Einblicke in die geteilte Verantwortung

Wenn Ihre Organisation ein eigenes Rechenzentrum betreibt, ähnelt Ihre IT-Abteilung einem kleinen Sheriff, der alles selbst erledigen muss. Wenn Sie sich mit einem Cloud-Anbieter zusammenschließen, haben Sie einen Partner, der Ihnen die Last der Security und der Einhaltung von Vorschriften teilweise – aber nicht vollständig – abnimmt.

Das Sicherheitsmodell der geteilten Verantwortung

Compliance und Security sind zwar nicht dasselbe, gehen aber Hand in Hand. Die Sicherheit in einer Cloud-basierten Umgebung beruht auf einer Reihe verschiedener Elemente, von denen einige vom Cloud-Anbieter und einige vom Kunden verwaltet werden. Verweise auf dieses Modell der geteilten Verantwortung finden Sie in den Verträgen und in der Dokumentation für Microsoft Azure, Amazon Web Services, die Google Cloud Platform und andere Cloud-Anbieter. Jeder der drei führenden Anbieter liefert detaillierte Unterlagen, in denen die Aufteilung der Zuständigkeiten für seine Dienstleistungen beschrieben ist. Im

Folgenden finden Sie Links zu einigen dieser Dokumente:

• Geteilte Verantwortlichkeiten für Cloud Computing
• AWS Shared Responsibility-Modell
• Google Cloud Platform: Kundenverantwortungsmatrix

Warum ist es notwendig, so umfangreiche Dokumente zu diesem Thema zu erstellen? Auf den ersten Blick scheint es eine einfache Frage zu sein: Für welche Sicherheitsmaßnahmen sind der Cloud-Anbieter verantwortlich und für welche Sicherheitsmaßnahmen sind Sie verantwortlich? Wie bei so vielen anderen Fragen in der IT-Welt lautet die Antwort jedoch: Es kommt darauf an.

Schließlich definiert der Cloud-Anbieter seine Verantwortlichkeiten in seiner vertraglichen Vereinbarung sowie in anderen Nutzungsbedingungen. Dies bedeutet, dass verschiedene Anbieter unterschiedliche Verantwortungsebenen übernehmen können. Darüber hinaus wirkt sich die Art der von Ihnen abonnierten Cloud-Dienste auf die Aufteilung der Zuständigkeiten aus. Der Umfang Ihrer Verantwortung hängt daher davon ab, ob Sie die Plattform als Service (PaaS), die Infrastruktur als Service (IaaS) oder die Software als Service (SaaS) verwenden.

Komponenten des sicheren Cloud Computing

Bevor man untersuchen kann, wer wofür verantwortlich ist, muss man sich Gedanken über die zahlreichen Aspekte der Datensicherung machen, um sicherstellen zu können, dass die Daten den verschiedenen behördlichen und branchenüblichen Vorschriften und Anforderungen entsprechen. Sie wissen, dass das Sichern von Daten in einem lokalen Rechenzentrum ein mehrschichtiger Prozess ist. Einige dieser Schichten umfassen:

• Physische Sicherheit bezieht sich auf Maßnahmen zum Schutz der Hardware – der Server, Netzwerkgeräte, Kabel usw., die darauf beruhen, dass die Rechenzentrumseinrichtungen physisch gesichert werden, um zu verhindern, dass unbefugte Personen direkten Zugriff auf die Systeme erhalten. Diese Maßnahmen umfassen Zäune, Schlösser, Schlüssel- / Karten- / biometrische Zugangskontrollen, Personenschutzeinrichtungen, Überwachungskameras usw.
• Die Sicherheit der Serverbetriebssysteme umfasst Patch-Schwachstellen in der Betriebssystemsoftware, Viren- und Malware-Schutz, Firewalls, lokale Kontoverwaltung, sichere Konfiguration der Betriebssystemeinstellungen usw.
• Netzwerkperimetersicherheit und Zugriffskontrollen bestehen aus Netzwerkzugriffskontrollen, Gateways und Edge-Firewalls sowie Bedrohungsmanagementgeräten, sicherer Netzwerkkonfiguration und -gestaltung durch Segmentierung und Isolation usw.
• Sicherheit auf Anwendungsebene bezieht sich auf Authentifizierung und Autorisierung, Verschlüsselung von Daten im Speicher, Sandboxing, Anwendungszugriffskontrollen, Anwendungssicherheitsupdates, Schwachstellenüberprüfung, Containerisierung, Rechteverwaltung usw.
• Das Identitäts- und Zugriffsmanagement bildet den Kern Ihrer Sicherheitsstrategie und bietet den Rahmen für die Überprüfung der Identität von Benutzern und Computern sowie für die Anwendung von Richtlinien, um den Zugriff auf Ressourcen basierend auf Identitäten oder Rollen zu gewähren oder zu verweigern.
• Die Sicherheit von Clientcomputern und Endpunkten, die eine Verbindung zum Netzwerk herstellen, umfasst alle oben genannten Sicherheitsstufen von der physischen Ebene bis zur Anwendungsschicht in Bezug auf Clientcomputer, einschließlich mobiler Geräte und IoT-Geräte (Internet of Things).
• Die Klassifizierung und der Schutz von Daten, die im Netzwerk gespeichert sind und über das Netzwerk oder durch das Netzwerk übertragen werden, ist ein notwendiger erster Schritt, um zu bestimmen, welche Daten geschützt werden müssen und wie hoch der Schutz sein muss.

Verantwortlichkeiten von Cloud-Anbietern und Kunden

Wie oben erwähnt, können die Verträge verschiedener Anbieter unterschiedliche Bedingungen und Nuancen in Bezug auf das Modell der geteilten Verantwortung haben. Anbei finden Sie eine typische Aufgabenteilung von Microsoft für die Azure-Dienste.

Bei IaaS-Diensten ist Microsoft für die gesamte physische Sicherheit der Server und der Azure-Netzwerkgeräte verantwortlich und teilt die Verantwortung mit den Kunden für die Sicherheit der Host-Betriebssysteme, auf denen virtuelle Azure-Maschinen ausgeführt werden, und für die Netzwerksteuerungen. Die Microsoft-Rechenzentren bieten einen umfassenden mehrschichtigen Schutz, sowohl außerhalb der Gebäude (Perimetersicherheit) als auch innerhalb. Durch strenge Zugriffskontrollen zur Minimierung von Administratorrechten und Überwachung auf mehreren Ebenen wird die Vertraulichkeit von Daten im Azure-Netzwerk geschützt. Penetrationstests werden regelmäßig durchgeführt.

Im IaaS-Modell tragen dann die Kunden die Verantwortung für die Sicherung der Hostinfrastruktur (virtuelle Maschinen) und der Netzwerkkontrollen und sind ausschließlich für die Kontrolle auf Anwendungsebene, das Identitäts- und Zugriffsmanagement, den Client- und Endpunktschutz sowie die Datenklassifizierung verantwortlich. Dies bedeutet jedoch nicht, dass Sie bei diesen Sicherheitskomponenten auf sich allein gestellt sind. Zusätzlich zu allen von ihnen implementierten Schutzmaßnahmen bieten Cloud-Anbieter ihren Kunden zahlreiche optionale Sicherheitsfunktionen und -kontrollen, die der Kunde für die Bereitstellung auswählen kann. Einige dieser Funktionen sind kostenlos, andere sind mit zusätzlichen Kosten verbunden. Zu diesen Tools gehören Multifaktorauthentifizierung, erweiterte Überwachung und Protokollierung, viele verschiedene Verschlüsselungstypen, VPN-Verbindungen, erweiterte Bedrohungserkennung, Identitätsverwaltungsdienste, Informationsschutz- / Rechteverwaltung, Malware-Schutz und vieles mehr. Diese helfen Ihnen, die Bereiche abzusichern, für die Sie nach dem gemeinsamen Modell verantwortlich sind.

Die heutigen Computerumgebungen sind komplex und kombinieren häufig lokale und Cloud-Ressourcen zu einem Hybridmodell, das die Sicherheit zu einer Herausforderung macht. Durch die Zusammenarbeit mit Ihrem Cloud-Anbieter kann Ihre Organisation jedoch Compliance in der Cloud erreichen.

Aus dem Blog von GFI Software