Beim Schutz der Public Cloud teilen sich Anbieter und das Unternehmen, das die Cloud nutzt, die Verantwortung. Wie genau, regelt das Shared-Responsibility-Modell.
Text: Christoph Widmer, Bilder: tnt-graphics, 28. Mai 2019
Rechenleistung auf Knopfdruck. Business-relevante Applikationen, auf die jederzeit zugegriffen werden kann. Vorgefertigte Entwicklungsumgebungen, die IT-Abteilungen zur Verfügung stehen: Mit der Cloud hat sich die Art und Weise, wie IT konsumiert wird, grundlegend verändert. Damit einhergehend wurde aber das Thema Informationssicherheit (IT Sicherheit, Informations- und Datenschutz) komplexer. Gerade die Sicherheit der Public Cloud führt bei Cloud Consumern immer wieder zu Missverständnissen und Falschannahmen. So sehr sie sich an klassischen Outsourcing-Modellen orientieren und in Sachen Security entlastet werden wollen: Das Thema Cloud-Sicherheit lässt sich nicht vollends auf den Cloud Provider abwälzen. Für die Cloud-Security ist der Cloud Consumer mitverantwortlich, möchte er Applikationen, Entwicklungsumgebungen oder virtualisierte Server-Instanzen wirklich sicher aus der Public Cloud beziehen.
«Grundsätzlich ist der Cloud Provider für die Sicherheit der Cloud-Infrastruktur, der Cloud Consumer dagegen für die Sicherheit innerhalb der Cloud zuständig.»
Klaus Gribi, Senior Security Consultant von Swisscom
Das Shared Responsibility-Modell regelt dabei die Zuständigkeitsbereiche von Cloud-Nutzer und -Anbieter. Ursprünglich wurde dieses Verantwortungsmodell für Sicherheit und Compliance von Amazon Web Services und Microsoft Azure formuliert; heute setzen aber auch andere Cloud Provider auf diese Aufteilung. «Im Wesentlichen unterscheidet Shared Responsibility zwischen der Sicherheit der Public Cloud selbst (Security of the Cloud) und der Sicherheit in der Public Cloud (Security in the Cloud)», erklärt Klaus Gribi, Senior Security Consultant von Swisscom. «Grundsätzlich ist der Cloud Provider für die Sicherheit der Cloud-Infrastruktur, der Cloud Consumer dagegen für die Sicherheit innerhalb der Cloud zuständig».
Das Shared-Responsibility-Modell von Microsoft Azure.
Die Verantwortlichkeiten unterscheiden sich je nach Cloud-Service-Modell, das der Cloud Consumer bezieht:
Zwar stellt das Shared-Responsibility-Modell oftmals eine Faustregel dar; für welche technischen Bereiche Cloud Consumer und Provider aber genau zuständig sind, kann sich von Fall zu Fall unterscheiden. «Zwar ist ein IaaS-Kunde ab Betriebssystem-Ebene für die Cloud-Sicherheit verantwortlich; dennoch installieren einige Anbieter z.B. für die Performance-Überwachung der virtualisierten Instanzen auch Komponenten ins Betriebssystem», hält Gribi fest. «Bei Shared Responsibility gibt es also durchaus anbieterspezifische Grenzen, die dynamisch verlaufen können.»
Kommt dazu, dass der Cloud Consumer einzelne Aufgabenbereiche auslagern kann: Entscheidet er sich beispielsweise für ein Managed OS einer IaaS-Instanz, verantwortet nicht mehr er, sondern der Cloud- oder ein Dritt-Provider das Betriebssystem. Unter Umständen bleibt aber etwa das Firewall-Management weiterhin Aufgabe des Cloud Consumers – die Shared Responsibility wird komplexer. Die Service Level Agreements (SLAs) des Cloud Providers regeln für jeden Fall genau, wie die Zuständigkeiten von Provider und Consumer aufgeteilt werden. Deshalb müssen sich Cloud Consumer genau mit den SLAs auseinandersetzen. Nur so sind sie in der Lage, selbst die geeigneten Security-Massnahmen zu ergreifen – und die genutzten Cloud-Services auch von ihrer Seite aus bestmöglich zu schützen.
Nebst diesen technischen Aspekten umfasst Shared Responsibility auch weitere Faktoren. Etwa müssen Cloud Consumer in Erfahrung bringen, wie ihr Chief Information Security Officer mit der Sicherheitsorganisation des Cloud Providers zusammenarbeiten kann:
«Das Thema Cloud-Sicherheit hört somit nicht auf technischer Sicherheitsebene auf, sondern betrifft Cloud Consumer auch in administrativer und organisatorischer Hinsicht», hält Gribi fest. «So sind auch diese Faktoren bereits bei der Evaluation und Wahl eines geeigneten Cloud-Providers elementar.»
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?