Shared Responsibility 

So schützen Provider und Anwenderunternehmen die Cloud

Beim Schutz der Public Cloud teilen sich Anbieter und das Unternehmen, das die Cloud nutzt, die Verantwortung. Wie genau, regelt das Shared-Responsibility-Modell.

Text: Christoph Widmer, Bilder: tnt-graphics, 28. Mai 2019

Rechenleistung auf Knopfdruck. Business-relevante Applikationen, auf die jederzeit zugegriffen werden kann. Vorgefertigte Entwicklungsumgebungen, die IT-Abteilungen zur Verfügung stehen: Mit der Cloud hat sich die Art und Weise, wie IT konsumiert wird, grundlegend verändert. Damit einhergehend wurde aber das Thema Informationssicherheit (IT Sicherheit, Informations- und Datenschutz) komplexer. Gerade die Sicherheit der Public Cloud führt bei Cloud Consumern immer wieder zu Missverständnissen und Falschannahmen. So sehr sie sich an klassischen Outsourcing-Modellen orientieren und in Sachen Security entlastet werden wollen: Das Thema Cloud-Sicherheit lässt sich nicht vollends auf den Cloud Provider abwälzen. Für die Cloud-Security ist der Cloud Consumer mitverantwortlich, möchte er Applikationen, Entwicklungsumgebungen oder virtualisierte Server-Instanzen wirklich sicher aus der Public Cloud beziehen.

«Grundsätzlich ist der Cloud Provider für die Sicherheit der Cloud-Infrastruktur, der Cloud Consumer dagegen für die Sicherheit innerhalb der Cloud zuständig.»

Klaus Gribi, Senior Security Consultant von Swisscom

Das Shared Responsibility-Modell regelt dabei die Zuständigkeitsbereiche von Cloud-Nutzer und -Anbieter. Ursprünglich wurde dieses Verantwortungsmodell für Sicherheit und Compliance von Amazon Web Services und Microsoft Azure formuliert; heute setzen aber auch andere Cloud Provider auf diese Aufteilung. «Im Wesentlichen unterscheidet Shared Responsibility zwischen der Sicherheit der Public Cloud selbst (Security of the Cloud) und der Sicherheit in der Public Cloud (Security in the Cloud)», erklärt Klaus Gribi, Senior Security Consultant von Swisscom. «Grundsätzlich ist der Cloud Provider für die Sicherheit der Cloud-Infrastruktur, der Cloud Consumer dagegen für die Sicherheit innerhalb der Cloud zuständig».

Das Shared-Responsibility-Modell von Microsoft Azure.  

Die Verantwortlichkeiten unterscheiden sich je nach Cloud-Service-Modell, das der Cloud Consumer bezieht:

  • Infrastructure as a Service: Cloud Provider übernehmen nur wenig Verantwortung
    Für die Sicherheit von IaaS-Lösungen sind Cloud Consumer mehrheitlich allein zuständig: Er verantwortet die Sicherheit des Betriebssystems, der Daten und der Applikationen. Der Cloud Provider sorgt lediglich für den Schutz der Virtualisierungsplattform.
  • Platform as a Service: Der Cloud Provider ist stärker in der Pflicht
    Bei PaaS kümmern sich Cloud Provider um die Sicherheit der ganzen Entwicklungsumgebung wie auch der Betriebssysteme und der Datenbanken. Der Anwender dagegen ist verantwortlich für die Sicherheit und Verwaltung von den auf der Plattform entwickelten und betriebenen Applikationen und der Daten.
  • Software as a Service: Nutzer werden entlastet
    Bei SaaS-Angeboten verantwortet der Service-Provider den Grossteil aller Sicherheitsaspekte: Abgesehen von der Benutzer-Verwaltung und der Daten, die in der Cloud gespeichert werden, nimmt er sich der gesamten Cloud-Sicherheit an. SaaS-Anwender sind entsprechend für den Daten- und Informationsschutz zuständig. «Nutzer von SaaS-Lösungen sind im Wesentlichen noch dafür zuständig, dass das Identity und Access Management korrekt umgesetzt wird und dass nur die Daten in die Cloud gelangen, die sie auch wirklich in der Cloud haben möchten», sagt Gribi. «Die Cloud Consumer können die ausgelagerten Daten noch zusätzlich schützen, indem sie die Daten verschlüsseln.»

Verantwortungsbereiche können abweichen

Zwar stellt das Shared-Responsibility-Modell oftmals eine Faustregel dar; für welche technischen Bereiche Cloud Consumer und Provider aber genau zuständig sind, kann sich von Fall zu Fall unterscheiden. «Zwar ist ein IaaS-Kunde ab Betriebssystem-Ebene für die Cloud-Sicherheit verantwortlich; dennoch installieren einige Anbieter z.B. für die Performance-Überwachung der virtualisierten Instanzen auch Komponenten ins Betriebssystem», hält Gribi fest. «Bei Shared Responsibility gibt es also durchaus anbieterspezifische Grenzen, die dynamisch verlaufen können.»

 

Kommt dazu, dass der Cloud Consumer einzelne Aufgabenbereiche auslagern kann: Entscheidet er sich beispielsweise für ein Managed OS einer IaaS-Instanz, verantwortet nicht mehr er, sondern der Cloud- oder ein Dritt-Provider das Betriebssystem. Unter Umständen bleibt aber etwa das Firewall-Management weiterhin Aufgabe des Cloud Consumers – die Shared Responsibility wird komplexer. Die Service Level Agreements (SLAs) des Cloud Providers regeln für jeden Fall genau, wie die Zuständigkeiten von Provider und Consumer aufgeteilt werden. Deshalb müssen sich Cloud Consumer genau mit den SLAs auseinandersetzen. Nur so sind sie in der Lage, selbst die geeigneten Security-Massnahmen zu ergreifen – und die genutzten Cloud-Services auch von ihrer Seite aus bestmöglich zu schützen.

Auch technische und organisatorische Faktoren sind entscheidend

Nebst diesen technischen Aspekten umfasst Shared Responsibility auch weitere Faktoren. Etwa müssen Cloud Consumer in Erfahrung bringen, wie ihr Chief Information Security Officer mit der Sicherheitsorganisation des Cloud Providers zusammenarbeiten kann:

 

  • Wie genau werden Vulnerability-Management-Prozesse abgewickelt?
  • Wie betreibt der Provider das Security Incident Management?
  • Wie werden die Informationen, welche das Cloud Security Portal des Cloud Providers bereitstellt, in die eigenen Sicherheitsprozesse integriert?

 

«Das Thema Cloud-Sicherheit hört somit nicht auf technischer Sicherheitsebene auf, sondern betrifft Cloud Consumer auch in administrativer und organisatorischer Hinsicht», hält Gribi fest. «So sind auch diese Faktoren bereits bei der Evaluation und Wahl eines geeigneten Cloud-Providers elementar.»

Hand with smartphone

Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?


Mehr zum Thema