The Doppler Quarterly (DEUTSCHE) Sommer 2016 | Page 67
Wir haben die CSA Cloud Controls Matrix den wiederholbaren Architekturen
auf AWS, Azure und Google zugeordnet. Die Bewertung auf Lücken bei Sicher-
heit und Governance bedeutet, dass Sie Ihre Kontrollziele anhand eines
bekannten Standards wie der CSA-Matrix prüfen und die Lücken bei Ihren
Kontrollmechanismen und Technologien anhand anerkannter Best Practices
dokumentieren.
Daraus resultiert letztendlich eine MVC mit einer präskriptiven Sicherheits-
und Governance-Plattform, die den Richtlinien der CSA entspricht. Daraus
ergeben sich wiederum enorme Zeiteinsparungen. Anstatt Ihre sicherheits-
spezifische Referenzarchitektur von Grund auf neu aufzubauen, können Sie
eine Baseline heranziehen und kleinere Änderungen vornehmen, um Ihre spe-
zifischen Anforderungen zu erfüllen.
Neue Kontrolloptionen und Tools
Die meisten Unternehmen sehen ihr Cloud-Programm anfangs als Rechenzen-
trum. Sie erkennen jedoch sehr schnell, dass sie nicht wissen, wie sie ihre
bestehenden Kontrollziele auf das neue Cloud-Modell abbilden sollen. Die
Übernahme vorhandener Tools in die Cloud funktioniert nicht. Rechenzent-
rumsorientierte Tools sind nicht für Public Cloud-Plattformen konzipiert. Aus
unserer Erfahrung heraus müssen neue Tools und Verfahren zur Lösung dieser
Probleme herangezogen werden.
Darüber hinaus gibt es einen zweiten großen Vorteil durch die Nutzung neuer
Tools – sie sind viel billiger als Ihre Rechenzentrumstools!
Punkt 8: Achten Sie auf kontinuierliche Compliance.
Unternehmen verfügen über zahlreiche Kontrollmechanismen, über die die
IT-Umgebung gesteuert wird. Da die meisten Ressourcen hardwarebasiert
sind, erfolgt die Kontrolle in Form von Änderungsmanagement- und operativen
Services. Allerdings ist das neue Cloud-Modell softwarebasiert und wird daher
von Natur aus nicht kontrolliert. Stellen Sie sich vor, Sie stellen von einem auf
Genehmigungen basierenden Einkaufsprozess (Unterschreibung einer Bestel-
lung für neue Hardware) auf ein offenes Kreditkartenkonto um, über das Sie
neue Services ohne Genehmigungen bestellen können.
Das neue nutzungsbasierte Modell erfordert eine neue Governance-Ebene.
Der standardmäßige Änderungsmanagement- und Kontrollansatz funktio-
niert hier nicht. Herkömmliche Änderungskontrollen verlangsamen den Pro-
zess. Sie werden sich also schnell wieder in der gleichen Situation wiederfin-
den, der Sie versucht haben zu entkommen.
Hier hilft nur eine kontinuierliche Compliance (Continuous Compliance) wei-
ter. In diesem Zusammenhang ist Continuous Compli