ACSC - Cloud Computing Security for Cloud Service Providers (Cloudcomputingbeveiliging voor cloudserviceproviders)

Dit document is bedoeld om beoordelaars te helpen bij het valideren van de beveiligingsnaleving van een cloudservice. Zo krijgen organisaties onafhankelijke zekerheid over beveiligingsclaims van cloudserviceproviders (CSP's). CSP's kunnen dit document ook gebruiken om veilige cloudservices te bieden.

Het cyberbeveiligingsteam, de cloudarchitecten en de vertegenwoordigers van het bedrijf moeten verwijzen naar het bijbehorende document 'Cloud Computing Security for Tenants' (Cloudcomputingbeveiliging voor tenants).

Cloudcomputing, zoals gedefinieerd door het Amerikaanse National Institute of Standards and Technology, biedt organisaties potentiële voordelen zoals verbeterde bedrijfsresultaten. Het beperken van de risico's die gepaard gaan met het gebruik van cloudservices is een verantwoordelijkheid die gedeeld wordt tussen de organisatie (aangeduid als 'tenant') en de cloudserviceprovider, inclusief hun onderaannemers (aangeduid als 'CSP'). Uiteindelijk zijn organisaties verantwoordelijk voor het beschermen van hun gegevens en het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid.

Organisaties moeten een risicobeoordeling uitvoeren en bijbehorende mitigaties implementeren voordat ze cloudservices gebruiken. Risico's variëren afhankelijk van factoren zoals de gevoeligheid en hoe kritiek gegevens zijn die moeten worden opgeslagen of verwerkt, hoe de cloudservice wordt geïmplementeerd en beheerd, hoe de organisatie van plan is de cloudservice te gebruiken en uitdagingen in verband met de organisatie die incidenten tijdig detecteert en erop reageert. Organisaties moeten deze risico's vergelijken met een objectieve risicobeoordeling van het gebruik van interne computersystemen die mogelijk slecht beveiligd zijn, onvoldoende beschikbaarheid hebben of niet in staat zijn om aan moderne bedrijfsvereisten te voldoen.

In dit document komt het volgende aan bod: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS), geleverd door een CSP als onderdeel van een openbare cloud, communitycloud, en in mindere mate, een hybride cloud of uitbestede privécloud.