer AISEC

So funktioniert der Clouditor

 

 

Beschreibungen auf Englisch

Blogartikel zur automatisierten Sicherheitszertifizierung von Cloud-Services

Clouditor Infoflyer

Weitere Clouditor-Projekte

NGCert - Next Generation Certification

 

www.ngcert.eu

Präsentation

Kontinuierliche Sicherheit in der Cloud

Publikationen

  • C. Banse, I. Kunz, N. Haas, and A. Schneider. “A Semantic Evidence-based Approach to Continuous Cloud Service Certification.“ In: Proceedings of the 38th ACM/SIGAPP Symposium on Applied Computing (SAC). March 2023.
  • P. Stephanow, M. Moein and C. Banse. “Continuous Location Validation of Cloud Service Components”. In: Proceedings of the 9th IEEE International Conference on Cloud Computing Technology and Science, CloudCom 2017 (Präsentation).
  • I. Kunz and P. Stephanow. “A process model to support continuous certification of cloud services”. In: 31th International Conference on Advanced Information Networking and Applications (AINA). IEEE, 2017.
  • P. Stephanow and C. Banse. “Evaluating the performance of continuous test-based cloud service certification”. In: 17th International Symposium on Cluster, Cloud and Grid Computing (CCGrid). IEEE, 2017.
  • P. Stephanow and K. Khajehmoogahi. “Towards continuous security certification of Software-as-a-Service applications using web application testing”. In: 31th International Conference on Advanced Information Networking and Applications (AINA). IEEE, 2017.
  • P. Stephanow, G. Srivastava and J. Schütte. “Test-based cloud service certification of opportunistic providers”. In: The 8th IEEE International Conference on Cloud Computing (CLOUD), June 2016.
  • P. Stephanow, C. Banse and J. Schütte. "Generating Threat Profiles for Cloud Service Certification Systems". In: 17th IEEE High Assurance Systems Engineering Symposium (HASE), January 2016.