Was ist das Modell der geteilten Verantwortung?
Das Modell der geteilten Verantwortung beschreibt die Aufteilung der Verantwortlichkeiten für die Netzwerksicherheit zwischen einem Cloud-Dienstleister und dem Cloud-Kunden. Die Details hängen von der Art des verwendeten Cloud-Dienstes und dem jeweiligen Cloud-Anbieter ab.
Wie das Modell der geteilten Verantwortung funktioniert
In Cloud-Umgebungen teilen sich Cloud-Anbieter und Kunde die Verantwortung für den IT-Infrastruktur-Stack. Für die physische Infrastruktur ist stets der Cloud-Anbieter verantwortlich, für seine eigenen Daten hingegen immer der Cloud-Kunde.
Alles dazwischen hängt vom verwendeten Cloud-Service-Modell ab.
Mit der Kontrolle von Netzwerk über einen Teil der Infrastruktur geht auch die Verantwortung für deren Absicherung einher. Wenn ein Cloud-Kunde beispielsweise virtuelle Maschinen (VMs) in einer Cloud-Umgebung einsetzen kann, ist er dafür verantwortlich, sichere VM-Images zu verwenden und diese korrekt zu konfigurieren, um sie vor potenziellen Angriffen zu schützen.
Das Cloud-Shared-Responsibility-Modell legt fest, welche Sicherheitsbereiche ausschließlich in der Verantwortung des Cloud-Service-Anbieters oder des Kunden liegen und welche sie sich teilen. An dem Punkt, an dem die Verantwortung von einem auf den anderen übergeht, kann der Cloud-Anbieter zwar eine gewisse Verantwortung tragen, verlangt aber auch vom Cloud-Kunden die Konfiguration bestimmter Einstellungen.
Warum ist das Modell der geteilten Verantwortung wichtig?
Das Cloud-Modell der geteilten Verantwortung ist ein wesentlicher Bestandteil, um sicherzustellen, dass Cloud-Daten und -Anwendungen vor Angriffen geschützt sind. Das jeweilige Modell der geteilten Verantwortung der Cloud-Anbieter sieht Folgendes vor:
- Welche Sicherheitsaufgaben fallen in ihren Verantwortungsbereich?
- Welche sind die des Kunden?
Cloud Kunden müssen das Modell der geteilten Verantwortung in der Cloud verstehen, um ihre Rolle bei der Sicherung ihrer Cloud-Infrastruktur gegen Angriffe zu kennen.
Beispiele für Modelle geteilter Verantwortung
Jeder Cloud-Anbieter hat sein eigenes Modell der geteilten Verantwortung, und dieses Modell definiert die Aufteilung der Verantwortlichkeiten für jedes seiner Servicemodelle.
Die drei wichtigsten Modelle der gemeinsamen Verantwortung in der Cloud umfassen:
Herausforderungen bei der Implementierung gemeinsamer Cloud-Verantwortung
Die Verantwortung für die Cloud-Sicherheit teilen sich Cloud-Anbieter und ihre Kunden. Zu den häufigsten Herausforderungen, mit denen Cloud-Nutzer bei der Erfüllung ihrer Aufgaben konfrontiert werden, gehören:
- Mangelndes Verständnis: Das Cloud-Modell der geteilten Verantwortung legt die Verantwortung des Cloud-Kunden für seine eigene Sicherheit fest. Wenn eine Organisation das Modell der geteilten Verantwortung nicht versteht, wird sie nicht in der Lage sein, ihre Cloud-Umgebung effektiv zu sichern.
- Multi-Cloud -Umgebungen: Die meisten Organisationen verfügen über mehrere Cloud-Umgebungen und nutzen möglicherweise verschiedene Dienste innerhalb dieser Umgebungen. Dies bedeutet, dass Sicherheitsteams eine Vielzahl von Modellen geteilter Verantwortung verstehen und einhalten müssen.
- Eingeschränkte Transparenz und Kontrolle: Cloud-Kunden haben nur eingeschränkte oder gar keine Transparenz und Kontrolle über die unteren Ebenen ihrer IT-Infrastruktur, sind aber für die Sicherheit der höheren Ebenen verantwortlich. Diese eingeschränkte Transparenz und Kontrollierbarkeit können es erschweren, Sicherheitslösungen einzusetzen, die den Anforderungen einer Organisation gerecht werden.
- Fehlkonfigurationen der Sicherheit: Die Wahrnehmung von Sicherheitsverantwortlichkeiten im Rahmen des Modells der geteilten Verantwortung bedeutet oft, dass vom Hersteller bereitgestellte Einstellungen und Sicherheitskonfigurationen konfiguriert werden müssen. Fehlkonfigurationen zählen zu den Hauptursachen für Datenpannen in Cloud-Systemen und andere Sicherheitsvorfälle.
- Compliance gesetzlicher Bestimmungen: Organisationen unterliegen auch in der Cloud den Anforderungen der Einhaltung gesetzlicher Bestimmungen, doch die geteilte Verantwortung kann dies komplexer gestalten. Anstatt ihre Sicherheit direkt zu verwalten, muss sich ein Unternehmen möglicherweise auf die Bestätigung des Anbieters hinsichtlich der Cloud-Konformität verlassen.
- Zugriffsverwaltung: Identitäts- und Zugriffsmanagement (IAM) ist in der Cloud unerlässlich, doch die Integration des Zugriffsmanagements über mehrere Cloud-Plattformen hinweg kann schwierig sein. Diese Komplexität wird noch verstärkt, wenn die geteilte Verantwortung bedeutet, dass eine Organisation nicht in jeder Umgebung dieselbe Lösung verwenden kann oder gezwungen ist, die Lösung des Cloud-Anbieters zu nutzen.
Bewährte Verfahren für das Modell der geteilten Verantwortung
Zu den bewährten Verfahren zur Gewährleistung der Cloud-Sicherheit im Rahmen des Modells der geteilten Verantwortung gehören:
- Das Modell der geteilten Verantwortung verstehen: Das Cloud-Modell der geteilten Verantwortung beschreibt die Cloud-Sicherheitsverantwortlichkeiten einer Organisation. Das Verständnis dieser Prinzipien ist der erste Schritt zur Sicherung einer Cloud-Umgebung.
- Durchführung von Risikobewertungen: Risikobewertungen dienen dazu, potenzielle Sicherheitsrisiken für eine Organisation zu identifizieren. Die regelmäßige Durchführung dieser Maßnahmen hilft einer Organisation, etwaige Sicherheitslücken schnell zu beheben, bevor sie von einem Angreifer ausgenutzt werden können.
- Implementierung von Sicherheitskontrollen: Viele bewährte Sicherheitspraktiken sind gleichermaßen lokal und in der Cloud anwendbar. Datenverschlüsselung, Zugriffskontrollen und ähnliche Lösungen sollten immer Bestandteil der Cloud-Sicherheitsstrategie einer Organisation sein.
- Sicherstellung Compliance: Auch in der Cloud gelten die Anforderungen an die Einhaltung gesetzlicher Bestimmungen. Vergewissern Sie sich, dass Ihre Organisation und Ihr Cloud-Anbieter die Compliance-Verpflichtungen erfüllen.
- Mitarbeiterschulung: Mitarbeiter können unbeabsichtigt Handlungen vornehmen, die die Cloud-Sicherheit gefährden. Schulungen zum Cloud-Modell der geteilten Verantwortung und zu bewährten Sicherheitspraktiken tragen zum Schutz vor diesen Risiken bei.
