Cloud penetration testing /Cloud pentest

En cloud-penetrationstest (eller pentest) vurderer de stærke og svage punkter i cloudbaserede systemer for at forbedre den generelle cloudsikkerhed. Testen viser sårbarheder, risici og mulige huller mellem det reelle niveau af digital sikkerhed og det forventede, ønskede eller krævede niveau.

Cloud-computing er efterhånden så udbredt, at vi ofte slet ikke tænker på, at vi bruger det. Men pga. det delte ansvar mellem cloudkunden og cloududbyderen er der nye risici, som skal vurderes, bl.a. hvordan udbyderen og kunden konfigurerer ydelserne.

Secura tilbyder en detaljeret vurdering af udbyderens konfiguration (Azure/AWS/Google m.m.), som giver kunderne mulighed for at implementere en cloudløsning, hvor alle sikkerhedskonfigurationerne er sat korrekt op. Hvis man også anvender containerteknologier såsom Kubernetes og Docker, kan Secura tilbyde vurderingsydelser. Vi har erfaring med alle udrulningsmodeller (SaaS, IaaS, PaaS or FaaS).

Fra On-Premise til SaaS

Image

Crystal-Box Cloud (CBC)-vurdering for Cloud Service Customers (CSC)

I vores sikkerhedsvurdering for cloudservicekunder fokuserer vi på, hvad der ligger inden for CSC’s inspektionsområde. Tilsvarende en sikkerhedsvurdering af et crystal-box (eller white-box-system), udføres Crystal-box cloudvurderingen (CBC) med mest mulig information til testerne. Dermed kan de udføre den mest tilbundsgående test og få indsigt i detaljeret konfigurationsopsætning og adgangstilladelser. I en vurdering, der kun er fokuseret på systemet, betyder dette normalt, at kildekoden er tilgængelig for testerne, så det er muligt at finde komplekse sårbarheder, der normalt er svære at finde. I cloudløsningen kan Secura, udover kildekoden til et system, identificere svagheder ved at undersøge den reelle opsætning i cloudkonfigurationen.

CCM Compliance Audits for Cloud Service Providers (CSP)

Eftersom Securas CBC-vurderingsydelser fokuserer direkte på at hjælpe kunderne hos cloudserviceudbydere, hjælper Secura også serviceudbydere med at forsikre og guide deres kunder. Hvor store forhandlere allerede har opnået industriens og markedets tillid, bliver små forhandlere eller CSPs, som tilbyder cloudbaseret SaaS og PaaS ofte bedt om at fremvise bevis for inspektion af datasikkerhed hos deres kunder.

En ISO 27001 certificering er et godt udgangspunkt, men den inkluderer ikke cloudspecifikke inspektioner og compliance-forhold. Derfor findes der et supplement til ISO 27002 standarden særligt for cloudserviceudbydere (ISO27017). Og der findes også en udvidelse med personlig, påviselig information (PII) i cloudløsningen (ISO27018).

Derudover har Cloud Security Alliance (CSA) udviklet en særlig Cloud Controls Matrix (CCM), som en stand-alone-løsning til fuldskalainspektion inden for cloudsikkerhed.

Mens CCM-standarden er beregnet til cloudforbrugere, viser standarden tydeligt, at et væsentligt antal inspektioner ikke direkte kan tjekkes ved hjælp af en CSP. Derimod kan en auditor fx bruge den internationale auditstandard 3000 (ISAE 3000) til at auditere CSP op mod rammerne. Dette gør serviceudbyderen i stand til at bevise overfor den eventuelle kunde, at en selvstændig auditor har verificeret overholdelsen af CCM.

Secura tilbyder ISAE3000 forsikringsaudits til serviceudbydere og deres kunder. Vores certificerede og registrerede IT-Auditorer (Register EDP-auditor eller RE på hollandsk) er uddannede, og Securas auditproces er effektiv og moderne. Den understøttes af forskellige værktøjer og lever helt op til moderne auditstandarder. Derudover kan de bruge den viden og erfaring, vores tekniske eksperter har, som udfører cloudsikkerhedsvurderinger for vores kunder.

Læs om cyber security eller vend tilbage til vores ydelser inden for informationsteknologi (IT).