TechTarget
Definition

Cloud Audit

Paul Kirvan
von

Ein Cloud-Audit ist eine regelmäßige Untersuchung, die ein Unternehmen durchführt, um die Leistung seines Cloud-Anbieters zu bewerten und zu dokumentieren. Das Ziel eines solchen Audits ist, zu sehen, wie gut ein Cloud-Anbieter die vereinbarten Leistungen erfüllt.

Die Cloud Security Alliance (CSA) bietet Audit-Dokumente, Anleitungen und Kontrollen mit denen IT-Organisationen ihre Cloud-Anbieter überprüfen. Externe Auditoren nutzen oft ebenfalls die Materialien der CSA. Sie gelten als das primäre Audit-Tool zum Durchführen und Optimieren eines umfassenden Cloud Audits.

Der Begriff CloudAudit bezieht sich auf eine Spezifikation, welche die CSA im Jahr 2019 entwickelt hat, um auszudrücken, wie ein Cloud-Service-Anbieter bestimmte Vorgaben erfüllt. Das Ziel von CloudAudit war es, Anbietern von Cloud-Diensten eine Möglichkeit zu bieten, ihre Leistungs- und Sicherheitsdaten potenziellen Kunden leicht zugänglich zu machen.

Wie führen Sie ein Cloud-Audit durch?

Ein Audit einer Cloud-Umgebung funktioniert ähnlich wie jedes IT-Audit. Beide untersuchen eine Vielzahl von Betriebs-, Verwaltungs-, Sicherheits- und Leistungskontrollen. Cloud-Audit-Kontrollen ähneln auch IT-Audit-Kontrollen, konzentrieren sich jedoch auf die Nuancen von Cloud-Umgebungen.

In der Regel nutzen Cloud-Kunden On-Demand-Ressourcen wie Software as a Service (SaaS) und Platform as a Service (PaaS). Mit einem Audit stellen sie sicher, ob diese Services die Anforderungen erfüllen, insbesondere solche, die Sicherheitsrichtlinien und Risikomanagement betreffen. Sie beweisen, ob der Cloud-Anbieter Best Practices anwendet, angemessene Standards einhält und bestimmte Benchmarks beim Bereitstellen seiner Dienste erfüllt.

Sieben SChritte, die für ein CLoud-Audit notwendig sind
Abbildung 1: Durchlaufen Sie diese sieben Schritte, um ein Cloud Audit erfolgreich durchzuführen.

Führen Sie für ein Cloud-Audit die folgenden grundlegenden Schritte aus:

  • Sammeln Sie relevante Dokumente und andere Beweise, wie zum Beispiel Screenshots.
  • Fragen Sie Ihre Ansprechpartner beim Cloud-Anbieter, wie dieser arbeitet und seine Dienste bereitstellt. CSA hat Cloud-Audit-Fragen und Checklisten, die sowohl für externe als auch für interne Auditoren nützlich sein können. CSA ist eine Partnerschaft mit ISACA eingegangen, um zu definieren, was relevantes Cloud-Audit-Wissen ausmacht, und um Akkreditierungsressourcen für Cloud-Audit-Experten bereitzustellen.
  • Analyse. Prüfen Sie, wie gut die Prozesse des Anbieters mit den CSA- und ISACA-Kontrollen übereinstimmen.
  • Akkumulation. Kombinieren Sie die Analyse mit den Beweisen aus der Dokumentation und Interviews in Arbeitspapieren, um einen Überblick zu erhalten und die Gesamtsituation sinnvoll einzuschätzen.
  • Schlussbericht. Reichen Sie einen Schlussbericht beim Management ein, üblicherweise im Rahmen eines formellen Audit Briefings.
  • Konsequenzen. Das Management zieht die Konsequenzen aus dem Audit und kann beispielsweise beim Anbieter eine Beschwerde einreichen.

Anmeldeinformationen für Cloud-Audit-Experten

Die CSA und ISACA bieten gemeinsam die folgenden Cloud-Audit-Zertifikate an:

  • Certificate of Cloud Security Knowledge ist eine Wissenssammlung in Bereichen der Cloud-Technologie, einschließlich Cloud-Verarbeitung und -Sicherheit. Es ist ein erster Schritt zur Vorbereitung auf die Companion Certification in Cloud Auditing Knowledge.
  • Das Certificate of Cloud Auditing Knowledge schult Kandidaten in der Prüfung von Cloud-Plattformen und -Sicherheit.

Beide Zertifikate ergänzen die ISACA-Zeugnisse. Sie belegen das Wissen eines Prüfers über Cloud-Infrastruktur und -Systeme, Sicherheit und Schwachstellen und zeigen, dass der Prüfer weiß, wie man ein Cloud-Audit durchführt.

Diese Definition wurde zuletzt im Februar 2022 aktualisiert

Erfahren Sie mehr über Cloud Computing

ComputerWeekly.de
Close