Unsere Vision
Bei Cloud-Diensten geben wir die Verantwortung teilweise an unseren vertrauenswürdigen Cloud-Anbieter ab. Das Vertrauen in unseren Cloud-Provider gewinnen wir durch Sorgfalt. Wir sorgen für eine sichere Nutzung der Cloud durch Kenntnis der eigenen Verantwortlichkeiten und konsequente Validierung.
Verantwortlichkeiten des Cloud-Kunden
Sicherheit in der Cloud
Der Begriff "Sicherheit in der Cloud" wurde von Amazon geprägt und bezieht sich auf die Sicherheitskontrollen und -prozesse, für die wir als Kunden des Cloud-Services verantwortlich sind. Der Cloud-Provider gibt dem Kunden einen mächtigen Werkzeugkasten an die Hand, mit dem er die Cloud-Landschaft ausbauen kann. Es liegt an den Kunden, sicherzustellen, dass die richtigen Prozesse und Konfigurationen vorhanden sind, um den Business-Service zu sichern. Je nach Art des Cloud-Services sind die Verantwortlichkeiten sehr unterschiedlich. Ein Infrastructure-as-a-Service-Provider (IaaS - z. B. EC2 auf AWS) überlässt die Verantwortung für einen großen Teil des Stacks dem Cloud-Kunden, während bei einem Software-as-a-Service (SaaS - z. B. SAP Concur, SAP SuccessFactors, SAP Ariba usw.) ein großer Teil des Stacks vom Cloud-Provider verwaltet wird.
Unsere Leistung
Unabhängig von der Art des Cloud-Services unterstützen wir unsere Kunden bei der Bewertung der Sicherheit ihrer Cloud-Tenants. Wir sind spezialisiert auf die SaaS- und PaaS-Dienste von SAP wie SAP HANA Enterprise Cloud (HEC), S4 Cloud, SAP SuccessFactors, SAP Concur, SAP Fieldglass, SAP Ariba, aber auch auf die großen Hyperscaler-Dienstleister wie Amazon AWS, Microsoft Azure und Google Cloud. Wir benchmarken und bewerten die Tenant-Konfiguration unserer Kunden. Wir validieren relevante Kundenprozesse und überprüfen die Integration zwischen Cloud und On-Premise.
Verantwortlichkeiten des Cloud-Anbieters
Sicherheit der Cloud - Verantwortung des Cloud-Anbieters
Der Begriff "Sicherheit der Cloud" wurde ursprünglich von Amazon geprägt und zielt auf die Sicherheitslage des Cloud-Anbieters und aller Dienste und Infrastrukturen ab, die für die Bereitstellung des Cloud-Dienstes für den Kunden erforderlich sind. Die Sicherheit der Cloud-Plattform, des Betriebs und der Entwicklung liegt nicht in der Kontrolle des Kunden.
Unsere Leistung
Wir helfen unseren Kunden bei der Durchführung einer Due Diligence, um sicherzustellen, dass der ausgewählte Cloud-Service die Anforderungen an das Unternehmen erfüllt. Idealerweise geschieht dies im Rahmen der Pre-Sales-Aktivitäten und auf laufender, regelmäßiger Basis. Einige der zahlreichen Fragen, die beantwortet werden müssen, sind:
Erfüllt der Cloud-Anbieter die regulatorischen Anforderungen, die für mein Unternehmen gelten?
Erfüllt das Cloud-Angebot meine Anforderungen an die Datenresidenz?
Tut der Cloud-Anbieter alles, um sicherzustellen, dass Entwicklung und Betrieb der Cloud-Plattform sicher sind?
Sind kundenorientierte Penetrationstest-Berichte verfügbar?
Gibt es einen Prozess zur Reaktion auf Sicherheitsvorfälle?
Wie sehen die Reaktions- und Lösungszeit-SLAs für die Behebung von Problemen aus?
Erfüllt der Cloud-Anbieter meine Anforderungen an die Sicherheitsüberwachung?
Können Kunden Log-Daten sammeln und wie granular sind die gesammelten Log-Daten?
Kann ich die Lösung in meine bestehende SOC/SIEM-Infrastruktur integrieren?
Nützliche Links
Es gibt etablierte Frameworks, die detaillierte Anleitungen liefern und die Erwartungen an einen sicheren Cloud-Provider festlegen, wie z. B.:
Cloud Security Alliance - https://cloudsecurityalliance.org/