Deep Dive: Compliance in der Cloud

Die Cloud bildet heute die Plattform für die große Mehrheit aller Software-Projekte. Dies zeigen etwa auch unsere Untersuchungen im Rahmen des State of Cloud Native Application Security Report, denen zufolge mehr als 78 % der Produktions-Workloads entweder auf Containern oder serverless ausgerollt werden – wobei sich erstere Deployment-Variante für cloudnative Anwendungen der größten Beliebtheit erfreut. Dabei gaben zudem mehr als 50 % der Befragten an, ihre Workloads mit Infrastructure as Code (IaC) zu stützen.

Je weitflächiger Cloud Computing genutzt wird, desto umfangreicher sind die Anforderungen, die es in punkto Compliance zu erfüllen gilt. Der Grund hierfür ist, dass cloudbasierte Software-Entwicklung zwar eine deutlich erhöhte Deployment-Frequenz bei vereinfachtem Management und geringeren Kosten möglich macht, zugleich aber auch mit den äußerst speziellen Herausforderungen einer Bedrohungslandschaft einhergeht, die deutlich komplexer und in ihrer Entwicklung viel dynamischer ist als bei On-Prem-Infrastruktur. Mit ähnlicher Dynamik wächst daher auch der Katalog an Bestimmungen und Regularien im Zusammenhang mit Cloud-Services, für deren Erfüllung ein starker Cloud-Security-Status wichtiger ist als je zuvor.

Wie sich Compliance hier optimal erreichen lässt, dafür gibt es eine Reihe branchenweit anerkannter Leitlinien wie die Benchmarks und 18 Critical Security Controls des Center of Internet Security (CIS) oder auch die Cloud Controls Matrix (CCM) der Cloud Security Alliance. Weiter empfiehlt sich in diesem Zusammenhang die Umsetzung von Best Practices für Cloud-Sicherheit wie etwa die Folgenden:

• Bestandsaufnahme Ihrer Software-Ressourcen für lückenlose Transparenz der Cloud-Umgebung

• Einsatz des Prinzip der „Shared Responsibility“ bzw. geteilten Verantwortung, statt sich in punkto Sicherheit nur auf den Cloud-Provider zu verlassen

• Vereinbaren klarer Service Level Agreements (SLAs) mit Ihren Cloud-Providern und Ermittlung, wie diese Ihre Daten im Einzelnen handhaben

• Stärken der Sicherheit von Daten durch Verschlüsselung und Umsetzung von Standards zur Datenverarbeitung

• Einrichten rollenbasierter Zugriffskontrollen, Multi-Faktor-Authentifizierung sowie weiterer Sicherheitsmaßnahmen für Nutzerkonten 

Compliance als Kernprämisse effektiver Cloud-Nutzung

Im allgemeinen Verständnis mag es bei der Erfüllung von Compliance-Vorgaben in erster Linie darum gehen, Strafzahlungen und andere Sanktionen zu vermeiden. Tatsächlich ist das Thema aber gerade auch im Cloud-Kontext noch aus vielerlei anderen Gründen von Bedeutung. Denn hinter den zugehörigen Gesetzen und Bestimmungen steht der Gedanke, die Sicherheit zu stärken und damit das Risiko zu verringern, Opfer von Cyberangriffen zu werden. Hinzu kommt, dass Unternehmenskunden häufig nur mit Geschäftspartnern zusammenarbeiten, die nachweislich im Einklang mit einschlägigen Compliance-Vorgaben operieren – was freilich auch für sämtliche Cloud-Prozesse gilt.

Wichtige Bestimmungen und Branchenstandards

Im Zusammenhang mit der Cloud bestehen diverse gesetzliche und branchenspezifische Bestimmungen und Standards. Nachfolgend eine kurze Aufschlüsselung der im Allgemeinen besonders relevanten:

• Schutz der personenbezogenen Daten von Kunden gemäß Health Insurance Portability and Accountability Act (HIPAA) oderDatenschutz-Grundverordnung DSGVO) je nach Branche und Region, in der Sie tätig sind

• Sichere Konfigurationen nach den bereits genannten CIS Benchmarks, CIS Controls und der CSA Cloud Controls Matrix (CCM)

• Einrichtung spezifischer Sicherheitskontrollen bei Transaktionen mit Dritten, so etwa gemäß dem Payment Card Industry Data Security Standard (PCI DSS) für die Verarbeitung von Kreditkartenzahlungen

• Datenschutzmaßnahmen nach ISO 27001

• Behebung von Sicherheitsmängeln nach externen oder internen Audits, insbesondere im Zusammenhang mit den Vorgaben von SOC 2

Gängige Standards für Compliance in der Cloud

Wie bereits erwähnt, bestehen für den Umgang mit Daten in der Cloud verschiedene Standards, nach denen sich Unternehmen zertifizieren lassen können. Zu den wichtigsten gehören dabei die Folgenden:

SOC 2

SOC 2 steht für das Framework der System and Organization Controls, nach denen Unternehmen ihre Maßnahmen zum Schutz von Kundendaten nachweisen können. Im Compliance-Kontext gehört SOC 2 zu den wichtigsten formellen Zertifizierungen, die es anzustreben gilt. Für ihren Erhalt wird ein Audit durchgeführt, in dessen Rahmen 5 Fokusbereiche evaluiert werden:

1. Sicherheit: Hierbei geht es darum, dass die Verfügbarkeit von Systemen, die Integrität von Prozessen und die Vertraulichkeit von Informationen und Daten stets gewahrt bleiben und adäquat geschützt sind.

2. Verfügbarkeit: Dies betrifft die Stabilität bzw. Betriebsfähigkeit von Systemen gemäß den etwa im Rahmen eines Service Level Agreement (SLA) vereinbarten Werten.

3. Prozessintegrität: Geprüft wird hier, ob Systemprozesse wie vorgesehen ausgeführt werden und dabei durchgängig reibungslos und nach autorisierten Prinzipien ablaufen.

4. Vertraulichkeit: Hierbei werden Maßnahmen für den Schutz von Informationen validiert, die als vertraulich eingestuft sind.

5. Datenschutz: Dies betrifft die Frage, ob Erfassung, Nutzung, Speicherung, Weitergabe und Löschung von personenbezogenen Informationen im Einklang mit den Datenschutzrichtlinien des Unternehmens sowie externen Standards erfolgen.

Weitere Einzelheiten zu SOC 2-Compliance im Cloud-Kontext haben wir in diesem Artikel für Sie zusammengefasst.

PCI DSS

Im Rahmen des Payment Card Industry Data Security Standard bzw. PCI DSS sind spezielle Maßnahmen zur Vorbeugung von Datendiebstahl, Datenpannen und Betrugsfällen im Zusammenhang mit Kredit- und Debitkartentransaktionen definiert. Die Umsetzung des Standards ist zwar freiwillig, doch definitiv für alle Unternehmen zu empfehlen, die Kredit- oder Debitkartenzahlungen verarbeiten. Denn neben adäquatem Schutz sensibler Transaktionsdaten stärken Sie so auch das Vertrauen Ihrer Kunden.

HIPAA

Der 1996 vom US-Kongress verabschiedete Health Insurance Portability and Accountability Act (HIPAA) sieht vor, dass die Weitergabe gesundheitsbezogener bzw. Patientendaten nicht ohne die Zustimmung oder das Wissen der betroffenen Person erfolgen darf. Für Unternehmen, die in den USA operieren und entsprechende Daten in irgendeiner Weise verarbeiten, ist die Verordnung obligatorisch. Die Ausarbeitung der damit verbundenen Vorgaben obliegt dem US-Gesundheitsministerium.

Weitere Details zu cloudspezifischen Compliance-Standards und -Frameworks finden Sie in diesem Artikel.

Umgang mit Compliance-Fragen abhängig vom Cloud-Provider

AWS, Microsoft Azure und die meisten anderen Public-Cloud-Anbieter implementieren zwar bereits diverse Maßnahmen für die Sicherheit ihrer Services, legen in diesem Zusammenhang aber auch das Modell der bereits genannten „Shared Responsibility“ bzw. geteilten Verantwortung zugrunde. Konzeptionell geht es dabei darum, dass Provider und Kunde in punkto Cloud-Governance gleichermaßen in der Pflicht stehen, wenn es darum geht, den Cloud-Betrieb bestmöglich abzusichern. Dies gilt entsprechend auch für Compliance-Fragen. Wie sich dies bei den größten Cloud-Providern im Einzelnen ausdrückt, haben wir im Folgenden zusammengefasst:

AWS

Bei AWS ist das Modell der geteilten Verantwortung so angelegt, dass der Provider den Schutz der Infrastruktur übernimmt, die sämtlichen in dessen Cloud angebotenen Services zugrunde liegt. Als Infrastruktur gelten dabei die Hard- und Software sowie das Netzwerk und die Einrichtungen, die den Betrieb der Cloud-Services von AWS ermöglichen.

Zugleich unterstützt AWS seine Kunden aber auch anhand einer Reihe nützlicher Tools dabei, ihrerseits ebenfalls ein solides Programm für Cloud-Sicherheit aufzuziehen. Mit AWS Well-Architected steht hierzu etwa ein Tool zur Verfügung, mit dem sich Infrastruktur unter Aspekten wie Operational Excellence, Verlässlichkeit und Nachhaltigkeit einrichten lässt, die sich zu großen Teilen mit den Grundsätzen des SOC 2-Standards decken. Mehr über das Modell der geteilten Verantwortung finden Sie in diesem Artikel.

Google Cloud Platform

Auch bei Google Cloud Platform (GCP) legt man Wert auf die Erfüllung einer Vielzahl von Compliance-Standards. Hierzu zieht der Provider regelmäßig unabhängige Stellen hinzu, um die Kontrollmechanismen innerhalb seiner Angebote gemäß den Vorgaben formeller Zertifizierungen validieren zu lassen. Seinen Kunden wiederum gibt GCP diverse Ressourcen und Dokumentationen an die Hand, die ihnen die Umsetzung ihrer eigenen Anstrengungen rund um Reporting und Compliance erleichtern.

Insbesondere zu nennen ist hierbei mit Cloud Data Loss Prevention ein Service, der Daten dahingehend analysiert, ob sie sensible Informationen enthalten. Dies hilft bei der Klassifizierung und so auch beim Schutz entsprechender Daten.

Microsoft Azure

Nach Angaben von Microsoft auf dieser Website bietet Azure sowohl in der Breite (bzw. dem Gesamtumfang der Angebote) als auch auf in der Tiefe (gemäß Anzahl der kundenorientierten Services) das branchenweit umfangreichste Spektrum an Compliance-Lösungen.

Und tatsächlich ist die Liste der Compliance-Anforderungen, die durch Azure abdeckt werden, enorm umfangreich. Seine Nutzer können zudem auf ihren Azure-Systemen Serviceoptionen wie das Update Management Center aktivieren, mit dem sich Updates und Compliance-Aufgaben effizient und skalierbar im Team koordinieren und verwalten lassen.

Kubernetes

Kubernetes legt seinen Nutzern dringend nahe, sich in punkto Compliance an Best Practices zu orientieren. Kubernetes ist allerdings auch kein Anbieter von Cloud-Services im eigentlichen Sinne, überlässt Aspekte im Zusammenhang mit ihrer Sicherheit daher weitgehend den Nutzern und ihren jeweiligen Providern. Unterstützung bietet Kubernetes jedoch bei der Stärkung der Sicherheit der Infrastruktur, dies in Form von Leitfäden zur Implementierung von Zugriffskontrollen für die Kontrollebene und Nodes, die API des Cloud-Providers sowie den Kubernetes-Datastore etcd.

Best Practices für Compliance in der Cloud

Unabhängig davon, wie viele oder welche Cloud-Plattformen Sie nutzen: Wenn Sie die nachfolgenden Aspekte beachten, können Sie nicht nur Ihre Compliance-Vorhaben, sondern auch Ihren Security-Status insgesamt stärken.

1. Ermittlung der Cloud-Nutzung

2. Compliance als fortlaufender Prozess

3. Iteration Ihrer Compliance-Prozesse

4. Regelbasierte Umsetzung von Compliance, Security und Datenverarbeitung via Policy as Code

5. Klarheit über Compliance-Abdeckung von Cloud-Providern
   

1. Ermittlung der Cloud-Nutzung

Zunächst einmal benötigen Sie ein klares Bild davon, welche Cloud-Umgebungen und -Ressourcen in Ihren Entwicklerteams genutzt werden. Relevant sind hier Details zu Private und Public Clouds ebenso wie ggf. die Zahl und Art der Provider, auf die sie zurückgreifen. Ebenfalls wichtig ist dabei, welche Daten in der Cloud gespeichert sind und wer in Ihrem Unternehmen Zugriff darauf hat. 

2. Compliance als fortlaufender Prozess

In punkto Compliance sind kurzfristige Projekthorizonte wenig zielführend. Vielmehr gilt es, das Thema organisch ins Tagesgeschäft einzupassen. Eruieren Sie hierzu, wie genau die für Sie relevanten Kontrollmechanismen und Compliance-Standards in die spezifischen Kontexte der Cloud-Systeme integriert werden müssen. Prozesstechnisch kann sich dies in vereinfachter Form in etwa wie folgt darstellen:

1. Bestimmen des Status quo

2. Ermitteln von Abdeckungslücken

3. Schließen der Abdeckungslücken

4. Erproben der Ergebnisse und kontinuierliches Monitoring

3. Iteration Ihrer Compliance-Prozesse

Compliance ist zudem kein Thema, das in einem Anlauf erledigt und dann „ad acta“ gelegt werden kann. Denn immer wieder werden neue Typen von Daten in Ihre Systeme einfließen, zugleich werden Ihre Teams konstant neue Umgebungen einrichten. Deshalb muss Compliance routinemäßig und in regelmäßiger Taktung seinen Weg in Ihre Workflows finden.

4. Regelbasierte Umsetzung von Compliance, Security und Datenverarbeitung via Policy as Code

Der einfachste Weg, Compliance-Themen routinemäßig in Ihre Prozesse einzupassen, führt über Policy as Code (PaC) oder Cloud Security Posture Management (CSPM). Denn damit wird das Ganze via Automatisierung umsetzbar, die Erfüllung von Compliance-Vorgaben also bei deutlich weniger Zeit und Arbeitsaufwand möglich. Mittels PaC lassen sich Compliance-Standards als Code abbilden und so verhindern, das Benutzer nicht-konforme Aktionen ausführen. CSPM macht es möglich, die Erkennung und Mitigierung von Security- und Compliance-Risiken über die gesamte Cloud-Infrastruktur hinweg zu automatisieren – von Hybrid- und Multicloud- bis hin zu Container-Umgebungen. Noch mehr über Tools wie diese, die Ihnen die Umsetzung von Compliance in der Cloud erleichtern, finden Sie in diesem Artikel.

5. Klarheit über Compliance-Abdeckung von Cloud-Providern

Wenn Sie die Services eines Branchenprimus wie AWS, GCP oder Azure nutzen, können Sie von Compliance-Abdeckung für die gängigsten Standards ausgehen. Dennoch sollten sie ganz genau eruieren, wie weit dies gemäß SLA geht und ab welchem Punkt Sie in der Pflicht stehen. Verlassen Sie sich also in keinem Fall auf Annahmen. Achten Sie stets darauf, dass auf allen Ebenen entweder Ihre internen Maßnahmen greifen oder Ihr Provider zur Stelle ist.

Compliance in der Cloud aus einem Guss mit Snyk

Snyk IaC gibt Ihnen eine umfassende Engine für Policy as Code an die Hand, die von der Entwicklung Ihrer Infrastruktur bis hin zu ihrem Deployment und Betrieb durchgängig greift. Damit implementieren Sie Kontrollmechanismen, die Sicherheit über alle gängigen Cloud-Provider hinweg sowie durchgängig in ihr cloudbezogenes SDLC durchsetzen – von IaC und Pre-Deployment bis hin zur Live-Umgebung.

Hinzu kommen diverse weitere Features, die Unternehmen die Umsetzung ihrer Compliance-Vorhaben erleichtern. Dazu gehören:

• Umfassende Schwachstellen-Scans, nahtlos integriert in IDEs, Repositories und Dev-Workflows

• Compliance-Management für Open-Source-Lizenzen für Testings in den Frühphasen des SDLC, Automatisierung von Lizenz-Checks via Pull-Request, Aufschlüsselung der Verkettung von Abhängigkeiten und mehr

• Echtzeit-Reporting zum klaren Nachweis von Schwachstellen-Scans und -Fixes für Auditoren und potenzielle Kunden

• Kostenlose Vermittlung von Security-Know-how für Dev-Teams anhand speziell auf ihren Fachbereich aufbereiteten Schulungsinhalten

All dies zudem flankiert durch durchgängiges Compliance-Monitoring für interne Policies, rechtliche und behördliche Bestimmungen sowie Reporting zum Status quo und im Zeitverlauf. Dies zudem detailliert und differenziert für alle Teams von Security bis Governance-, Risiko- und Compliance-Management. Im Verbund bilden all diese Features eine Plattform für Developer Security, mit der Sie Ihre Prozesse für Anwendungs- und Cloud-Sicherheit in einem durchgängigen Workflow zusammenführen.

Sie möchten in Aktion erleben, wie Sie Compliance- und Security-Themen mit Snyk out of the box adressieren und dabei stets das Optimum erreichen? Gerne stellen wir Ihnen die Lösung in all ihren Facetten vor – wenden Sie sich einfach hier an uns.

FAQs zu Compliance in der Cloud