Cloud Security Alliance: O que é e o que fazem?

A Cloud Security Alliance (CSA) é uma organização sem fins lucrativos dedicada a promover práticas recomendadas de segurança e privacidade na computação em nuvem. Ela foi formada em 2008 por um grupo de especialistas do setor e, desde então, cresceu e se tornou uma das principais organizações do mundo em segurança na nuvem.

A CSA oferece educação e orientação para ajudar as organizações a transferir com segurança seus dados e aplicativos para a nuvem. Ela também oferece vários programas de certificação para provedores de serviços em nuvem e profissionais de segurança em nuvem. Algumas das principais áreas de foco da CSA incluem segurança de dados, gerenciamento de identidade e acesso, conformidade e gerenciamento de riscos.

Cloud Control Matrix (CCM)

A CSA Cloud Controls Matrix (CCM) é uma estrutura de controle de segurança cibernética para computação em nuvem. Trata-se de uma planilha que lista 16 domínios que abrangem todos os principais aspectos da tecnologia de nuvem. Cada domínio é dividido em 133 objetivos de controle. Ela pode ser usada como uma ferramenta para avaliar sistematicamente a implementação da nuvem, fornecendo orientação sobre quais controles de segurança devem ser implementados por qual ator dentro da cadeia de suprimentos da nuvem. A estrutura de controles está alinhada com o Guia de Segurança v4 e atualmente é considerada um padrão de fato para a garantia e a conformidade da segurança da nuvem.

Mapeamento de padrões, regulamentações e estruturas de controle:

Os controles do CCM são mapeados em relação aos padrões de segurança, normas e estruturas de controle aceitos pelo setor.

Atualmente, o CCM v4 é mapeado com:

  • ISO/IEC 27001/27002/27017/27018
  • CCM V3.0.1
  • Controles CIS V8.

Mapeamentos adicionais para AICPA TSC, PCI-DSS e NIST 8-53 Rev.5 estão em desenvolvimento e outros mapeamentos novos também serão adicionados no futuro.

A versão anterior do CCM v3.0.1 é mapeada para os seguintes padrões:

  • ISO 27001/27002/27017/27018
  • NIST SP 800-53
  • AICPA TSC
  • BSI C5 alemão
  • PCI DSS
  • ISACA COBIT
  • NERC CIP
  • FedRamp
  • CIS

E muitos outros…

Como a Cloud Control Matrix funciona?

A Cloud Controls Matrix é uma planilha que lista estruturas e regulamentações comuns que as organizações precisam cumprir. Cada controle é mapeado em vários padrões, regulamentações e estruturas de segurança aceitos pelo setor, o que significa que o cumprimento dos controles da CCM também é cumprido para os padrões e regulamentações que o acompanham. Isso reduz a necessidade de usar várias estruturas e simplifica a segurança na nuvem, permitindo que você veja todos os padrões comuns de nuvem em um só lugar. Para cada controle, o usuário pode ver todos os diferentes requisitos que ele atende. Por exemplo, se você estiver em conformidade com um controle específico, ele atenderá a um requisito de três normas e estruturas diferentes.

Cada controle no CCM indica quem deve cumpri-lo (o CSP ou o cliente de nuvem) e indica a qual tipo de modelo de nuvem (IaaS, PaaS, SaaS) ou ambiente de nuvem (público, híbrido, privado) o controle se aplica. O CCM esclarece as funções e responsabilidades entre um provedor de serviços em nuvem e um cliente em nuvem, delineando qual orientação de controle é relevante para cada parte.

Domínios de segurança cobertos pela CCM

Atualmente, a CSA está trabalhando no lançamento da quarta iteração da Matriz de Controles de Nuvem. A CCM v.4 constitui uma atualização significativa em relação à versão anterior (v3.0.1), introduzindo mudanças na estrutura da estrutura com um novo domínio dedicado a Log e Monitoramento (LOG) e modificações nos já existentes (GRC, A&A, UEM, CEK). Essa atualização também proporcionará um aumento significativo dos requisitos como resultado do desenvolvimento de controles adicionais e da atualização dos existentes.

Outros recursos da atualização do CCM v.4 são:

  1. Cobertura garantida dos requisitos decorrentes das novas tecnologias de nuvem
  2. Novos controles e matriz de responsabilidade de segurança
  3. Melhoria na auditabilidade dos controles e maior interoperabilidade e compatibilidade com outros padrões.

Os domínios abordados na nova Matriz de Controles de Nuvem (CCM) v4 são:

  1. Segurança de aplicativos e interfaces
  2. Auditoria e garantia
  3. Gerenciamento de continuidade de negócios e resiliência operacional
  4. Controle de mudanças e gerenciamento de configuração
  5. Gerenciamento do ciclo de vida da segurança e da privacidade dos dados
  6. Segurança de data center
  7. Criptografia, codificação e gerenciamento de chaves
  8. Governança, gerenciamento de riscos e conformidade
  9. Segurança de recursos humanos
  10. Gerenciamento de identidade e acesso
  11. Infraestrutura e virtualização de segurança
  12. Interoperabilidade e portabilidade
  13. Gerenciamento universal de endpoints
  14. Gerenciamento de incidentes de segurança, descoberta eletrônica e análise forense em nuvem
  15. Gerenciamento da cadeia de suprimentos, transparência e responsabilidade
  16. Gerenciamento de ameaças e vulnerabilidades
  17. Registro e monitoramento

Fontes:

What is CCM? (Outubro de 2020) – CSA

CSA About Us (2023) – CSA

CSA Douglas Bernardini

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Facebook Instagram Twitter