Альянс облачной безопасности (CSA)
Обзор
Cloud Security Alliance (CSA) – это некоммерческая организация, миссия которой заключается в «поощрении активного использования рекомендаций по обеспечению безопасности в среде облачных вычислений и обучении методам использования облачных вычислений для защиты всех остальных форм вычислений».
Вопросы и ответы
-
CSA STAR, УРОВЕНЬ 1. Самостоятельная оценка CSA STAR
AWS участвует в добровольной программе самопроверки STAR (реестра по безопасности, доверию и предоставлению гарантий CSA) с целью документального подтверждения соответствия рекомендациям, опубликованным CSA. Мы заполнили анкету CSA для оценки состояния безопасности облачной среды (CAIQ) и опубликовали ее на веб‑сайте AWS.
-
CSA STAR, УРОВЕНЬ 2. Сертификация CSA STAR
Сертификация Security Trust Assurance and Risk (STAR) второго уровня представляет собой строгую независимую оценку безопасности поставщика облачных сервисов. При сертификации используются требования стандарта системы управления ISO/IEC 27001:2013, а также критерии CSA Cloud Controls Matrix. Сертификация STAR второго уровня подтверждает, что облачные предложения AWS используют лучший опыт и отличаются высоким уровнем безопасности. Сертификаты CSA STAR второго уровня и ISO 27001:2013 опубликованы на веб-сайте AWS, а также доступны в AWS Artifact. Регионы и сервисы AWS, попадающие в область действия, можно найти в сертификации CSA STAR второго уровня. Сервисы AWS, которые уже соответствуют требованиям сертификации CSA STAR второго уровня, можно найти на странице сертификации ISO.
-
CSA STAR, УРОВЕНЬ 3. Непрерывный мониторинг
AWS предоставляет клиентам инструменты, необходимые для обеспечения непрерывного мониторинга. CSA еще ведет работу над определением требований непрерывного мониторинга уровня 3, поэтому программа сертификации для проверки соответствия требованиям отсутствует. Однако клиенты могут использовать программу AWS Security by Design (SbD) для общего представления о своих обязанностях в области контроля, автоматизации основных процессов безопасности, конфигурации систем безопасности и выполнении аудита инструментов управления, используемых в инфраструктуре клиента на AWS, соответствующих операционных системах, сервисах и приложениях. Предлагаемые программой директивные стандартизованные воспроизводимые проекты со встроенной автоматизацией можно развертывать для распространенных примеров использования с учетом стандартов безопасности и требований к аудиту в различных отраслях и для различных рабочих нагрузок. Подробнее см. на странице AWS Security by Design.