Leitfaden zur Risikobewertung für Microsoft Cloud
Das Ziel einer Cloud-Risikobewertung ist es, sicherzustellen, dass das System und die Daten, die in der Cloud vorhanden sind oder für eine Migration in die Cloud in Betracht gezogen werden, keine neuen oder unerkannten Risiken in das Unternehmen einbringen. Der Schwerpunkt liegt darauf, die Vertraulichkeit, Integrität, Verfügbarkeit und den Schutz der Privatsphäre bei der Informationsverarbeitung zu gewährleisten und festgestellte Risiken unterhalb der akzeptierten internen Risikoschwelle zu halten.
In einem Modell der geteilten Verantwortung ist der Cloud Service Provider (CSP) als Anbieter für die Verwaltung der Sicherheit und der Einhaltung der Vorschriften der Cloud verantwortlich. Der Kunde bleibt für die Verwaltung und Konfiguration von Sicherheit und Compliance in der Cloud entsprechend seinen Bedürfnissen und seiner Risikotoleranz verantwortlich.
In diesem Leitfaden werden bewährte Verfahren zur effizienten Bewertung von Anbieterrisiken und zur Nutzung der von Microsoft bereitgestellten Ressourcen und Tools vorgestellt.
Verstehen der gemeinsamen Verantwortung in der Cloud
Cloud-Bereitstellungen können als Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS) kategorisiert werden. Je nach anwendbarem Cloud-Service-Modell verschiebt sich der Grad der Verantwortung für die Sicherheitskontrollen der Lösung zwischen dem CSP und dem Kunden. In einem traditionellen On-Premises-Modell ist der Kunde für den gesamten Stack verantwortlich. Bei der Verlagerung in die Cloud geht die gesamte Verantwortung für die physische Sicherheit auf den CSP über. Je nach Cloud-Service-Modell für Ihr Unternehmen gehen weitere Aufgaben auf den CSP über. Bei den meisten Cloud-Service-Modellen bleibt Ihr Unternehmen jedoch für die Geräte, die für den Zugriff auf die Cloud verwendet werden, für die Netzwerkkonnektivität, Ihre Konten und Identitäten sowie Ihre Daten verantwortlich. Microsoft investiert viel in die Entwicklung von Diensten, die es Kunden ermöglichen, über den gesamten Lebenszyklus hinweg die Kontrolle über ihre Daten zu behalten.
Microsoft Cloud arbeitet in großem Maßstab und stützt sich auf eine Kombination aus DevSecOps und Automatisierung, um Betriebsmodelle zu standardisieren. Das Microsoft-Betriebsmodell verändert die Art und Weise, wie Risiken im Vergleich zu den traditionellen Betriebsmodellen vor Ort angegangen werden, und führt zur Implementierung anderer und manchmal ungewohnter Kontrollen zur Verwaltung von Risiken. Bei der Durchführung Ihrer Cloud-Risikobewertung sollten Sie bedenken, dass das Ziel von Microsoft darin besteht, sicherzustellen, dass alle Risiken berücksichtigt werden, aber nicht unbedingt die gleichen Kontrollen wie in Ihrem Unternehmen zu implementieren. Microsoft kann dieselben Risiken mit einer anderen Reihe von Kontrollen angehen, und das sollte in der Cloud-Risikobewertung berücksichtigt werden. Hinzu kommt, dass einige Risiken in einem herkömmlichen On-Premise-Design in einer Cloud-Umgebung weniger schwerwiegend sind und umgekehrt. Die Entwicklung und Umsetzung wirksamer Präventivkontrollen kann einen Großteil des Aufwands für die Aufdeckungs- und Korrekturkontrollen verringern. Ein Beispiel hierfür ist Microsofts Implementierung von Zero Standing Access (ZSA).
Einen Rahmen festlegen
Microsoft empfiehlt seinen Kunden, ihren internen Risiko- und Kontrollrahmen einem unabhängigen Rahmenwerk zuzuordnen, das Cloud-Risiken auf standardisierte Weise behandelt. Wenn Ihre bestehenden internen Risikobewertungsmodelle den spezifischen Herausforderungen des Cloud Computing nicht gerecht werden, werden Sie von diesen allgemein anerkannten und standardisierten Rahmenwerken profitieren. Ihr interner Kontrollrahmen kann bereits ein Konglomerat aus mehreren standardisierten Rahmenwerken sein; die Zuordnung dieser Kontrollen zu den entsprechenden Rahmenwerken ist bei der Bewertung hilfreich.
Ein weiterer Vorteil ist, dass Microsoft in der Dokumentation und den Tools Zuordnungen zu diesen Frameworks bereitstellt, die Ihre Risikobewertungen beschleunigen. Beispiele für diese Rahmenwerke sind ISO 27001 Informationssicherheitsstandard, CIS Benchmark und NIST SP 800-53. Microsoft bietet das umfassendste Angebot an Compliance-Lösungen aller CSPs. Weitere Informationen finden Sie unter Microsoft Compliance-Angebote.
Verwenden Sie Microsoft Purview Compliance Manager, um Ihre eigenen Bewertungen zu erstellen, die die Einhaltung der für Ihr Unternehmen geltenden branchenspezifischen und regionalen Vorschriften bewerten. Die Bewertungen basieren auf Bewertungsvorlagen, die die erforderlichen Kontrollen, Verbesserungsmaßnahmen und gegebenenfalls Microsoft-Maßnahmen für den Abschluss der Bewertung enthalten. Für die Microsoft-Maßnahmen werden detaillierte Umsetzungspläne und aktuelle Prüfungsergebnisse vorgelegt. Auf diese Weise lässt sich Zeit bei der Suche nach Fakten, bei der Zuordnung und bei der Untersuchung, wie bestimmte Kontrollen von Microsoft implementiert werden, einsparen. Weitere Informationen finden Sie in dem Artikel Microsoft Purview Compliance Manager.
Verstehen Sie, wie Microsoft arbeitet, um Ihre Daten zu schützen
Während der Kunde für die Verwaltung und Konfiguration der Sicherheit und Compliance in der Cloud verantwortlich ist, ist der CSP für die Verwaltung der Sicherheit und Compliance der Cloud zuständig. Eine Möglichkeit, um zu überprüfen, ob der CSP seiner Verantwortung gerecht wird und seine Versprechen einhält, besteht darin, seine externen Auditberichte wie ISO und SOC zu prüfen. Microsoft stellt externe Audit-Berichte für authentifizierte Zielgruppen auf dem Service Trust Portal (STP) zur Verfügung.
Zusätzlich zu den externen Audit-Berichten empfiehlt Microsoft seinen Kunden, die folgenden Ressourcen zu nutzen, um die Arbeitsweise von Microsoft im Detail zu verstehen:
On-Demand-Lernpfad: Microsoft Learn bietet Hunderte von Lernpfaden und Modulen zu verschiedenen Themen. Hier finden Sie unter anderem Erfahren Sie, wie Microsoft Kundendaten schützt, um die grundlegenden Sicherheits- und Datenschutzpraktiken von Microsoft zu verstehen.
Service Assurance on Microsoft Compliance: Die Artikel über die Praktiken von Microsoft sind zur leichteren Überprüfung in 14 Bereiche unterteilt. Jeder Bereich enthält eine Übersicht, in der gängige Risikoszenarien für jeden Bereich behandelt werden. Es werden Prüfungstabellen mit Links zu den neuesten im STP gespeicherten Berichten, zugehörigen Abschnitten und dem Datum, an dem der Prüfungsbericht für Microsoft-Onlinedienste durchgeführt wurde, bereitgestellt. Falls vorhanden, werden Links zu Artefakten angegeben, die die Umsetzung der Kontrollen belegen, z. B. Bewertungen der Schwachstellen durch Dritte und Überprüfungsberichte des Geschäftskontinuitätsplans. Wie die Audit-Berichte werden auch diese Artefakte auf STP gehostet und erfordern eine Authentifizierung für den Zugriff.
| Domäne | Beschreibung |
|---|---|
| Architektur | Das Design der Microsoft Online-Dienste und die Sicherheitsprinzipien, die die Grundlage dafür bilden. |
| Auditprotokollierung und Überwachung | Wie Microsoft Protokolle erfasst, verarbeitet, speichert, schützt und analysiert, um nicht autorisierte Aktivitäten zu erkennen und die Leistung zu überwachen. ermöglichen die Überwachung von Sicherheit und Leistung. |
| Sicherheit von Rechenzentren | Wie Microsoft die Rechenzentren sicher betreibt, die die Mittel für den Betrieb der weltweiten Microsoft-Onlinedienste bereitstellen. |
| Verschlüsselung und Schlüsselverwaltung | Der kryptografische Schutz der Kundenkommunikation und der in der Cloud gespeicherten und verarbeiteten Daten. |
| Governance, Risiko und Compliance | Wie Microsoft die von ihm erstellten Sicherheitsrichtlinien durchsetzt und Risiken verwaltet, um Kundenversprechen und Compliance-Anforderungen zu erfüllen. |
| Identitäts- und Zugriffsverwaltung | Der Schutz von Microsoft Online-Diensten und Kundendaten vor unbefugtem oder bösartigem Zugriff. |
| Verwaltung von Sicherheitsvorfällen | Die Prozesse, die Microsoft zur Vorbereitung, Erkennung, Reaktion und Kommunikation aller Sicherheitsvorfälle einsetzt. |
| Netzwerksicherheit | Wie Microsoft seine Netzwerkgrenzen vor externen Angriffen schützt und sein internes Netzwerk verwaltet, um deren Ausbreitung zu begrenzen. |
| Personalverwaltung | Die Auswahlverfahren, die Schulung und die sichere Verwaltung der Mitarbeiter während ihrer gesamten Zeit bei Microsoft. |
| Datenschutz und Datenverwaltung | Wie Microsoft mit Kundendaten umgeht und sie schützt, um ihre Datenrechte zu wahren. |
| Ausfallsicherheit und Kontinuität | Verfahren und Technologien zur Aufrechterhaltung der Serviceverfügbarkeit und zur Gewährleistung der Geschäftskontinuität und -wiederherstellung. |
| Entwicklung und Verfahren im Sicherheitsbereich | Wie Microsoft sicherstellt, dass seine Dienste während ihres gesamten Lebenszyklus sicher entwickelt, ausgeführt und verwaltet werden. |
| Lieferantenmanagement | Wie Microsoft Drittanbieter, die Microsoft-Onlinedienste unterstützen, überprüft und verwaltet. |
| Bedrohungs- und Sicherheitsrisikoverwaltung | Die Prozesse, die Microsoft verwendet, um nach Sicherheitslücken und Malware zu suchen, diese zu erkennen und zu beheben. |
Compliance Program for Microsoft Cloud (CPMC)
Microsoft ist bestrebt, Informationen wie die Artikel auf dieser Website zu veröffentlichen, um Kunden dabei zu helfen, zu verstehen, wie wir ihre Daten sicher halten und ihre Compliance-Anforderungen erfüllen. Es kann jedoch schwierig sein, den Überblick über die globale Regulierungslandschaft zu behalten, sich in komplizierten Compliance- und Risikoszenarien zurechtzufinden und ein akzeptables Maß an Sicherheit zu erreichen. Um diese Herausforderungen zu bewältigen, hat Microsoft das Compliance Program for Microsoft Cloud (CPMC) ins Leben gerufen. Das CPMC ist ein gebührenpflichtiges Premium-Programm, das individuelle Unterstützung bei der Einhaltung gesetzlicher und branchenspezifischer Vorschriften, Schulungen und Networking-Möglichkeiten bietet. Weitere Informationen über CPMC-spezifische Angebote finden Sie auf der CPMC-Website.