Cloud Security Best Practices Arrow to Content

Cloud security is tegenwoordig geen tegenstrijdigheid meer, maar een zich snel ontwikkelende discipline.

Het meest uitgebreide research programma over cloud security is te vinden bij de Cloud Security Alliance. Vorige week was ik als bestuurslid van de Nederlandse chapter bij het 4de Cloud Security Alliance Congress in Orlando, en de hoeveelheid kennis en top figuren was bijna niet te overzien. Maar laat ik bij de simpele dingen beginnen.

Het basisdocument dat de CSA heeft uitgebracht over cloud security is de “Cloud Security Guidance”, inmiddels in zijn derde versie. Dit document beschrijft in ruim 170 pagina’s niet alleen traditionele infrastructuur security, maar laat zien dat in de cloud ook data security, applicatie security en nieuwe vormen van gebruikers security nodig zijn, en geeft concrete aanbevelingen voor veilig gebruik van cloud computing.

De “Cloud Security Guidance” is gratis te downloaden van de CSA website, en vormt de basis voor de CCSK (Certificate of Cloud Security Knowledge) certificering. Deze certificering is door zelfstudie te verkrijgen, maar er is ook een trainingsprogramma voor, waarin de cursist de concepten ook leert toepassen op een praktische cloud oplossing (zie CCSK cursusbeschrijving http://www.clubcloudcomputing.com/nl/ccsk-certificate-of-cloud-security-knowledge-training/).

De “Guidance” is ook het uitgangspunt voor de CCM (Cloud Control Matrix) die CSA heeft ontwikkeld. De meeste aanbevelingen in de guidance vertalen naar een zogenaamde control in deze CCM. Deze lijst met controls kan tussen cloud provider en cloud consumer worden gebruikt voor risk management en compliance.

Op basis van de CCM is dan weer de “Common Assessment Initiative Questionaire” ontwikkeld. Dat is een soort standaard vragenlijst die providers in kunnen vullen. Er zijn verschillende voorbeelden van providers die dit voor hun diensten hebben gedaan, en de antwoorden hebben gepubliceerd in de STAR (Security, Trust and Assurance Registry). Deze is publiek beschikbaar op https://cloudsecurityalliance.org/star/

De samenhang tussen de CCM en het risk management dat bedrijven zelf kunnen doen is ook onderdeel van de Cloud GRC training (lees meer http://www.clubcloudcomputing.com/nl/cloud-grc-training/).

Via een fors aantal werkgroepen breidt de CSA de verzameling best practices gestaag uit. Denk aan Security as a Service, Mobile en Big Data.

Voor meer informatie over trainingen en andere antwoorden op het gebied van cloud computing, ga naar www.clubcloudcomputing.com

 

Peter van Eijk
 
Artikel met toestemming overgenomen van http://www.clubcloudcomputing.com/nl/2013/12/cloud-security-best-practices/
Page Dividing Line