November 30, 2023
Von Claire Hatcher - Regional Director of Sales, Vereinigtes Königreich, Skyhigh Security
Geteilte Verantwortung ist ein Konzept, das wir alle intuitiv verstehen, das aber viele Unternehmen nicht ganz begreifen, wenn es um die Sicherung der Cloud geht. Entweder sind die Rahmenwerke, die es erklären, relativ neu oder die Erwartungen wurden nicht klar genug formuliert. Viele Unternehmen lassen leider den Ball fallen, weil sie ihre eigenen Rollen und Verantwortlichkeiten nicht vollständig begreifen, und das Ergebnis sind Sicherheitslücken und Verstöße.
Wenn man bedenkt, dass 90 % der IT-Fachleute einen Verstoß gegen die Cybersicherheit erlebt haben, ist Cloud Computing - wie jede Technologie - nicht narrensicher. Cloud Service Provider (CSPs) bieten zwar einige fortschrittliche Sicherheitstools und -services an, aber auf Kundenseite gibt es offensichtlich einige Missverständnisse darüber, was CSPs tatsächlich schützen. Vielleicht kann eine Analogie dabei helfen, zu klären, wer was tut, und einige Mythen und Verwirrungen auszuräumen.
Wie der richtige mentale Rahmen eine Katastrophe verhindern kann
Betrachten wir die Anmietung einer Ferienimmobilie über einen Online-Marktplatz. Der Online-Marktplatz stellt die zugrunde liegende Infrastruktur zur Verfügung, um die Transaktion zu erleichtern. Sie nehmen über die Plattform Kontakt mit dem Eigentümer der Immobilie auf. Der Online-Marktplatz ist für die Bereitstellung einer sicheren Plattform zur Durchführung dieser Transaktion verantwortlich. Der Eigentümer ist für die Immobilie selbst verantwortlich. Es wird zum Beispiel erwartet, dass er Schlösser an den Türen und Fenstern des Mietobjekts anbringt - und Sie sind dafür verantwortlich, dass die Schlösser auch benutzt werden. Sie können nicht erwarten, dass der Online-Marktplatz dafür verantwortlich ist, dass Sie während Ihres Aufenthalts in einer Immobilie nicht ausgeraubt werden, insbesondere wenn Sie die zur Verfügung gestellten Mechanismen - in diesem Fall Schlösser - nicht nutzen, um die Immobilie und Ihr Eigentum zu sichern.
Eine andere Analogie ist der Kauf oder die Miete von Werkzeug im Baumarkt. Der Verkäufer haftet vielleicht, wenn das Werkzeug kaputt geht oder nicht funktioniert, aber es liegt immer an Ihnen, eine Schutzbrille zu tragen, für eine sichere Arbeitsumgebung zu sorgen und die Werkzeuge verantwortungsvoll zu benutzen.
Unternehmen müssen verstehen, dass es für sie in Bezug auf die von ihnen genutzten Cloud-Service-Plattformen nicht so anders ist. CSPs sind nicht für jeden Sicherheitsverstoß verantwortlich. Der Kunde spielt eine wichtige Rolle und ist mitverantwortlich für die Sicherung seiner öffentlichen Cloud-Umgebung.
Einführung des Modells der geteilten Verantwortung
CSPs haben ihre Verantwortlichkeiten in Bezug auf die Sicherheit klar definiert. Sowohl Amazon Web Services (AWS) als auch Microsoft Azure haben Modelle für die gemeinsame Verantwortung für die Cloud-Sicherheit veröffentlicht, um festzulegen, wer für was verantwortlich ist. Auch wenn die Details davon abhängen, ob es sich um ein Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) oder Platform-as-a-Service (PaaS) Modell handelt, ist im Allgemeinen der Unternehmenskunde für diese Aspekte der Cloud-Sicherheit verantwortlich:
- Endpunkt-Sicherheit
- Netzwerksicherheit
- Konfigurationen
- Identitäts- und Zugriffsmanagement (IAM)
- Datenklassifizierung und Rechenschaftspflicht
- Kontrolle der Datenzusammenarbeit
- Virtuelle Maschinen
- Sicherheit von Workloads und Containern
Der Cloud Service Provider hingegen ist verantwortlich für:
- Physische Sicherheit und Wartung der eigenen Einrichtungen, einschließlich Strom und Internetverbindung
- Computer-Host-Infrastruktur, einschließlich Server, Betriebssysteme, Patches, Lastausgleich, Skalierung, Speicher und Konfiguration der Plattformdienste
- Netzwerkkontrollen und Anbieterdienste
Um auf unsere Analogie mit den Tür- und Fensterschlössern in der Ferienwohnung zurückzukommen: CSPs haben verschiedene Sicherheitsvorkehrungen in ihre Dienste eingebaut, aber es ist Sache des Kunden, diese zu implementieren, um seine eigenen Netzwerke, Benutzer, wichtigen Daten und Anwendungen zu schützen.
Um Ihre Rollen und Verantwortlichkeiten als Kunde eines Cloud-Dienstes vollständig zu verstehen, ist es wichtig, dass Sie die Service Level Agreements (SLA) sorgfältig prüfen. Treffen Sie keine Annahmen. Die SLA klärt genau, für welche Sicherheitsaspekte Sie verantwortlich sind und welche Funktionen und Richtlinien Sie von Anfang an richtig konfigurieren müssen, um die Vorteile der Plattform voll auszuschöpfen. In einer komplexen Multi-Cloud-Welt kann dies aus verwaltungstechnischer Sicht eine Herausforderung sein, aber die Klärung Ihrer Verantwortlichkeiten im Vorfeld, um sicherzustellen, dass Ihre Daten in der Cloud sicher sind, ist die Zeit und den Aufwand auf jeden Fall wert.
Cloud-Sicherheit ist ein Mannschaftssport, und jeder muss den Ball tragen, wenn er an der Reihe ist. Modelle der geteilten Verantwortung bieten einen Rahmen, der Ihnen hilft, die Spielregeln zu verstehen.
Um zu erfahren, wie Skyhigh Security Ihnen helfen kann, Ihre Verantwortung zu erfüllen und Ihre Daten auf öffentlichen Cloud-Plattformen zu sichern, besuchen Sie unsere Website.
Zurück zu Blogs