Die Cloud Security Alliance (CSA) wird ein eigenes Open Certification Framework veröffentlichen, mit dem Cloud Anbieter flexibel, stufenweise und auf unterschiedlichen Ebenen auf Basis der CSA Richtlinien und Kontrollziele zertifiziert werden sollen.
Die Cloud Security Alliance (CSA), ein nicht kommerzieller Zusammenschluss von Unternehmen, Einzelpersonen, Organisationen und weiteren “Interessenten”, die die sichere Nutzung des Cloud Computing vorantreiben wollen. Im Wesentlichen versucht die CSA einen gesetzlichen Rahmen für eine weltweit anerkannte Zertifizierung zu entwickeln, welcher die eigenen Anforderungen an die Vertrauenswürdigkeit usw. vertritt. Mit anderen Worten soll eine Reihe von Best Practices für die Cloud Sicherheit erstellt werden.
Das Framework wird auf den Kontrollzielen und der Struktur des CSA Governance, Risk and Compliance (GRC) Stack basieren. Der GRC Stack ist ein sich ständig weiterentwickelndes Tool mit dem Cloud Nutzer und Anbieter, sowohl Private als auch Public Clouds mit etablierten und bewährte Vorgehensweisen, Normen und Compliance-Anforderungen vergleichen können. Das Framework wird zudem einen expliziten Leitfaden für die Nutzung des GRC-Stack-Tools zur Zertifizierung mitbringen.
Der GRC-Stack besteht aus den folgenden Einzelteilen:
- CloudAudit: Stellt Cloud Computing Anbietern und Nutzern eine offene und sichere Schnittstelle sowie Methoden zur Verfügung, mit denen sie automatisiert das Audit ihrer Cloud Umgebung vornehmen können.
- Cloud Controls Matrix: Enthält alle grundlegende Richtlinien für die Beurteilung der Sicherheit und das Risiko eines Cloud Anbieters.
- Consensus Assessments Initiative: Ist für die Forschung, Entwicklung neuer Tools und Förderung von Partnerschaften mit der Industrie zuständig, um Cloud Computing Audits zu ermöglichen.
- CloudTrust Protocol: Hiermit können Cloud Nutzer alle Informationen bzgl. der Transparenz eines Angebots anfragen. Die Idee hinter dem Protokol ist nachzuweisen, dass in der Cloud exakt alles genauso geschieht, wie es der Cloud Anbieter nach Außen darstellt.
Die Zertifizierung wird zudem verschiedene Ebenen abbilden, welche die unterschiedlichen Anforderungen an die Vertrauenswürdigkeit und den Reifegrade von verschiedenen Anbietern und Nutzern unterstützt. Die Qualität wird auf unterschiedliche Weise sichergestellt. Vom “CSA Security, Trust, and Assurance Registry (STAR)” Selbsttest bis hin zur kontinuierlichen Überprüfung durch externe Auditor,
Die CSA wird auf dem CSA Congress am 25.September 2012 in Amsterdam weitere Informationen und Partner zu dem Framework bekanntgeben.