Wie das Modell der geteilten Verantwortung funktioniert
In Cloud-Umgebungen teilen sich der Cloud-Anbieter und der Kunde die Verantwortung für den IT-Infrastruktur-Stack. Für die physische Infrastruktur ist immer der Cloud-Anbieter verantwortlich, für seine Daten ist der Cloud-Kunde immer selbst verantwortlich.
Alles dazwischen hängt vom verwendeten Cloud-Service-Modell ab.
Mit der Kontrolle des Netzwerks über einen Teil des Infrastruktur-Stacks geht die Verantwortung für dessen Sicherung einher. Wenn ein Cloud-Kunde beispielsweise virtuelle Maschinen (VMs) in einer Cloud-Umgebung bereitstellen kann, ist er dafür verantwortlich, sichere VM-Images zu verwenden und sie korrekt zu konfigurieren, um sie vor potenziellen Angriffen zu schützen.
Das Modell der geteilten Verantwortung in der Cloud legt fest, welche Sicherheitsbereiche ausschließlich in der Verantwortung des Cloud-Dienstanbieters oder -Kunden liegen und welche sie sich teilen. An dem Punkt, an dem die Zuständigkeit von einer zur anderen übergeht, kann der Cloud-Anbieter eine gewisse Verantwortung tragen, verlangt jedoch, dass der Cloud-Kunde auch bestimmte Einstellungen konfiguriert.
Warum ist das Modell der geteilten Verantwortung wichtig?
Das Modell der geteilten Verantwortung in der Cloud ist ein wichtiger Bestandteil, um sicherzustellen, dass Cloud-Daten und -Anwendungen vor Angriffen geschützt sind. Das Modell der geteilten Verantwortung jedes Cloud-Anbieters umreißt:
- Für welche Sicherheitsaufgaben sind sie zuständig?
- Welche sind die des Kunden.
Cloud Kunden müssen das Modell der geteilten Cloud-Verantwortung verstehen, um ihre Rolle beim Schutz ihrer Cloud-Infrastruktur vor Angriffen zu kennen.
Beispiele für Modelle der geteilten Verantwortung
Jeder Cloud-Anbieter hat sein eigenes Modell der geteilten Verantwortung, und diese definieren die Aufteilung der Verantwortlichkeiten für jedes seiner Servicemodelle.
Zu den drei wichtigsten Modellen der geteilten Verantwortung in der Cloud gehören:
Herausforderungen bei der Umsetzung der gemeinsamen Cloud-Verantwortung
Die Verantwortung für die Cloud-Sicherheit teilen sich die Cloud-Anbieter und ihre Kunden. Zu den häufigsten Herausforderungen, mit denen Cloud-Benutzer konfrontiert sind, wenn sie versuchen, ihren Beitrag zu leisten, gehören:
- Mangelndes Verständnis: Das Modell der geteilten Verantwortung in der Cloud legt die Verantwortung des Cloud-Kunden für seine eigene Sicherheit fest. Wenn ein Unternehmen das Modell der geteilten Verantwortung nicht versteht, wird es nicht in der Lage sein, seine Cloud-Umgebung effektiv zu schützen.
- Multi-Cloud Umgebungen: Die meisten Organisationen verfügen über mehrere Cloud-Umgebungen und können unterschiedliche Dienste in diesen Umgebungen nutzen. Das bedeutet, dass Sicherheitsteams eine Vielzahl von Modellen der gemeinsamen Verantwortung verstehen und einhalten müssen.
- Eingeschränkte Transparenz und Kontrolle: Cloud-Kunden haben nur eingeschränkte oder gar keine Transparenz und Kontrolle in den unteren Schichten ihrer IT-Infrastruktur, sind aber für das Management der Sicherheit der höheren Schichten verantwortlich. Diese eingeschränkte Transparenz und Kontrolle kann die Bereitstellung von Sicherheitslösungen erschweren, die in der Lage sind, die Verantwortlichkeiten eines Unternehmens zu erfüllen.
- Fehlkonfigurationen der Sicherheit: Die Erfüllung der Sicherheitsverantwortung im Rahmen des Modells der geteilten Verantwortung bedeutet oft, dass vom Anbieter bereitgestellte Einstellungen und Sicherheitskonfigurationen konfiguriert werden müssen. Fehlkonfigurationen sind eine der Hauptursachen für Datenschutzverletzungen in der Cloud und andere Sicherheitsvorfälle.
- Regulatorische Compliance: Unternehmen unterliegen nach wie vor den gesetzlichen Compliance-Anforderungen in der Cloud, aber die gemeinsame Verantwortung kann dies komplexer machen. Anstatt seine Sicherheit direkt zu verwalten, muss sich ein Unternehmen möglicherweise auf die eigene Bescheinigung der Cloud-Compliance eines Anbieters verlassen.
- Zugriffsverwaltung: Identitäts- und Zugriffsmanagement (IAM) ist in der Cloud unerlässlich, aber die Integration des Zugriffsmanagements über mehrere Cloud-Plattformen hinweg kann schwierig sein. Diese Komplexität wird noch verschärft, wenn die gemeinsame Verantwortung bedeutet, dass ein Unternehmen nicht in jeder Umgebung die gleiche Lösung verwenden kann oder gezwungen ist, die Lösung des Cloud-Anbieters zu verwenden.
Best Practices für das Modell der geteilten Verantwortung
Zu den Best Practices für die Gewährleistung der Cloud-Sicherheit im Rahmen des Modells der geteilten Verantwortung gehören:
- Das Modell der geteilten Verantwortung verstehen: Das Modell der geteilten Cloud-Verantwortung beschreibt die Cloud-Sicherheitsaufgaben einer Organisation. Dies zu verstehen, ist der erste Schritt zur Sicherung einer Cloud-Umgebung.
- Durchführung von Risikobewertungen: Risikobewertungen dienen dazu, potenzielle Sicherheitsrisiken für ein Unternehmen zu identifizieren. Die regelmäßige Durchführung dieser Lücken, hilft einem Unternehmen, Sicherheitslücken schnell zu schließen, bevor sie von einem Angreifer ausgenutzt werden können.
- Implementierung von Sicherheitskontrollen: Viele Best Practices für die Sicherheit sind sowohl vor Ort als auch in der Cloud anwendbar. Datenverschlüsselung, Zugriffskontrollen und ähnliche Lösungen sollten immer Teil der Cloud-Sicherheitsstrategie eines Unternehmens sein.
- Gewährleistung Compliance: Auch in der Cloud gelten gesetzliche Compliance-Anforderungen. Stellen Sie sicher, dass Ihre Organisation und Ihr Cloud-Anbieter die Compliance-Verantwortlichkeiten erfüllen.
- Schulung der Mitarbeiter: Mitarbeiter können versehentlich Maßnahmen ergreifen, die die Cloud-Sicherheit gefährden. Die Bereitstellung von Schulungen zum Modell der geteilten Verantwortung in der Cloud und zu Best Practices für die Sicherheit trägt zum Schutz vor diesen Risiken bei.