Cloud-Sicherheit ist eine geteilte Verantwortung
Inhaltsverzeichnis
Was ist das Modell der geteilten Verantwortung?
Das Modell der geteilten Verantwortung ist ein Rahmenwerk im Cloud-Computing, das die Verantwortung für Sicherheit und Compliance zwischen dem Cloud-Service-Anbieter (CSP) und dem Kunden aufteilt. Das Modell stellt sicher, dass Organisationen und CSPs aktiv zur Sicherung der Cloud-Infrastruktur und zur Einhaltung der Compliance beitragen. Im Rahmen des Modells der geteilten Verantwortung:
- Der CSP, der für die Sicherheit der Cloud verantwortlich ist
- Der Kunde, der für die Sicherheit in der Cloud verantwortlich ist
Das Modell der geteilten Verantwortung erklärt
Das Modell der gemeinsamen Verantwortung stellt sicher, dass Organisationen und CSPs aktiv zur Sicherung der Cloud-Infrastruktur und zur Einhaltung der Compliance beitragen. Durch das Verständnis und die Einhaltung des Modells der geteilten Verantwortung können sowohl der CSP als auch der Kunde zusammenarbeiten, um eine sichere Cloud-Umgebung zu schaffen, Risiken effektiv zu mindern und die Compliance mit den Branchenvorschriften und Best Practices zu gewährleisten.
Bei diesem Modell ist der CSP für die Sicherheit der Cloud verantwortlich, was die Sicherung der physischen Infrastruktur, des Netzwerks und der Hardware einschließt. Sie stellen sicher, dass die zugrundeliegenden Cloud-Dienste wie Rechen-, Speicher- und Datenbankdienste vor Bedrohungen geschützt sind, und sorgen für eine sichere und zuverlässige Umgebung für ihre Kunden. Der CSP bietet außerdem Tools und Funktionen, mit denen Kunden ihre Sicherheitskonfigurationen verwalten können.
Auf der anderen Seite der Beziehung ist der Kunde für die Sicherheit in der Cloud verantwortlich, d.h. für die Sicherung der Daten, Anwendungen und Workloads , die er in der Cloud-Umgebung bereitstellt. Dazu gehören Aufgaben wie Datenverschlüsselung, Zugriffsverwaltung, Patches und Software-Updates sowie die Konfiguration von Sicherheitseinstellungen gemäß ihren spezifischen Bedürfnissen und Compliance-Anforderungen.
Die Besonderheiten des Modells der geteilten Verantwortung können je nach verwendetem Cloud-Service-Modell variieren, wie z.B. Infrastruktur als Service (IaaS), Plattform als Service (PaaS)oder Software als Service (SaaS). Bei einem IaaS-Modell übernimmt der Kunde mehr Verantwortung für die Sicherheit, z. B. die Verwaltung des Betriebssystems und der Anwendungen. Im Gegensatz dazu übernimmt der CSP in einem SaaS-Modell mehr Aufgaben, einschließlich der Sicherheit auf Anwendungsebene.
Die Besorgnis über die Offenlegung von Daten hat die Cloud-Sicherheit zu einer Priorität gemacht. Die Herausforderung besteht darin, das Bedürfnis einer Organisation nach Agilität mit der Notwendigkeit in Einklang zu bringen, die Sicherheit von Anwendungen und Daten zu verbessern, wenn diese zwischen verschiedenen Clouds verschoben werden. Die Erlangung von Transparenz und die Bekämpfung von Versuchen, Daten zu exfiltrieren - sei es von externen Standorten oder durch seitliche Angriffe - ist an allen Standorten, an denen sich Anwendungen und Daten befinden, unerlässlich.
Innerhalb einer Organisation können verschiedene Teams für die Cloud-Sicherheit zuständig sein: das Netzwerkteam, das Sicherheitsteam, das App-Team, das Compliance-Team oder das Infrastrukturteam. Die Sicherheit der Cloud liegt jedoch auch in der gemeinsamen Verantwortung der Organisation und ihres Cloud-Anbieters. Wie sich dies genau auswirkt, hängt von der Art des Cloud-Angebots ab:
- Private Cloud: Organisationen sind für alle Sicherheitsaspekte einer Private Cloud verantwortlich, da diese im eigenen Rechenzentrum der Organisation gehostet wird. Dazu gehören das physische Netzwerk, die Infrastruktur, der Hypervisor, das virtuelle Netzwerk, die Betriebssysteme, die Firewalls, die Servicekonfiguration, die Identitäts- und Zugriffsverwaltung usw. Die Organisation ist auch Eigentümer der Daten und ihrer Sicherheit.
- Öffentlich: In öffentlichen Clouds, wie Amazon Web Services ( AWS®) oder Microsoft Azure®, besitzt der Cloud-Anbieter die Infrastruktur, das physische Netzwerk und den Hypervisor. Der Kunde ist nach wie vor Eigentümer des Betriebssystems, der Anwendungen, des virtuellen Netzwerks, des Zugriffs auf seine Mieterumgebung bzw. sein Konto und der Daten.
- SaaS: SaaS -Anbieter sind in erster Linie für die Sicherheit ihrer Plattform verantwortlich, einschließlich der physischen, infrastrukturellen und Anwendungssicherheit. Diese Anbieter sind weder Eigentümer der Kundendaten noch übernehmen sie die Verantwortung dafür, wie die Kunden die Anwendungen nutzen. Als solcher ist der Kunde dafür verantwortlich, das Risiko der Datenexfiltration, der versehentlichen Offenlegung oder des Einschleusens von Malware zu verhindern oder zu minimieren.
Wenn Organisationen von privaten Clouds auf öffentliche Clouds oder SaaS-Anwendungen umsteigen, verlassen sie sich möglicherweise auf ihre Anbieter, um die Daten, Anwendungen und Infrastruktur zu sichern. Unabhängig von den Sicherheitsmaßnahmen der Plattform bleibt die Organisation für die Sicherheit ihrer eigenen Daten verantwortlich.
Cloud Sicherheit
Um Anwendungen sicher zu machen, muss die IT-Sicherheit darauf vertrauen können, dass ihre Cloud-Anbieter die entsprechenden Sicherheitsmaßnahmen implementiert haben, um die Anwendungen und Daten zu schützen. Um die Sicherheitsmängel der Cloud-Anbieter auszugleichen, müssen Organisationen auch über die richtigen Tools verfügen, um Risiken effektiv zu verwalten und abzusichern. Diese Tools müssen Folgendes bieten:
- Sichtbarkeit der Aktivitäten innerhalb der SaaS-Anwendungen
- Detaillierte Analysen der Nutzung zur Vermeidung von Datenrisiken und Compliance-Verstößen
- Kontextabhängige Richtlinienkontrollen für die Durchsetzung und Quarantäne bei Verstößen
- Threat Intelligence in Echtzeit zu bekannten Bedrohungen und Erkennung unbekannter Bedrohungen zur Verhinderung neuer Malware-Einschleusungspunkte
FAQs zur geteilten Verantwortung
Gemeinsame Verantwortung bezieht sich auf die Zusammenarbeit zwischen dem CSP und dem Kunden, um eine sichere und konforme Cloud-Umgebung zu erhalten. Je nach Cloud-Service-Modell (IaaS, PaaS oder SaaS) übernimmt jede Partei spezifische Sicherheitsverantwortungen, um Risiken zu minimieren, Daten zu schützen und die Branchenvorschriften einzuhalten.
Zu den Grundsätzen der gemeinsamen Verantwortung gehören ein klares Verständnis der Pflichten jeder Partei, aktive Zusammenarbeit und ständige Kommunikation. Der CSP sichert die zugrunde liegende Infrastruktur, das Netzwerk und die Hardware, während der Kunde die in der Cloud bereitgestellten Daten, Anwendungen und Workloads sichert. Die Einhaltung dieser Grundsätze gewährleistet eine solide Sicherheitslage und hilft, potenzielle Schwachstellen in Cloud-Umgebungen zu vermeiden.
Das Hauptziel der geteilten Verantwortung besteht darin, einen kooperativen und umfassenden Ansatz für die Cloud-Sicherheit zu entwickeln, der das Fachwissen und die Ressourcen sowohl des CSP als auch des Kunden nutzt. Durch die Verteilung der Sicherheitsverantwortung zielt die geteilte Verantwortung darauf ab, die allgemeine Sicherheitslage zu verbessern, Schwachstellen zu minimieren und die Compliance mit den einschlägigen Branchenvorschriften zu gewährleisten.
Das Verständnis des Modells der geteilten Verantwortung ist entscheidend für die effektive Sicherung von Cloud-Umgebungen und die Einhaltung der Compliance. Es hilft Organisationen, ihre spezifischen Sicherheitsaufgaben zu identifizieren, Ressourcen effizient zuzuweisen und angemessene Sicherheitskontrollen zu implementieren. Ein klares Verständnis des Modells fördert die Zusammenarbeit zwischen dem CSP und dem Kunden und stellt sicher, dass beide Parteien zusammenarbeiten, um eine sichere und gesetzeskonforme Cloud-Umgebung zu schaffen, Risiken zu mindern und potenziellen Bedrohungen zu begegnen.
