Definition Cloud Security Alliance | CSA Was ist die Cloud Security Alliance (CSA)?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Die Cloud Security Alliance ist eine Non-Profit-Organisation, die sich zum Ziel gesetzt hat, die Sicherheit von Cloud-Technologien, Cloud-Umgebungen und Cloud-Services zu fördern. Sie stellt Best Practices, Whitepapers, Richtlinien und Tools für die Cloud-Sicherheit zur Verfügung, betreibt Forschungsinitiativen, schult und zertifiziert Personen und bietet das CSA STAR Zertifikat für Cloud-Provider an.

Firmen zum Thema

Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation zur Förderung der Cloud-Sicherheit.
Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation zur Förderung der Cloud-Sicherheit.
(Bild: gemeinfrei / Pixabay )

CSA ist die Abkürzung für Cloud Security Alliance. Es handelt sich um eine im Jahr 2008 gegründete gemeinnützige und weltweit tätige Non-Profit-Organisation. Ziel der Organisation ist es, die Sicherheit von Cloud-Technologien, Cloud-Umgebungen und Cloud-Services zu fördern. Die Organisation greift auf das Wissen von Unternehmen, Verbänden und Sicherheitsexperten zu und betreibt eigene Forschungsinitiativen in diversen Working Groups. Unter anderem werden Best Practices und Standards rund um die Sicherheit des Cloud Computings entwickelt, erforscht und der Community zur Verfügung gestellt. Ein weiterer Schwerpunkt sind Schulungen und die Zertifizierung von Personen im Bereich Cloud Security.

Die von der Organisation bereitgestellte Best Practices, Standards, Tools, Richtlinien und Whitepapers helfen, die Sicherheit privater oder öffentlicher Clouds zu prüfen und Cloud-Services abzusichern. Neben Anwendern des Cloud Computings zählen auch Cloud-Anbieter zur Zielgruppe der Organisation. Die CSA unterstützt Provider in der sicheren Ausgestaltung ihrer Dienste und bietet die Möglichkeit eines mehrstufigen CSA STAR (Security, Trust & Assurance Registry) Zertifikats. Grundsätzlich steht die Mitgliedschaft in der Cloud Security Alliance allen Interessierten offen.

Das CSA STAR Zertifikat

Das STAR Zertifikat wurde von der CSA für Anbieter von Cloud-Services entwickelt. Es orientiert sich an von der CSA aufgestellten Richtlinien und Regeln sowie den Sicherheitsstandards der internationalen Norm ISO/IEC 27001. Die Abkürzung STAR bedeutet Security Trust & Assurance Registry. Die Zertifizierung ist in drei Level gegliedert:

  • Level 1: Selbsteinschätzung der Cloud-Sicherheit anhand der CSA-Vorgaben und der Cloud Controls Matrix (CCM) (Self Assessment)
  • Level 2: externe Prüfung der Cloud-Sicherheit (Third-Party Audit)
  • Level 3: Monitoring und kontinuierliche Prüfungen (Continuous Auditing)

CSA Schulungen und Zertifizierungen

Ein weiterer Tätigkeitsschwerpunkt der Organisation ist im Bereich Schulung und Zertifizierung zu finden. Für Personen besteht die Möglichkeit durch Fortbildungen Kenntnisse und Qualifikationen im Themenumfeld Cloud Security zu erwerben und durch Zertifikate wie CCSK (Certificate of Cloud Security Knowledge) oder CCAK (Certificate of Cloud Auditing Knowledge) nachzuweisen.

Die CSA Forschung und Working Groups

Die Cloud Security Alliance betreibt in zahlreichen Working Groups Forschungsarbeit. In diesen Working Groups entwickeln und erarbeiten die Mitglieder Best Practices, Frameworks, Richtlinien und Tools zur Cloud-Sicherheit verschiedener Themenfelder. Die Working Groups arbeiten herstellerneutral und richten sich nach dem CSA Research Lifecycle. Jede Working Group fokussiert sich auf einen bestimmten Aspekt oder ein spezielles Thema der Cloud-Sicherheit. Einige Beispiele für Themenbereiche und aktive Working Groups sind:

  • Threat Intelligence (Cloud Incident Response, Top Threats etc.)
  • Security Services (Cloud Key Management, ERP, SaaS Governance, Software Defined Perimeter etc.)
  • Assessments and Audits (Cloud Controls Matrix, Continuous Audit Metrics etc)
  • Emerging Technology (Artificial Intelligence, High Performance Computing, Internet of Things etc.)
  • Industry Specific (Health Information Management etc.)
  • Privacy (Privacy Level Agreement etc.)
  • Securing DevOps (DevSecOps, Serverless etc.)
  • Architectures and Components (Enterprise Architecture, Hybrid Cloud Security etc.)
  • Security Guidance

(ID:47386148)

Über den Autor