Deep Dive: Compliance in der Cloud
Anforderungen und Best Practices für konsequente Compliance in Ihren Cloud-Umgebungen
Die Cloud bildet heute die Plattform für die große Mehrheit aller Software-Projekte. Dies zeigen etwa auch unsere Untersuchungen im Rahmen des State of Cloud Native Application Security Report, denen zufolge mehr als 78 % der Produktions-Workloads entweder auf Containern oder serverless ausgerollt werden – wobei sich erstere Deployment-Variante für cloudnative Anwendungen der größten Beliebtheit erfreut. Dabei gaben zudem mehr als 50 % der Befragten an, ihre Workloads mit Infrastructure as Code (IaC) zu stützen.
Je weitflächiger Cloud Computing genutzt wird, desto umfangreicher sind die Anforderungen, die es in punkto Compliance zu erfüllen gilt. Der Grund hierfür ist, dass cloudbasierte Software-Entwicklung zwar eine deutlich erhöhte Deployment-Frequenz bei vereinfachtem Management und geringeren Kosten möglich macht, zugleich aber auch mit den äußerst speziellen Herausforderungen einer Bedrohungslandschaft einhergeht, die deutlich komplexer und in ihrer Entwicklung viel dynamischer ist als bei On-Prem-Infrastruktur. Mit ähnlicher Dynamik wächst daher auch der Katalog an Bestimmungen und Regularien im Zusammenhang mit Cloud-Services, für deren Erfüllung ein starker Cloud-Security-Status wichtiger ist als je zuvor.
Was bedeutet Compliance in der Cloud?
Im Kern geht es dabei um die Erfüllung von Compliance-Standards im Zusammenhang mit der Nutzung von Cloud-Services. Je nach Unternehmen sind dabei verschiedene Standards relevant, abhängig von seiner Branche und Region, den Kundentypen, die es bedient, sowie weiteren Faktoren. Neben branchenspezifischen Bestimmungen können dabei auch regionale, nationale oder internationale Gesetzgebungen zum Tragen kommen.
Wie sich Compliance hier optimal erreichen lässt, dafür gibt es eine Reihe branchenweit anerkannter Leitlinien wie die Benchmarks und 18 Critical Security Controls des Center of Internet Security (CIS) oder auch die Cloud Controls Matrix (CCM) der Cloud Security Alliance. Weiter empfiehlt sich in diesem Zusammenhang die Umsetzung von Best Practices für Cloud-Sicherheit wie etwa die Folgenden:
Bestandsaufnahme Ihrer Software-Ressourcen für lückenlose Transparenz der Cloud-Umgebung
Einsatz des Prinzip der „Shared Responsibility“ bzw. geteilten Verantwortung, statt sich in punkto Sicherheit nur auf den Cloud-Provider zu verlassen
Vereinbaren klarer Service Level Agreements (SLAs) mit Ihren Cloud-Providern und Ermittlung, wie diese Ihre Daten im Einzelnen handhaben
Stärken der Sicherheit von Daten durch Verschlüsselung und Umsetzung von Standards zur Datenverarbeitung
Einrichten rollenbasierter Zugriffskontrollen, Multi-Faktor-Authentifizierung sowie weiterer Sicherheitsmaßnahmen für Nutzerkonten
Compliance als Kernprämisse effektiver Cloud-Nutzung
Im allgemeinen Verständnis mag es bei der Erfüllung von Compliance-Vorgaben in erster Linie darum gehen, Strafzahlungen und andere Sanktionen zu vermeiden. Tatsächlich ist das Thema aber gerade auch im Cloud-Kontext noch aus vielerlei anderen Gründen von Bedeutung. Denn hinter den zugehörigen Gesetzen und Bestimmungen steht der Gedanke, die Sicherheit zu stärken und damit das Risiko zu verringern, Opfer von Cyberangriffen zu werden. Hinzu kommt, dass Unternehmenskunden häufig nur mit Geschäftspartnern zusammenarbeiten, die nachweislich im Einklang mit einschlägigen Compliance-Vorgaben operieren – was freilich auch für sämtliche Cloud-Prozesse gilt.
Wichtige Bestimmungen und Branchenstandards
Im Zusammenhang mit der Cloud bestehen diverse gesetzliche und branchenspezifische Bestimmungen und Standards. Nachfolgend eine kurze Aufschlüsselung der im Allgemeinen besonders relevanten:
Schutz der personenbezogenen Daten von Kunden gemäß Health Insurance Portability and Accountability Act (HIPAA) oderDatenschutz-Grundverordnung DSGVO) je nach Branche und Region, in der Sie tätig sind
Sichere Konfigurationen nach den bereits genannten CIS Benchmarks, CIS Controls und der CSA Cloud Controls Matrix (CCM)
Einrichtung spezifischer Sicherheitskontrollen bei Transaktionen mit Dritten, so etwa gemäß dem Payment Card Industry Data Security Standard (PCI DSS) für die Verarbeitung von Kreditkartenzahlungen
Datenschutzmaßnahmen nach ISO 27001
Behebung von Sicherheitsmängeln nach externen oder internen Audits, insbesondere im Zusammenhang mit den Vorgaben von SOC 2
Compliance in der Cloud automatisiert im Dev-Workflow
Snyk vereint automatisierte Compliance-Checks für Ihre Cloud-Infrastruktur mit effizientem Reporting für Leadership und Auditoren.
Gängige Standards für Compliance in der Cloud
Wie bereits erwähnt, bestehen für den Umgang mit Daten in der Cloud verschiedene Standards, nach denen sich Unternehmen zertifizieren lassen können. Zu den wichtigsten gehören dabei die Folgenden:
SOC 2
SOC 2 steht für das Framework der System and Organization Controls, nach denen Unternehmen ihre Maßnahmen zum Schutz von Kundendaten nachweisen können. Im Compliance-Kontext gehört SOC 2 zu den wichtigsten formellen Zertifizierungen, die es anzustreben gilt. Für ihren Erhalt wird ein Audit durchgeführt, in dessen Rahmen 5 Fokusbereiche evaluiert werden:
Sicherheit: Hierbei geht es darum, dass die Verfügbarkeit von Systemen, die Integrität von Prozessen und die Vertraulichkeit von Informationen und Daten stets gewahrt bleiben und adäquat geschützt sind.
Verfügbarkeit: Dies betrifft die Stabilität bzw. Betriebsfähigkeit von Systemen gemäß den etwa im Rahmen eines Service Level Agreement (SLA) vereinbarten Werten.
Prozessintegrität: Geprüft wird hier, ob Systemprozesse wie vorgesehen ausgeführt werden und dabei durchgängig reibungslos und nach autorisierten Prinzipien ablaufen.
Vertraulichkeit: Hierbei werden Maßnahmen für den Schutz von Informationen validiert, die als vertraulich eingestuft sind.
Datenschutz: Dies betrifft die Frage, ob Erfassung, Nutzung, Speicherung, Weitergabe und Löschung von personenbezogenen Informationen im Einklang mit den Datenschutzrichtlinien des Unternehmens sowie externen Standards erfolgen.
Weitere Einzelheiten zu SOC 2-Compliance im Cloud-Kontext haben wir in diesem Artikel für Sie zusammengefasst.
PCI DSS
Im Rahmen des Payment Card Industry Data Security Standard bzw. PCI DSS sind spezielle Maßnahmen zur Vorbeugung von Datendiebstahl, Datenpannen und Betrugsfällen im Zusammenhang mit Kredit- und Debitkartentransaktionen definiert. Die Umsetzung des Standards ist zwar freiwillig, doch definitiv für alle Unternehmen zu empfehlen, die Kredit- oder Debitkartenzahlungen verarbeiten. Denn neben adäquatem Schutz sensibler Transaktionsdaten stärken Sie so auch das Vertrauen Ihrer Kunden.
HIPAA
Der 1996 vom US-Kongress verabschiedete Health Insurance Portability and Accountability Act (HIPAA) sieht vor, dass die Weitergabe gesundheitsbezogener bzw. Patientendaten nicht ohne die Zustimmung oder das Wissen der betroffenen Person erfolgen darf. Für Unternehmen, die in den USA operieren und entsprechende Daten in irgendeiner Weise verarbeiten, ist die Verordnung obligatorisch. Die Ausarbeitung der damit verbundenen Vorgaben obliegt dem US-Gesundheitsministerium.
Weitere Details zu cloudspezifischen Compliance-Standards und -Frameworks finden Sie in diesem Artikel.
Umgang mit Compliance-Fragen abhängig vom Cloud-Provider
AWS, Microsoft Azure und die meisten anderen Public-Cloud-Anbieter implementieren zwar bereits diverse Maßnahmen für die Sicherheit ihrer Services, legen in diesem Zusammenhang aber auch das Modell der bereits genannten „Shared Responsibility“ bzw. geteilten Verantwortung zugrunde. Konzeptionell geht es dabei darum, dass Provider und Kunde in punkto Cloud-Governance gleichermaßen in der Pflicht stehen, wenn es darum geht, den Cloud-Betrieb bestmöglich abzusichern. Dies gilt entsprechend auch für Compliance-Fragen. Wie sich dies bei den größten Cloud-Providern im Einzelnen ausdrückt, haben wir im Folgenden zusammengefasst:
AWS
Bei AWS ist das Modell der geteilten Verantwortung so angelegt, dass der Provider den Schutz der Infrastruktur übernimmt, die sämtlichen in dessen Cloud angebotenen Services zugrunde liegt. Als Infrastruktur gelten dabei die Hard- und Software sowie das Netzwerk und die Einrichtungen, die den Betrieb der Cloud-Services von AWS ermöglichen.
Zugleich unterstützt AWS seine Kunden aber auch anhand einer Reihe nützlicher Tools dabei, ihrerseits ebenfalls ein solides Programm für Cloud-Sicherheit aufzuziehen. Mit AWS Well-Architected steht hierzu etwa ein Tool zur Verfügung, mit dem sich Infrastruktur unter Aspekten wie Operational Excellence, Verlässlichkeit und Nachhaltigkeit einrichten lässt, die sich zu großen Teilen mit den Grundsätzen des SOC 2-Standards decken. Mehr über das Modell der geteilten Verantwortung finden Sie in diesem Artikel.
Google Cloud Platform
Auch bei Google Cloud Platform (GCP) legt man Wert auf die Erfüllung einer Vielzahl von Compliance-Standards. Hierzu zieht der Provider regelmäßig unabhängige Stellen hinzu, um die Kontrollmechanismen innerhalb seiner Angebote gemäß den Vorgaben formeller Zertifizierungen validieren zu lassen. Seinen Kunden wiederum gibt GCP diverse Ressourcen und Dokumentationen an die Hand, die ihnen die Umsetzung ihrer eigenen Anstrengungen rund um Reporting und Compliance erleichtern.
Insbesondere zu nennen ist hierbei mit Cloud Data Loss Prevention ein Service, der Daten dahingehend analysiert, ob sie sensible Informationen enthalten. Dies hilft bei der Klassifizierung und so auch beim Schutz entsprechender Daten.
Microsoft Azure
Nach Angaben von Microsoft auf dieser Website bietet Azure sowohl in der Breite (bzw. dem Gesamtumfang der Angebote) als auch auf in der Tiefe (gemäß Anzahl der kundenorientierten Services) das branchenweit umfangreichste Spektrum an Compliance-Lösungen.
Und tatsächlich ist die Liste der Compliance-Anforderungen, die durch Azure abdeckt werden, enorm umfangreich. Seine Nutzer können zudem auf ihren Azure-Systemen Serviceoptionen wie das Update Management Center aktivieren, mit dem sich Updates und Compliance-Aufgaben effizient und skalierbar im Team koordinieren und verwalten lassen.
Kubernetes
Kubernetes legt seinen Nutzern dringend nahe, sich in punkto Compliance an Best Practices zu orientieren. Kubernetes ist allerdings auch kein Anbieter von Cloud-Services im eigentlichen Sinne, überlässt Aspekte im Zusammenhang mit ihrer Sicherheit daher weitgehend den Nutzern und ihren jeweiligen Providern. Unterstützung bietet Kubernetes jedoch bei der Stärkung der Sicherheit der Infrastruktur, dies in Form von Leitfäden zur Implementierung von Zugriffskontrollen für die Kontrollebene und Nodes, die API des Cloud-Providers sowie den Kubernetes-Datastore etcd.
Best Practices für Compliance in der Cloud
Unabhängig davon, wie viele oder welche Cloud-Plattformen Sie nutzen: Wenn Sie die nachfolgenden Aspekte beachten, können Sie nicht nur Ihre Compliance-Vorhaben, sondern auch Ihren Security-Status insgesamt stärken.
Ermittlung der Cloud-Nutzung
Compliance als fortlaufender Prozess
Iteration Ihrer Compliance-Prozesse
Regelbasierte Umsetzung von Compliance, Security und Datenverarbeitung via Policy as Code
Klarheit über Compliance-Abdeckung von Cloud-Providern
1. Ermittlung der Cloud-Nutzung
Zunächst einmal benötigen Sie ein klares Bild davon, welche Cloud-Umgebungen und -Ressourcen in Ihren Entwicklerteams genutzt werden. Relevant sind hier Details zu Private und Public Clouds ebenso wie ggf. die Zahl und Art der Provider, auf die sie zurückgreifen. Ebenfalls wichtig ist dabei, welche Daten in der Cloud gespeichert sind und wer in Ihrem Unternehmen Zugriff darauf hat.
2. Compliance als fortlaufender Prozess
In punkto Compliance sind kurzfristige Projekthorizonte wenig zielführend. Vielmehr gilt es, das Thema organisch ins Tagesgeschäft einzupassen. Eruieren Sie hierzu, wie genau die für Sie relevanten Kontrollmechanismen und Compliance-Standards in die spezifischen Kontexte der Cloud-Systeme integriert werden müssen. Prozesstechnisch kann sich dies in vereinfachter Form in etwa wie folgt darstellen:
Bestimmen des Status quo
Ermitteln von Abdeckungslücken
Schließen der Abdeckungslücken
Erproben der Ergebnisse und kontinuierliches Monitoring
3. Iteration Ihrer Compliance-Prozesse
Compliance ist zudem kein Thema, das in einem Anlauf erledigt und dann „ad acta“ gelegt werden kann. Denn immer wieder werden neue Typen von Daten in Ihre Systeme einfließen, zugleich werden Ihre Teams konstant neue Umgebungen einrichten. Deshalb muss Compliance routinemäßig und in regelmäßiger Taktung seinen Weg in Ihre Workflows finden.
4. Regelbasierte Umsetzung von Compliance, Security und Datenverarbeitung via Policy as Code
Der einfachste Weg, Compliance-Themen routinemäßig in Ihre Prozesse einzupassen, führt über Policy as Code (PaC) oder Cloud Security Posture Management (CSPM). Denn damit wird das Ganze via Automatisierung umsetzbar, die Erfüllung von Compliance-Vorgaben also bei deutlich weniger Zeit und Arbeitsaufwand möglich. Mittels PaC lassen sich Compliance-Standards als Code abbilden und so verhindern, das Benutzer nicht-konforme Aktionen ausführen. CSPM macht es möglich, die Erkennung und Mitigierung von Security- und Compliance-Risiken über die gesamte Cloud-Infrastruktur hinweg zu automatisieren – von Hybrid- und Multicloud- bis hin zu Container-Umgebungen. Noch mehr über Tools wie diese, die Ihnen die Umsetzung von Compliance in der Cloud erleichtern, finden Sie in diesem Artikel.
5. Klarheit über Compliance-Abdeckung von Cloud-Providern
Wenn Sie die Services eines Branchenprimus wie AWS, GCP oder Azure nutzen, können Sie von Compliance-Abdeckung für die gängigsten Standards ausgehen. Dennoch sollten sie ganz genau eruieren, wie weit dies gemäß SLA geht und ab welchem Punkt Sie in der Pflicht stehen. Verlassen Sie sich also in keinem Fall auf Annahmen. Achten Sie stets darauf, dass auf allen Ebenen entweder Ihre internen Maßnahmen greifen oder Ihr Provider zur Stelle ist.
Compliance in der Cloud aus einem Guss mit Snyk
Snyk IaC gibt Ihnen eine umfassende Engine für Policy as Code an die Hand, die von der Entwicklung Ihrer Infrastruktur bis hin zu ihrem Deployment und Betrieb durchgängig greift. Damit implementieren Sie Kontrollmechanismen, die Sicherheit über alle gängigen Cloud-Provider hinweg sowie durchgängig in ihr cloudbezogenes SDLC durchsetzen – von IaC und Pre-Deployment bis hin zur Live-Umgebung.
Hinzu kommen diverse weitere Features, die Unternehmen die Umsetzung ihrer Compliance-Vorhaben erleichtern. Dazu gehören:
Umfassende Schwachstellen-Scans, nahtlos integriert in IDEs, Repositories und Dev-Workflows
Compliance-Management für Open-Source-Lizenzen für Testings in den Frühphasen des SDLC, Automatisierung von Lizenz-Checks via Pull-Request, Aufschlüsselung der Verkettung von Abhängigkeiten und mehr
Echtzeit-Reporting zum klaren Nachweis von Schwachstellen-Scans und -Fixes für Auditoren und potenzielle Kunden
Kostenlose Vermittlung von Security-Know-how für Dev-Teams anhand speziell auf ihren Fachbereich aufbereiteten Schulungsinhalten
All dies zudem flankiert durch durchgängiges Compliance-Monitoring für interne Policies, rechtliche und behördliche Bestimmungen sowie Reporting zum Status quo und im Zeitverlauf. Dies zudem detailliert und differenziert für alle Teams von Security bis Governance-, Risiko- und Compliance-Management. Im Verbund bilden all diese Features eine Plattform für Developer Security, mit der Sie Ihre Prozesse für Anwendungs- und Cloud-Sicherheit in einem durchgängigen Workflow zusammenführen.
Sie möchten in Aktion erleben, wie Sie Compliance- und Security-Themen mit Snyk out of the box adressieren und dabei stets das Optimum erreichen? Gerne stellen wir Ihnen die Lösung in all ihren Facetten vor – wenden Sie sich einfach hier an uns.
IaC-Sicherheit mit Developer-Mindset
Snyk sichert Infrastructure-as-Code ab, vom SDLC bis zur Runtime in der Cloud. Zentral über eine Engine für Policy as Code, mit der Ihre Teams die Cloud durchgängig sicher machen – von der Entwicklung der Infrastruktur bis hin zu ihrem Deployment und Betrieb.
FAQs zu Compliance in der Cloud
Welche Compliance-Standards sind im Cloud-Kontext zu beachten?
Eine Vielzahl der „klassischen“ Compliance-Vorgaben etwa von SOC 2 und HIPAA, der DSGVO, dem PCI bzw. PCI DSS Standard, NIST 800-53 oder der ISO 27001 Norm sind auch für die Cloud relevant. Denn die Anforderungen dieser Regelwerke betreffen den Sicherheitsstaus eines Unternehmens als Ganzes und somit auch die von ihm genutzten Cloud-Umgebungen.
Dabei gilt zu beachten: Cloud-Provider implementieren bestimmte Maßnahmen zur Erfüllung dieser Standards, nehmen in diesem Zusammenhang jedoch auch ihre Kunden nach dem Modell der „Shared Responsibility“ bzw. geteilten Verantwortung in die Pflicht. Dieses besagt, dass Unternehmen ihrerseits zu einem bestimmten Grad für die Sicherheit der Prozesse innerhalb von ihnen genutzten Cloud-Services zu sorgen haben.
Was genau sind Standards für Cloud-Sicherheit?
Hierbei geht es um Standards, die Unternehmen für sich selbst definieren. Wie diese anzulegen sind, hängt von verschiedensten geschäftlichen Faktoren ab. Als Orientierung können dabei branchenweit anerkannte Standards wie die CIS Benchmarks und CIS Controls des Center of Internet Security oder auch die Cloud Controls Matrix (CCM) der Cloud Security Alliance dienen, nach denen sich Unternehmen ganz allgemein richten können. Empfohlen werden darin so grundlegende Maßnahmen wie die Einrichtung von Zugriffskontrollen, Bestandsaufnahmen zur Cloud-Nutzung, Mechanismen zur Datensicherheit und die Verwaltung von Infrastruktur.
Wie erreichen AWS-Nutzer eine Zertifizierung nach SOC 2?
AWS operiert im Einklang mit den Vorgaben von SOC 2 und dokumentiert dies anhand der zur Erfüllung nötigen Nachweise. Da bei AWS aber das Modell der geteilten Verantwortung gilt, müssen die Nutzer seiner Services ebenfalls den Vorgaben entsprechende Maßnahmen implementieren. So obliegt es dem Kunden, die passenden Policies sowie Sicherheitskontrollen für seine Cloud-Umgebungen einzurichten. Auch muss er den Audit selbst in Auftrag geben, um einen SOC 2 Report Typ-II-Bericht zu erhalten.
Wie erreichen Nutzer von Azure HIPAA-Compliance?
Azure verweist in diesem Zusammenhang auf eine Reihe von etablierten Cloud-Security-Frameworks und -Standards. Zur Umsetzung der Sicherheitsmechanismen, die die gemäß HIPAA auf Daten anzuwenden sind, wird dabei neben dem NIST Cyber Security Framework etwa auch die Cloud Controls Matrix der Cloud Security Alliance empfohlen. Darüber hinaus bietet Microsoft im Rahmen von Business Associate Agreements (BAAs) spezielle Service-Vereinbarungen, die Unternehmen die Erfüllung der HIPAA-Anforderungen erleichtern.