Verständnis des Prüfungsprozesses

Die Einhaltung der Sicherheitssysteme des Informationssystems ist auf die Fertigstellung von zwei Grundlagenprozessen angewiesen:

Umsetzung und Betrieb von Sicherheitskontrollen

Das Ausrichten des Informationssystems mit den in-scope Standards und Vorschriften beinhaltet interne Aufgaben, die vor einer formalen Bewertung durchgeführt werden müssen. Auditoren können in diesem Staat beteiligt sein, um Lückenanalyse durchzuführen, Anleitung zu geben und die Wahrscheinlichkeit einer erfolgreichen Zertifizierung zu erhöhen.

Unabhängige Überprüfung und Validierung

Demonstration zu einem neutralen Drittanbieter, dass die Systemsicherheitskontrollen in Übereinstimmung mit den Instandhaltungsstandards und -vorschriften wirksam umgesetzt und betrieben werden, bevor viele Informationssysteme einen zertifizierten Status erreichen. Viele Zertifizierungen erfordern regelmäßige Audits, um eine fortgesetzte Zertifizierung zu gewährleisten, die als Teil einer übergreifenden kontinuierlichen Monitoring-Praxis gilt.

Ermittlung des Prüfungsumfangs

Ermittlung des Auditumfangs, speziell welche Kontrollen benötigt werden und wie man eine OpenStack-Implementierung entwirft oder modifiziert, um sie zu befriedigen, sollte der erste Planungsschritt sein.

Beim Scoping von OpenStack-Implementierungen für Compliance-Zwecke, Priorisierung von Kontrollen um sensible Dienste wie Befehls- und Steuerungsfunktionen und die Basis-Virtualisierungstechnologie. Kompromisse dieser Einrichtungen können sich auf eine OpenStack-Umgebung in ihrer Gesamtheit auswirken.

Die Scope-Reduzierung sorgt dafür, dass OpenStack-Architekten qualitativ hochwertige Sicherheitskontrollen einsetzen, die auf einen bestimmten Einsatz zugeschnitten sind. Allerdings ist es wichtig, dass diese Praktiken keine Bereiche oder Funktionen aus der Security Hardening auslassen. Ein gemeinsames Beispiel gilt für PCI-DSS-Richtlinien, bei denen die Zahlungsverkehrsinfrastruktur für Sicherheitsfragen geprüft werden kann, aber unterstützende Dienste ignoriert und anfällig für Angriffe sind.

Bei der Einhaltung der Compliance können Sie die Effizienz steigern und den Arbeitsaufwand reduzieren, indem Sie gemeinsame Bereiche und Kriterien festlegen, die über mehrere Zertifizierungen hinweg gelten. Ein Großteil der in diesem Buch erörterten Prüfungsgrundsätze und -leitlinien wird bei der Ermittlung dieser Kontrollen helfen, zusätzlich eine Reihe von externen Stellen bieten umfassende Listen. Im Folgenden finden Sie einige Beispiele:

Die `Cloud Security Alliance Cloud Controls Matrix<https://cloudsecurityalliance.org/group/cloud-controls-matrix/>`_ (CCM) unterstützt sowohl Cloud-Provider als auch Konsumenten bei der Beurteilung der Gesamtsicherheit eines Cloud-Providers. Das CSA CMM bietet ein Kontroll-Framework, das viele branchenübergreifende Standards und Vorschriften wie ISO 27001/2, ISACA, COBIT, PCI, NIST, Jericho Forum und NERC CIP abbildet.

Der SCAP Sicherheitsleitfaden ist eine weitere nützliche Referenz. Dies ist immer noch eine neue Quelle, aber wir erwarten, dass dies zu einem Werkzeug mit Kontrollmapping wird, das mehr auf die US-Bundesregierung Zertifizierungen und Empfehlungen konzentriert ist. Zum Beispiel hat das SCAP Security Guide derzeit einige Mappings für sicherheitstechnische Implementierungsleitfäden (STIGs) und NIST-800-53.

Diese Control-Mappings werden dazu beitragen, gemeinsame Kontrollkriterien in allen Zertifizierungen zu identifizieren und sowohl Auditoren als auch Geauditierte auf Problembereichen innerhalb von Kontrollsätzen für bestimmte Compliance-Zertifizierungen und Bescheinigungen zugänglich zu machen.

Phasen eines Audits

Ein Audit hat vier verschiedene Phasen, obwohl die meisten Stakeholder und Kontrollbesitzer nur an einem oder zwei teilnehmen werden. Die vier Phasen sind Planung, Feldarbeit, Reporting und Nachbearbeitung. Jede dieser Phasen wird nachfolgend diskutiert.

Die Planungsphase wird typischerweise in zwei Wochen bis sechs Monate durchgeführt, bevor die Feldarbeit beginnt. In dieser Phase werden Auditpositionen wie Zeitrahmen, Zeitleiste, zu bewertende Kontrollen und Kontrollbesitzer diskutiert und finalisiert. Bedenken hinsichtlich Ressourcenverfügbarkeit, Unparteilichkeit und Kosten sind ebenfalls gelöst.

Die Fieldwork-Phase ist der sichtbarste Teil des Audits. Hier sind die Auditoren vor Ort, interviewen die Kontrollbesitzer, dokumentieren die Kontrollen, die vorhanden sind, und die Identifizierung von Problemen. Es ist wichtig zu beachten, dass die Abschlussprüfer ein zweistufiges Verfahren zur Bewertung der vorhandenen Kontrollen verwenden werden. Der erste Teil bewertet die Designwirksamkeit der Kontrolle. Hier wird der Prüfer beurteilen, ob die Kontrolle in der Lage ist, Schwächen und Mängel wirksam zu verhindern oder zu erkennen und zu korrigieren. Eine Kontrolle muss diesen Test in der zweiten Phase auswerten. Dies ist, weil mit einer Kontrolle, die ineffizient konzipiert ist, gibt es keinen Sinn zu prüfen, ob es effektiv funktioniert. Der zweite Teil ist die operative Wirksamkeit. Operative Wirksamkeitsprüfungen bestimmen, wie die Kontrolle angewendet wurde, die Konsistenz, mit der die Kontrolle angewendet wurde und von wem oder durch welche Mittel die Kontrolle angewandt wurde. Eine Kontrolle kann von anderen Kontrollen abhängen (indirekte Kontrollen), und wenn sie dies tun, können zusätzliche Beweise für die operative Wirksamkeit dieser indirekten Kontrollen erforderlich sein, damit der Abschlussprüfer die Gesamtbetriebswirksamkeit der Kontrolle festlegt.

In der Berichtsphase werden alle Themen, die während der Phasework-Phase identifiziert wurden, vom Management validiert. Für logistische Zwecke können während der Fieldwork-Phase einige Aktivitäten wie die Issue Validierung durchgeführt werden. Das Management muss auch Sanierungspläne vorlegen, um die Probleme zu lösen und sicherzustellen, dass sie nicht wieder auftauchen. Ein Entwurf des Gesamtberichts wird zur Überprüfung an die Stakeholder und das Management weitergegeben. Vereinbarte Änderungen werden eingearbeitet und der aktualisierte Entwurf wird an die Geschäftsleitung zur Überprüfung und Genehmigung übermittelt. Sobald das obere Management den Bericht genehmigt, ist er abgeschlossen und an die Geschäftsleitung verteilt. Irgendwelche Ausgaben werden in das Issue Tracking oder den Risiko-Tracking-Mechanismus eingegeben, den die Organisation nutzt.

In der Nachbearbeitungsphase ist das Audit offiziell abgeschlossen. Das Management wird zu diesem Zeitpunkt mit Sanierungsmaßnahmen beginnen. Prozesse und Meldungen werden verwendet, um sicherzustellen, dass alle auditbezogenen Informationen in ein sicheres Repository verschoben werden.

Internes Audit

Sobald eine Cloud eingesetzt wird, ist es Zeit für ein internes Audit. Dies ist die Zeit, um die Steuerelemente, die Sie oben identifiziert haben, mit dem Design, Funktionen und Bereitstellungsstrategien, die in Ihrer Cloud verwendet werden, zu vergleichen. Das Ziel ist zu verstehen, wie jede Kontrolle behandelt wird und wo Lücken vorhanden sind. Dokumentieren Sie alle Ergebnisse für zukünftige Referenz.

Bei der Auditierung einer OpenStack-Cloud ist es wichtig, die in der OpenStack-Architektur enthaltene Multi-Tenant-Umgebung zu verstehen. Einige kritische Bereiche betreffen die Datenentsorgung, die Hypervisor-Sicherheit, die Knotenhärtung und die Authentifizierungsmechanismen.

Vorbereitung auf externes Audit

Sobald die internen Audit-Ergebnisse gut aussehen, ist es Zeit, sich auf ein externes Audit vorzubereiten. Es sind mehrere wichtige Maßnahmen zu diesem Zeitpunkt anzugehen, diese sind unten skizziert:

  • Pflegen Sie gute Aufzeichnungen aus Ihrem internen Audit. Diese werden sich während des externen Audits als nützlich erweisen, so dass Sie bereit sind, Fragen zu beantworten, um die Compliance-Kontrollen einer bestimmten Implementierung zuzuordnen.

  • Bereitstellen automatisierter Test-Tools, um sicherzustellen, dass die Cloud im Laufe der Zeit konform bleibt.

  • Wählen Sie einen Auditor aus.

Die Auswahl eines Auditors kann herausfordernd sein. Im Idealfall suchen Sie jemanden mit Erfahrung in Cloud Compliance Audits. OpenStack Erfahrung ist ein weiteres großes Plus. Oft ist es am besten, mit Leuten zu konsultieren, die diesen Prozess auf Empfehlung durchgemacht haben. Die Kosten können je nach Umfang des Engagements und der betrachteten Prüfungsgesellschaft stark variieren.

Externes Audit

Dies ist der formale Prüfungsprozess. Die Auditoren werden die Sicherheitskontrollen im Rahmen einer bestimmten Zertifizierung prüfen und nachweisen, dass diese Kontrollen auch für das Audit-Fenster vorhanden sind (z.B. SOC 2-Audits bewerten in der Regel Sicherheitskontrollen über einen Zeitraum von 6-12 Monaten). Alle Kontrollfehler werden protokolliert und werden im Abschlussprüfung des Abschlussprüfers dokumentiert. Abhängig von der Art der OpenStack-Bereitstellung können diese Berichte von Kunden eingesehen werden. Daher ist es wichtig, Steuerfehler zu vermeiden. Deshalb ist die Audit-Vorbereitung so wichtig.

Compliance maintenance

Der Prozess endet nicht mit einem externen Audit. Die meisten Zertifizierungen erfordern kontinuierliche Compliance-Aktivitäten, was bedeutet, dass der Auditprozess regelmäßig wiederholt wird. Wir empfehlen die Integration von automatisierten Compliance-Verifikationstools in eine Cloud, um sicherzustellen, dass sie jederzeit kompatibel ist. Dies sollte zusätzlich zu anderen Sicherheitsüberwachungswerkzeugen erfolgen. Denken Sie daran, dass das Ziel sowohl Sicherheit als auch Compliance ist. Das Fehlen auf einer dieser Fronten wird die zukünftigen Audits erheblich erschweren.