Definition

CloudAudit

CloudAudit ist eine Spezifikation für die Präsentation von Informationen darüber, wie ein Anbieter von Cloud-Diensten mit Kontroll-Frameworks umgeht. Ihr Ziel besteht darin, Anbietern von Cloud-Diensten eine Möglichkeit zu geben, Daten zu Performance und Sicherheit potenziellen Kunden leicht verfügbar zu machen. Die Spezifikation definiert eine Standard-Methode für die Präsentation und Weitergabe von detaillierten, automatischen Statistiken über Performance und Sicherheit.

Solche standardisierten Informationen erleichtern Vergleiche zwischen verschiedenen Anbietern, weil weniger Ressourcen für das Auffinden von Dokumentationen und Daten-Analysen aufgewandt werden müssen. Auch die Anbieter von Cloud-Computing sollen davon profitieren. So können die Kosten dafür, auf Compliance-Anfragen eines Interessenten zu antworten, bei großen Anbietern zu vernachlässigen sein; für kleine jedoch können sie sehr belastend wirken. Mit CloudAudit dagegen muss jeder die Informationen nur einmal zur Verfügung stellen und sie nur bei Änderungen aktualisieren.

Der Code-Name bei der Entwicklung von CloudAudit war A6 (Automated Audit, Assessment, and Assurance API). Laut dem Entwurfsdokument der Internet Engineering Task Force (IETF) bietet es „eine gemeinsame Schnittstelle, Namenskonventionen sowie einen Satz an Prozessen und Technologien, die das HTTP-Protokoll nutzen, um Anbietern von Cloud-Diensten die Automation der Sammlung und Bestätigung von Informationen in Bezug auf Betrieb, Sicherheit, Audits, Analysen und Zusicherungen zu ermöglichen“.

Ins Leben gerufen wurde die CloudAudit-Initiative von Christopher Hoff, Leiter des Bereichs Cloud und Virtualisierung bei Cisco Systems Inc. Ebenfalls an dem Projekt beteiligt sind Cloud-Anbieter, Anbieter von Plattformen für Virtualisierung und Clouds, Prüfer und System-Integratoren. Im Oktober 2010 wurde diese branchenübergreifende Initiative zu einem offiziellen Projekt der Cloud Security Alliance (CSA).

CloudAudit wurde im November 2010 als Bestandteil einer kostenlosen Suite mit Werkzeugen für den Bereich Governance, Risk und Compliance (GRC) über die Cloud veröffentlicht. Sie enthält ein Verzeichnis gemeinsamer Namensräume, das als organisiertes Archiv dient. In diese Verzeichnisse können Cloud-Provider beliebige Materialien einstellen (etwa PDF-Dateien, Text-Dokumente oder Links zu Webseiten), um zu zeigen, wie sie mit den Anforderungen in verschiedenen Kontroll-Frameworks umgehen. Der erste Satz an Namensräumen bezieht sich auf Compliance mit dem Schwerpunkt auf PCI-DSS, HIPAA, COBIT, ISO 27002 und NIST 800-53

Diese Definition wurde zuletzt im Juni 2011 aktualisiert

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

ComputerWeekly.de

Close