Cloud Security Alliance (CSA) STAR Selbsteinschätzung

Übersicht über die CSA STAR-Selbstbewertung

Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation, der verschiedene Branchenexperten, Unternehmen und andere wichtige Stakeholder angehören. Die Organisation hat es sich zur Aufgabe gemacht, Best-Practice-Lösungen zu definieren, um die Sicherheit der Cloud Computing-Umgebung zu erhöhen und potenziellen Cloudkunden dabei zu helfen, fundierte Entscheidungen bei der Umstellung ihres IT-Betriebs zu treffen.

2010 veröffentlichte die CSA eine Reihe von Tools, um die Vorgänge der Cloudinformationstechnologie zu bewerten: CSA Governance, Risk Management and Compliance (GRC) Stack. Dieses Toolset soll Cloudkunden dabei unterstützen zu bewerten, wie Clouddienstanbieter (CSP) den branchenüblichen bewährten Methoden und Standards folgen und Complianceanforderungen erfüllen.

2013 startete die CSA zusammen mit der British Standards Institution die „Security, Trust & Assurance Registry“, kurz STAR, ein kostenloses, öffentlich zugängliches Verzeichnis, in dem Clouddienstanbieter ihre CSA-bezogenen Bewertungen veröffentlichen.

CSA STAR basiert auf zwei Hauptkomponenten des CSA GRC Stack:

  • Cloud Controls Matrix (CCM): ein Kontrollrahmen, der grundlegende Sicherheitsprinzipien in 16 Bereichen abdeckt, um Cloudkunden bei der Bewertung des Gesamtsicherheitsrisikos eines CSPs zu unterstützen.
  • Consensus Assessments Initiative Questionnaire (CAIQ): ein Satz von über 140 Fragen basierend auf dem CCM, die ein Kunde oder ein Cloudprüfer CSPs stellen kann, um ihre Compliance mit bewährten Methoden der CSA zu bewerten.

STAR umfasst drei Assurance-Stufen; CSA STAR-Selbstbewertung stellt das Einführungsangebot auf Stufe 1 dar, die allen CSPs kostenlos zur Verfügung steht. Stufe 2 des STAR-Programms umfasst bewertungsbasierte Zertifizierungen durch Dritte und Stufe 3 umfasst Zertifizierungen auf der Basis einer kontinuierlichen Überwachung.

Microsoft und die CSA STAR-Selbstbewertung

Im Rahmen der STAR-Selbstbewertung können CSPs zwei verschiedene Dokumenttypen einreichen, um ihre Compliance mit den bewährten Methoden der CSA nachzuweisen: einen beantworteten CAIQ oder einen Bericht, der die CCM-Compliance dokumentiert. Für die CSA STAR-Selbstbewertung veröffentlicht Microsoft sowohl einen CAIQ als auch einen CCM-basierten Bericht für Microsoft Azure sowie CCM-basierte Berichte für Microsoft Dynamics 365 und Microsoft Office 365.

Zu Microsoft gehörende Cloudplattformen und -dienste

Azure, Dynamics 365 und CSA STAR-Selbstbewertung

Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Angebot für Azure CSA STAR-Selbstbewertung.

Office 365 und CSA STAR-Selbstbewertung

Office 365-Cloudumgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365-Cloudumgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Exchange Online, Exchange Online Protection, Office 365-Kundenportal, Office Online, Office-Dienstinfrastruktur, OneDrive for Business, SharePoint Online, Skype for Business

Häufig gestellte Fragen

An welchen Branchenstandards ist die CSA CCM ausgerichtet?

Die CCM entspricht branchenweit anerkannten Sicherheitsstandards, Bestimmungen und Kontrollrahmen wie ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST und vielen weiteren. Eine aktuelle Liste finden Sie auf der CSA-Website.

Warum ist die CSA STAR-Selbstbewertung wichtig?

Sie ermöglicht CSPs, ihre Compliance mit den von der CSA veröffentlichten bewährten Verfahren auf transparente Weise zu dokumentieren. Selbstbewertungsberichte sind öffentlich zugänglich. So erhalten Cloudkunden mehr Transparenz in die Sicherheitsmethoden von CSPs und können verschiedene CSPs auf derselben Grundlage vergleichen.

Welche CSA STAR-Zuverlässigkeitsstufen hat Office 365 erreicht?

  • Stufe 1: CSA STAR-Selbstbewertung: ein ergänzendes Angebot von Clouddienstanbietern, um ihre Sicherheitskontrollen zu dokumentieren und die Kunden beim Bewerten der Sicherheit des Diensts zu unterstützen.

Office 365-Ressourcen