SBA Live Academy: Cloud Security Zertifizierungen und Gütesiegel by Günther Roat

1. Classification: Public 1 Willkommen zur SBA Live Academy #bleibdaheim # remotelearning Heute: Cloud-Security-Zertifizierungen Günther Roat This talk will be recorded as soon as the presentation starts! Recording will end BEFORE the Q&A Session starts. Please be sure to turn off your video in your control panel.

2. Classification: Public 2 Cloud-Security-Zertifizierungen SBA Research gGmbH, 2020

3. Classification: Public 3 Cloud-Zertifizierungen Vorwort Was will diese Session? ✓ Einen Überblick der gängigsten Zertifizierungen zum Thema InfoSec in der Cloud geben. ✓ Deren Ausrichtung/Scope darstellen. ✓ Kurz ausgewählte Inhalte beschreiben. ✓ Impulse geben, wo man sich „bedienen“ kann, wenn man z.B. Cloud-Security-Richtlinien formulieren will. SBA Research gGmbH, 2020

4. Classification: Public 4 Cloud-Zertifizierungen Ausgewählte Standards und Gütesiegel auf einer Slide • Zertifizierbare Informationssicherheitsmanagementsysteme + „Cloud Module“ o ISO/IEC 27001 - Informationssicherheitsmanagementsystem (hier leider nicht im Detail) o + ISO/IEC 27017 - Leitfaden f. Informationssicherheitsmaßnahmen für Cloud Services o + ISO/IEC 27018 - Datenschutz in Public Cloud Services o BSI Grundschutzkompendium (ISO 27001) + OPS.2.2 Cloud-Nutzung • Zertifikate für Cloud Service Provider (CSP) o BSI C5: Anforderungskatalog Cloud Computing (InfoSec-Kriterien) o Cloud Security Alliance (CSA): Security, Trust & Assurance Registry (STAR) - www.cloudsecurityalliance.org/star • Wirtschaftsprüfungen: ISAE 3402 – Wirksamkeit des IKS bei Dienstleistern • … und auch personenbezogene Zertifikate (CSA CCSK, ISC² CCSP) SBA Research gGmbH, 2020

5. Classification: Public 5 Cloud-Zertifizierungen Typen SBA Research gGmbH, 2020 1st Party Audit •Prüfung mit eigenen Ressourcen oder mit externer Beratung, die in Auftrag des geprüften Unternehmens handelt. •Beispiel: BSI C5, CSA STAR Stufe 1 2nd Party Audit •Prüfung durch eine Person oder Organisation, die ein Interesse an dem Dienstleister hat. •Beispiel: Supply Chain Audits 3rd Party Audit •Unabhängige externe Stelle, die zur Durchführung einer Prüfung Auditoren in die Organisation entsendet. •Beispiel: ISO 27001, EuroPriSe

6. Classification: Public 6 Cloud-Zertifizierungen Shared Responsibility • Cloud Service Provider (CSP) gewährleistet die Erfüllung der Anforderungen bis zu einer (hoffentlich) definierten Verantwortungsgrenze. • Der Kunde muss eigene Maßnahmen innerhalb der eigenen Verwendung von Cloud Services umsetzen: SBA Research gGmbH, 2020 Verantwortung SaaS PaaS IaaS Information & Data Accounts & Identities Directories & Authentication Applikationen Operating System Netzwerksicherheit Physische Hosts & Datacenter Kunde CSP • Standards, die Kontrollen des Cloud- Anbieters im Fokus haben = Security of the Cloud. • Standards, die Kontrollen des Cloud- Benutzers im Fokus = Security in Cloud.

7. Classification: Public 7 … die ISO 27001, 27017, 27018… SBA Research gGmbH, 2020

8. Classification: Public 8 • ISO27001, 27017, 27018 sind keine Produktzertifizierung! (wäre Common Criteria) • Zertifikat durch akkreditierte Stelle bestätigt ein funktionierendes InfoSec-Mgmt System. • ISO/IEC 27017 kann mit einer ISO 27001 Zertifizierung verbunden werden: o Ist entlang der ISO 27002 Kapiteln strukturiert und referenziert auf diese. o Cloud-spezifische (neue) Maßnahmen (Annex A) müssen in die Anwendbarkeitserklärung (SOA) der ISO 27001 integriert werden. o Gewohnter Takt: jährliche Überwachungsaudits -> alle 3 Jahre Re-Zertifizierung. • Maßnahmen sind aufgeteilt für CSPs und Kunden: o Type1 Control: getrennt für Service Provider & Customer. o Type 2 Control: gilt für beide Rollen gleichermaßen. CSP and Customer should agree upon the procedure to respond to digital evidence requests etc. (SLA-Thema) SBA Research gGmbH, 2020 ISO 27017:2015 Code of practice for information security controls based on ISO 27002 for cloud services

9. Classification: Public 9 ISO 27017:2015 Code of practice for information security controls based on ISO 27002 for cloud services • Bei 114 Sicherheitsmaßnahmen (ISO 27002) gibt es nur bei ca. 40 Anmerkungen zu Cloud – und die auch nicht für beide Parteien. o Der Rest: „Control xyz and the associated implementation guidance and other information specified in ISO/IEC 27002 apply.” • Hier hauptsächlich Anforderungen an CSPs, Informationen an Kunden weiterzugeben: o Changemgmt (Wartungsfenster und neue Features), Mgmt of Secrets, Backups, Reporting bei Incidents, Implementierung und Prüfung von Security-Maßnahmen. SBA Research gGmbH, 2020

10. Classification: Public 10 Mehr findet man im Annex A (SOA relevant): • Removal of cloud service customer assets o Dokumentierte Vorgehensweise & Nachweise • Segregation in virtual computing environments o Trennung der Mandanten & der internen Admin-Umgebung • Virtual machine hardening o Nur benötigte Dienste, Ports, Protokolle o AV & Logging-Anforderungen • Administrator's operational security • Monitoring of Cloud Services o Angriffe auf und von Mandanten erkennen und DLP • Alignment of security management for virtual and physical networks o Sicherheitsanforderungen an virtuelle und physische Netze SBA Research gGmbH, 2020 ISO 27017:2015 Code of practice for information security controls based on ISO 27002 for cloud services

11. Classification: Public 11 ISO 27018:2019 Code of practice for protection of PII in public clouds acting as PII processors • Wie bei ISO 27017 bleiben viele 27002 Maßnahmen unverändert. • In Kombination mit ISO 27001 zertifizierbar wie 27017 = SOA um Annex A erweitern (Beispiele): o Zweckbindung bei der Verarbeitung von personenbezogenen Daten. o Rückgabe, Übermittlung und Vernichtung von personenbezogenen Daten muss geregelt sein. o Verletzung der Datensicherheit ist mit Folgeabschätzung zu dokumentieren und dem Kunden unverzüglich zu melden (Meldepflicht der Kunden selbst zu bedenken). o Die Weitergabe von Daten an Strafverfolgungsbehörden darf nur bei rechtlicher Anweisung erfolgen. Kunde muss informiert werden, außer wenn es rechtlich untersagt ist (Strafverfolgung). o … SBA Research gGmbH, 2020

12. Classification: Public 12 … Bundesamt für Sicherheit in der Informationstechnik … SBA Research gGmbH, 2020

13. Classification: Public 13 BSI Grundschutzkompendium mit Cloud-Nutzung https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_2_2_Cloud-Nutzung.html • Seit 2018: Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz durch einen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditierten Auditor. • Wird durch ein Audit beim Cloud-Kunden geprüft! • Grundschutzkatalog besteht aus „Bausteinen“: o ISMS: Sicherheitsmanagement, ORP: Organisation und Personal, CON: Konzeption und Vorgehensweisen, OPS: Betrieb, u.s.w. • OPS.2.2 Cloud-Nutzung beschreibt Anforderungen, durch die sich Cloud-Dienste sicher nutzen lassen. SBA Research gGmbH, 2020

14. Classification: Public 14 https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_2_2_Cloud-Nutzung.html OPS.2.2 Cloud-Nutzung - grobe Struktur: • Kapitel 2: Gefährdungslage • Kapitel 3: Basisanforderungen, Standardanforderungen, Anforderungen bei erhöhtem Schutzbedarf. • Basisanforderungen sind MUSS Kriterien. Basisanforderungen – MUSS-Kriterien! • Cloud-Nutzungs-Strategie & Sicherheitsrichtlinie für die Cloud-Nutzung. • Service-Definition für Cloud-Dienste durch den Anwender. • Festlegung von Verantwortungsbereichen und Schnittstellen. SBA Research gGmbH, 2020 BSI Grundschutzkompendium mit Cloud-Nutzung

15. Classification: Public 15 https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_2_2_Cloud-Nutzung.html Standardanforderung – Soll-Kriterien. • Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung. • Planung der sicheren Migration & sicheren Einbindung zu einem Cloud-Dienst. • Erstellung eines Notfallkonzeptes für einen Cloud-Dienst. • Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungsbetrieb. • Geordnete Beendigung eines Cloud-Nutzungs-Verhältnisses. Anforderungen bei erhöhtem Schutzbedarf – Soll-Kriterien • Portabilität von Cloud-Diensten. o Anforderungen definieren, die es ermöglichen, einen CSP zu wechseln oder den Cloud-Dienst bzw. die Daten in die eigene IT-Infrastruktur zurückzuholen. SBA Research gGmbH, 2020 BSI Grundschutzkompendium mit Cloud-Nutzung

16. Classification: Public 16 Anforderungen bei erhöhtem Schutzbedarf (Soll-Kriterien) • Einsatz von Verschlüsselung bei Cloud-Nutzung. o Schlüsselmanagement und Verschlüsselungsmechanismen definieren. • Einsatz von Verbunddiensten o Fokus: Federation Services o Sicherstellen, dass in einem SAML-Ticket (Security Assertion Markup Language) nur die erforderlichen Informationen an den CSPs übertragen werden. o Die Berechtigungen sollten regelmäßig überprüft werden, sodass nur berechtigten Benutzern ein SAML-Ticket ausgestellt wird. • Durchführung eigener Datensicherungen. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_2_2_Cloud-Nutzung.html SBA Research gGmbH, 2020 BSI Grundschutzkompendium mit Cloud-Nutzung

17. Classification: Public 17 BSI Anforderungskatalog Cloud Computing (C5) • Cloud Computing Compliance Controls Catalogue (C5):2020 o 125 Maßnahmen in 17 Domains (geht auf 117 Seiten ins Detail): • C5 wird durch ein Audit beim Cloud-Anbieter geprüft (nach ISAE 3000 Standard): o SOC 1-Bericht über die Angemessenheit der Kontrollen/Maßnahmen, o … gefolgt von einem SOC 2-Bericht über die Wirksamkeit der Kontrollen. • Basis- (muss jeder CSP haben) und Zusatzkriterien (bei erhöhtem Schutzbedarf). o Auch Kriterien für Kunden – soll potenzielle Mitwirkungspflicht aufzeigen. • Diese Testierung steht jedoch unter keinerlei Aufsicht durch das BSI, sondern wird durch einen WirtschaftsprüferInnen/InfoSec AuditorInnen vergeben. SBA Research gGmbH, 2020 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020.html

18. Classification: Public 18 BSI Anforderungskatalog Cloud Computing (C5) SBA Research gGmbH, 2020 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020.html Bereich und Kennung Ziel Beispiele Organisation der Informationssicherheit (OIS) Planung, Umsetzung, Aufrechterhaltung und KVP. Basiskrit.: ISMS nach ISO 27001 mit angemessenem Scope. Zusatzkrit.: Gültiges Zertifikat Regelbetrieb (OPS) Sicherstellen eines ordnungsgemäßen Regelbetriebs einschließlich angemessener Maßnahmen für Planung und Überwachung der Kapazität, Schutz vor Schadprogrammen, Protokollierung und Überwachung von Ereignissen sowie den Umgang mit Schwachstellen, Störungen und Fehlern Basiskrit.: OPS 18/19 Schwachstellen • Beurteilen des Schweregrads identifizierter Schwachstellen, • Priorisieren und Umsetzen von Maßnahmen […] • Umgang mit Systemen, […] bei denen keine Maßnahmen […] eingeleitet werden. • Jährliche Pentests aller relevanten Systemkomponenten Zusatzkrit.: Halbjährliche Pentest Kryptographie und Schlüsselmanagement (CRY) Sicherstellen eines angemessenen und wirksamen Gebrauchs von Kryptographie zum Schutz der Vertraulichkeit, Authentizität oder Integrität von Information. Basiskrit.: • Nutzung starker Verschlüsselungsverfahren und die Verwendung sicherer Netzprotokolle, die dem Stand der Technik entsprechen.

19. Classification: Public 19 … Cloud Security Alliance … SBA Research gGmbH, 2020

20. Classification: Public 20 Cloud Security Alliance • CSA Security Trust Assurance and Risk (STAR) Registry. Grundlage: o Consensus Assessments Initiative Questionnaire (CAIQ) o CSA Cloud Controls Matrix (CCM) o Level 1 = Self-Assessment o Level 2 = „3rd Party Audit“ o Level 3 = KVP. • CCM & CAIQ sind wieder Guidelines für „Security of the Cloud“ https://cloudsecurityalliance.org/research/artifacts/ https://cloudsecurityalliance.org/star/levels/ SBA Research gGmbH, 2020

21. Classification: Public 21 • Fokus: CSP Sicherheits- und Compliance-Kontrollen: Security of the Cloud • Consensus Assessments Initiative Questionnaire (CAIQ): o Eine Reihe von Ja/Nein(N.A.)-Fragen (Self-Assessment). o 295 Fragen in 16 Domains. o Fragen viel granularer als bei den CCM, da die Zielgruppe nicht AuditorInnen sind. • Cloud Controls Matrix (CCM v 3.0.1): o 133 Kontrollen in 16 Domains. o Gleiche Abdeckung wie CAIQ – überlässt die Fragen aber den AuditorInnen. • Trifft eine Zuordnung der Kontrollen zu mehrere Sicherheits- und Compliance- Standards. (ISO 27001, 27017, Cobit, ...). https://cloudsecurityalliance.org/research/artifacts/ https://cloudsecurityalliance.org/star/levels/ SBA Research gGmbH, 2020 Cloud Security Alliance

22. Classification: Public 22 https://cloudsecurityalliance.org/research/artifacts/ https://cloudsecurityalliance.org/star/levels/ Control Domain Control ID Question ID Control Specification Consensus Assessment Questions Consensus Assessment Answers Yes No Not Applicable Application & Interface Security Application Security AIS-01 AIS-01.1 Applications and programming interfaces (APIs) shall be designed, developed, deployed, and tested in accordance with leading industry standards (e.g., OWASP for web applications) and adhere to applicable legal, statutory, or regulatory compliance obligations. Do you use industry standards (Build Security in Maturity Model [BSIMM] benchmarks, Open Group ACS Trusted Technology Provider Framework, NIST, etc.) to build in security for your Systems/Software Development Lifecycle (SDLC)? Do you use an automated source code analysis tool to detect security defects in code prior to production? AIS-01.2 Do you use manual source-code analysis to detect security defects in code prior to production? Do you verify that all of your software suppliers adhere to industry standards for Systems/Software Development Lifecycle (SDLC) security?AIS-01.3 Control Domain Control ID Updated Control Specification Architectural Relevance Corp Gov Relevance Cloud Service Delivery Model Applicability Supplier Relationship Phys Network Compute Storage App Data SaaS PaaS IaaS Service Provider Tenant / Consumer Application & Interface Security Application Security AIS-01 Applications and programming interfaces (APIs) shall be designed, developed, deployed, and tested in accordance with leading industry standards (e.g., OWASP for web applications) and adhere to applicable legal, statutory, or regulatory compliance obligations. X X X X X X X X CAIQ CCM SBA Research gGmbH, 2020 Cloud Security Alliance

23. Classification: Public 23 • Domain CCC: Change Control & Configuration o Gibt es Kontrollen, um Mindeststandards zu gewährleisten? • Domain DSI: Data Security & Information Lifecycle Management o Gibt es die Möglichkeit, virtuelle Maschinen über Policy Tags/Metadaten zu identifizieren (z.B. können Tags verwendet werden, um VMs davon abzuhalten, in der falschen Geo-Region zu booten)? • Domain GRM: Governance and Risk Management o Einführung eines Information Security Management Program (ISMP) = ISMS (Risikomanagement, Security Policies, Asset Management, …), • Domain IAM: Identity & Access Management o Wird der Zugriff auf IS-Systeme (z.B. Hypervisor, Firewalls, Schwachstellenscanner) beschränkt und protokolliert? • Domain STA: Supply Chain Management, Transparency, and Accountability o Stellen Sie dem Kunden eine Liste aller Subauftragnehmer-Verträge zur Verfügung? o Wird das Risikomanagement von Dienstleistern überprüft? https://cloudsecurityalliance.org/research/artifacts/ https://cloudsecurityalliance.org/star/levels/ SBA Research gGmbH, 2020 Cloud Security Alliance

24. Classification: Public 24 … und aus … SBA Research gGmbH, 2020

25. Classification: Public 25 Meine 3 Key Take-Aways 1. Scope und Ziel der Zertifizierungen verstehen. 2. Verantwortungsgrenzen kennen. 3. Security in the Cloud Standards bei der eigenen Cloud Security Policy einfließen lassen. SBA Research gGmbH, 2020

26. Classification: Public 26 Günther Roat SBA Research gGmbH Floragasse 7, 1040 Vienna groat@sba-research.org SBA Research gGmbH, 2020

28. Classification: Public 28 #bleibdaheim #remotelearning Coming up @ SBA Live Academy 9.4. , 13.00 Uhr, live: „The Future of Software Security – Towards a Mature Lifecycle and DevSecOps “ by Thomas Konrad Treten Sie unserer MeetUp Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA- Research/