Free

CIS-Benchmarks für die Absicherung von Cloud-Infrastrukturen

Compliance ist in der Cloud-Welt bislang noch ein sehr volatiles Betätigungsfeld, allerdings gibt es weltweit immer mehr Initiativen, die sich dieser Thematik annehmen und vorantreiben. Eine dieser Initiativen ist der CIS-Benchmark.

Lesezeit 2 Min.

Dabei handelt es sich um einen der wichtigsten Standards für die Cloud-Sicherheit. Er enthält eine Reihe von Empfehlungen für Konfigurationsgrundlagen und bewährte Sicherheitsverfahren, die vom Center for Internet Security (CIS), einer gemeinnützigen und von der Gemeinschaft getragenen Einrichtung, veröffentlicht wurden. Ziel ist es Organisationen bei der sicheren Konfiguration von Systemen vor sich entwickelnden Sicherheitsbedrohungen zu unterstützen. Der Benchmark deckt mehr als 100 Konfigurationsrichtlinien von mehr als 30 Anbietern ab und ist als Schlüsselkomponente eines umfassenden Cybersicherheitsprogramms für das Unternehmen konzipiert. Zur Verfügung gestellt werden die Benchmarks als PDF, für Mitglieder der CIS SecureSuite sind außerdem CIS WorkBenchs wie Word, Excel, XML und andere verfügbar.

Jede Empfehlung bezieht sich auf die CIS-Controls, eine Reihe prioritärer Maßnahmen zur Eindämmung der häufigsten Cyberangriffe auf Systeme. Die CIS-Controls orientieren sich an vielen etablierten Cybersicherheitsstandards und Regelwerken wie ISO 27000, PCI-DSS, HIPAA und anderen. Die CIS-Community entwickelt die Benchmark für ein bestimmtes System, das vor der Genehmigung zwei Phasen der Konsens-Entscheidungsprüfung durchläuft.

Die CIS-Benchmarks bestehen aus zwei Profilen, die in den Systemen implementiert werden können:

  • Stufe 1 bietet wesentliche sicherheitsorientierte Best Practices, die sich mit minimalen Unterbrechungen oder Auswirkungen auf die Systeme auswirken können.
  • Stufe 2 erweitert das Profil der Stufe 1 um erweiterte Sicherheitsanforderungen für kritische Umgebungen, die sich in gewisser Weise auf das System auswirken können, zum Beispiel in Bezug auf Kosten oder Leistung.

Jeder Richtlinie wird ein Profil zugewiesen, das die Organisationen dann umsetzen können, um ihre individuellen Sicherheitsziele zu erreichen.

Benchmarks oder Hardened Images?

Die CIS hat zahlreiche Benchmarks für Cloud-Anbieter und ihre unterstützenden (Cloud-) Dienste veröffentlicht, zum Beispiel für Amazon Web Services und Microsoft Azure. Organisationen können die CIS-Benchmarks optional implementieren und pflegen, um sichere Basiskonfigurationen für ihre Cloud-Infrastrukturen festzulegen, indem sie geeignete Richtlinien und die Implementierungsprofile entsprechend ihren Anforderungen auswählen. Unternehmen können auch CIS Hardened Images implementieren, sicher konfigurierte virtuelle Maschinen-Images, die auf den CIS-Benchmarks basieren, um sichere, skalierbare On-Demand-Rechenumgebungen in der Cloud-Infrastruktur bereitzustellen. Die Images werden auf den Marktplätzen der Cloud-Anbieter angeboten, auf denen Unternehmen problemlos eine virtuelle Maschine betreiben können, ohne sie für die Einhaltung der Benchmarks zu konfigurieren.

Fazit

Die Einführung von CIS-Benchmarks für Cloud-Infrastrukturen bietet Unternehmen gleich mehrere Vorteile:

  • Es handelt sich dabei um anerkannte Sicherheitsstandards für den Schutz von Systemen vor Cyberangriffen. Die Cloud-Infrastruktur wird durch bewährte Sicherheitspraktiken und sichere Konfigurationsgrundlagen gesichert, die von Experten getestet und geprüft wurden.
  • Durch die Einhaltung können Unternehmen ihre Kunden davon überzeugen, dass ihre Systeme sicher sind, wenn sie ihren Teil des Modells der gemeinsamen Verantwortung mit den Cloud-Anbietern erfüllt haben.
  • Viele der Empfehlungen in den Benchmarks können auf etablierte Cloud-Sicherheitsstandards und bewährte Praktiken auf dem Markt übertragen werden, was den Unternehmen bei Bedarf helfen würde, andere Konformitäten zu erreichen.

Dr. Muhammad Sukmana ist Co-Gründer & CPO bei Mitigant.