ACSC: Cloud Computing Security for Cloud Service Providers (Cloud-Computing-Sicherheit für Cloud-Service-Anbieter)

Dieses Dokument soll Sachverständige bei der Beurteilung der Sicherheit von Cloud-Services unterstützen. Ziel ist es, Unternehmen und Organisationen durch eine unabhängige Instanz zu bestätigen, dass Cloud-Service-Anbieter ihre Sicherheitsversprechen tatsächlich einhalten. Das Dokument kann auch den Cloud-Service-Anbietern selbst dabei helfen, ihre Cloud-Services sicher zu machen.

Cybersicherheitsteams, Cloud-Architekten und Managementvertreter in Organisationen und Unternehmen sollten sich am ergänzenden Dokument "Cloud Computing Security for Tenants" (Cloud-Computing-Sicherheit für Mandanten) orientieren.

Laut Definition des US-amerikanischen National Institute of Standards and Technology bietet Cloud-Computing Organisationen und Unternehmen verschiedene potenzielle Vorteile, darunter bessere Geschäftsergebnisse. Für die Minimierung der mit der Nutzung der Cloud-Services verbundenen Risiken sind die Organisationen und Unternehmen (Mandanten) und der Cloud-Service-Anbieter gemeinsam verantwortlich. Die schlussendliche Verantwortung für den Schutz ihrer Daten sowie deren Vertraulichkeit, Integrität und Verfügbarkeit liegt jedoch bei den Organisationen und Unternehmen selbst.

Vor der Nutzung von Cloud-Services müssen Organisationen und Unternehmen eine Risikobewertung durchführen und je nach Ergebnis geeignete Abhilfemaßnahmen ergreifen. Dabei variieren die Risiken. Wichtige Faktoren sind beispielsweise die Sensibilität und Kritikalität der zu speichernden oder zu verarbeitenden Daten, die Implementierungs- und Managementmodalitäten des Cloud-Services, das geplante Verwendungsszenario für den Cloud-Service und die Fähigkeit der Unternehmen und Organisationen, Vorfälle zeitnah zu identifizieren und schnell auf sie zu reagieren. Organisationen müssen diese Risiken gegen die objektiven Risiken einer Verwendung eigener Computersysteme abwägen, die möglicherweise nur unzureichend geschützt oder verfügbar sind oder die aktuellen Geschäftsanforderungen nicht erfüllen können.

Dieses Dokument behandelt Services vom Typ IaaS (Infrastructure as a Service), PaaS (Platform as a Service) und SaaS (Software as a Service), wie sie von Cloud-Service-Anbietern im Rahmen von Public-Cloud- und Community-Cloud-Angeboten sowie (seltener) Hybrid-Cloud- und ausgelagerten Private-Cloud-Angeboten bereitgestellt werden.