Was ist das Modell der gemeinsamen Verantwortung?
Das Modell der gemeinsamen Verantwortung ist ein Sicherheits- und Compliance-Framework, das die Verantwortungsbereiche von Cloud-Service-Anbietern (CSPs) und Kunden bei der Absicherung aller Aspekte der Cloud-Umgebung regelt – also Hardware, Infrastruktur, Endgeräte, Daten, Konfigurationen, Einstellungen, Betriebssysteme, Netzwerkkontrollen und Zugriffsrechte.
Einfach ausgedrückt legt das Modell fest, dass der Cloud-Service-Anbieter (z. B. Amazon Web Service (AWS), Microsoft Azure oder Google Cloud Platform (GCP)) Sicherheitsbedrohungen, die die Cloud selbst und die grundlegende Infrastruktur angreifen, überwachen und abwehren muss. Gleichzeitig liegt es in der Verantwortung der Endbenutzer – also sowohl Einzelpersonen als auch Firmen –, die Daten und andere in der Cloud-Umgebung gespeicherte Assets zu schützen.
Leider kann der Ausdruck „gemeinsame Verantwortung“ auch missverstanden werden und zu der Annahme führen, dass Cloud-Workloads – sowie alle dazugehörigen Anwendungen, Daten oder Aktivitäten – im vollen Umfang vom Cloud-Anbieter geschützt werden. Dadurch führen Benutzer unwissentlich Workloads in der Public Cloud aus, die nicht vollständig geschützt sind. Dies macht sie gegenüber Angriffen auf das Betriebssystem, Daten oder Anwendungen anfällig. Doch auch sicher konfigurierte Workloads können zur Laufzeit angegriffen werden, da sie für Zero-Day-Exploits anfällig sind.
Gemeinsame Verantwortung bei den drei Cloud-Service-Bereitstellungsmodellen
Es gibt drei wichtige Cloud-Service-Modelle:
Jedes dieser Modelle unterliegt dem Konzept der gemeinsamen Verantwortung, allerdings unterscheiden sich die Zuständigkeiten für Sicherheitsaufgaben und -funktionen bei jedem Bereitstellungsmodell.
Software-as-a-Service (SaaS): SaaS ist ein Software-Bereitstellungsmodell, bei dem der Anbieter eine Anwendung zentral in der Cloud hostet, die von einem Abonnenten genutzt werden kann. Bei diesem Modell ist der Anbieter für die Anwendungssicherheit, Wartung und Verwaltung verantwortlich.
Platform-as-a-Service (PaaS): PaaS ist ein Plattform-Bereitstellungsmodell, über das Anwendungen entwickelt, ausgeführt und verwaltet werden können. Beim Cloud-Plattformmodell stellt der Anbieter sowohl die Hardware als auch die Software bereit, die in der Regel von Anwendungsentwicklern verwendet wird. Außerdem ist der Service-Anbieter für die Sicherheit der Plattform und ihrer Infrastruktur verantwortlich.
Infrastructure-as-a-Service (IaaS): IaaS ist ein Infrastruktur-Bereitstellungsmodell, bei dem ein Anbieter eine breite Palette an Computerressourcen wie virtualisierte Server, Speicher und Netzwerktechnologie über das Internet bereitstellt. Bei diesem Modell ist das Unternehmen für die Sicherheit aller Komponenten verantwortlich, die es besitzt oder die in der Infrastruktur installiert wurden, einschließlich Betriebssysteme, Anwendungen, Middleware, Container, Workloads, Daten und Code.
| Service-Typ | Verantwortung des Anbieters | Verantwortung des Benutzers |
|---|---|---|
| SaaS | Anwendungssicherheit | Endgeräte, Benutzer- und Netzwerksicherheit; Konfigurationsfehler, Workloads und Daten |
| PaaS | Plattformsicherheit, einschließlich aller Hardware und Software | Sicherheit der Anwendungen, die auf der Plattform entwickelt werden Endgeräte, Benutzer- und Netzwerksicherheit und Workloads |
| IaaS | Sicherheit aller Infrastrukturkomponenten | Sicherheit aller Anwendungen, die auf der Infrastruktur installiert sind (z. B. Betriebssysteme, Anwendungen, Middleware) Endgeräte, Benutzer- und Netzwerksicherheit, Workloads und Daten |
| Element | SaaS | PaaS | IaaS |
|---|---|---|---|
| Anwendungssicherheit | CSP | Benutzer | Benutzer |
| Plattformsicherheit | CSP | CSP | Benutzer |
| Infrastruktur | CSP | Benutzer | CSP |
| Endgerätesicherheit | Benutzer | Benutzer | Benutzer |
| Datensicherheit / Datenschutz | Benutzer | Benutzer | Benutzer |
| Netzwerksicherheit | CSP | CSP | Benutzer |
| Benutzersicherheit | Benutzer | Benutzer | Benutzer |
| Container und Cloud-Workloads | Benutzer | Benutzer | Benutzer |
| APIs und Middleware | CSP | Benutzer | Benutzer |
| Code | Benutzer | Benutzer | Benutzer |
| Virtualisierung | CSP | CSP | Benutzer |
Das Modell der gemeinsamen Verantwortung in der Praxis
Direkte Kontrolle
Das Modell der gemeinsamen Verantwortung basiert auf dem Konzept, dass zwei oder mehr Parteien die Sicherheit der einzelnen Elemente der Public Cloud-Umgebung gewährleisten. Dabei sollte jedoch beachtet werden, dass Kunden und CSPs nicht für ein und dasselbe Asset verantwortlich sind.
Stattdessen übernehmen die Parteien – unabhängig von der Art des Service-Modells – die vollständige Verantwortung für die Sicherheit aller Assets unter ihrer jeweiligen direkten Kontrolle.
Der Kunde ist beispielsweise immer verantwortlich für Datensicherheit, Compliance und Zugriff – unabhängig davon, ob es sich um ein SaaS-, PaaS- oder IaaS-Modell handelt. Dies hat ganz praktische Gründe, denn CSPs haben keinen Einblick in die in der Public Cloud gespeicherten Daten und können daher die Datensicherheit und den Zugriff nicht effektiv verwalten.
In der Regel übernimmt der Kunde ebenfalls die Verantwortung für folgende Bereiche:
- Identitäts- und Zugriffsverwaltung (IAM)
- Benutzersicherheit und Anmeldedaten
- Endgerätesicherheit
- Netzwerksicherheit
- Sicherheit von Workloads und Containern
- Konfigurationen
- APIs und Middleware
- Code
Parallel dazu tragen die Cloud-Anbieter (z. B. Amazon, Microsoft oder Google) die Verantwortung für die Bereiche, die unter ihrer direkten Kontrolle stehen. Meist betrifft dies die Sicherheit der folgenden Bereiche:
- Die physische Ebene und alle dazugehörige Hardware und Infrastruktur
- Die Virtualisierungsebene
- Netzwerkkontrollen und Anbieter-Services
- Die Gebäude und Anlagen, in denen Cloud-Ressourcen betrieben werden
Geteilte Verantwortungsbereiche
Bei einigen IaaS- und PaaS-Modellen gibt es zum Teil unterschiedliche Sicherheitsaufgaben, die vom jeweiligen Cloud-Anbieter oder den im Service Level Agreement (SLA) festgelegten Bedingungen abhängen.
Wenn es beispielsweise um Netzwerkkontrollen wie eine Firewall geht, ist häufig der Service-Anbieter für die Bereitstellung des Firewall-Services verantwortlich. Doch alle anderen Aspekte wie Konfiguration, Regeln, Überwachung und Reaktion müssen vom Benutzer selbst verwaltet werden. Beide Parteien tragen also einen Teil zur Sicherheit bei, haben jedoch klar definierte und voneinander abgegrenzte Verantwortungsbereiche.
Wenn ein Kunde einen Datenspeicher-Service in der Public Cloud nutzt, ist der Cloud-Anbieter folglich für alle Aspekte des Cloud-Rechenzentrums verantwortlich, einschließlich Sicherheit, Überwachung, Wartung und Updates. Allerdings trägt der Kunde immer noch die volle Verantwortung für die Sicherheit der Daten in der Cloud-Umgebung und muss sicherstellen, dass nur autorisierten Benutzern Zugriff gewährt wird.
Gemäß dem Konzept der gemeinsamen Verantwortung darf auch keine Partei der anderen vorschreiben, wie sie ihre Assets schützen soll. So kann beispielsweise ein Kunde dem CSP nicht vorgeben, wie oder wann die Überwachung und Tests zu erfolgen haben. Dennoch sollte in der Dienstleistungsvereinbarung festgelegt sein, welche Maßnahmen der Anbieter zum Schutz seiner Kunden ergreifen muss und wie dies dokumentiert werden soll. Zumeist erstellen Cloud-Anbieter regelmäßige Prüfberichte, um nachzuweisen, dass sie die notwendigen und angemessenen Maßnahmen zum Schutz ihrer Kunden ergreifen.
WEITERE INFORMATIONEN
Auch Bedrohungsakteure setzen auf die Cloud – ihr Ziel ist jedoch der Missbrauch der Funktionen von Cloud-Service-Anbietern, um die Unternehmensumgebungen zu kompromittieren. Da immer mehr Unternehmen auf hybride Arbeitsumgebungen setzen, wird sich dieser Trend in nächster Zeit wahrscheinlich fortsetzen. Missbrauch von Cloud-Service-Anbietern
Vorteile des Modells der gemeinsamen Verantwortung
Das Modell der gemeinsamen Verantwortung ist komplex und erfordert eine sorgfältige Koordinierung zwischen Anbieter und Kunden. Doch der Ansatz bietet den Benutzern auch mehrere wichtige Vorteile, zum Beispiel:
- Effizienz: Obwohl der Kunde beim Modell der gemeinsamen Verantwortung eine hohe Verantwortung trägt, werden einige Sicherheitsaspekte (z. B. die Sicherheit der Hardware, Infrastruktur und Virtualisierungsebene) nahezu immer vom CSP verwaltet. Beim herkömmlichen lokalen Modell hingegen übernahm der Kunde die Verwaltung dieser Bereiche. Durch den Wechsel in die Cloud kann sich das IT-Team nun wieder auf andere Aufgaben konzentrieren und die verfügbaren Ressourcen und Investitionen für den eigenen Verantwortungsbereich einsetzen.
- Erweiterter Schutz: Cloud-Service-Anbieter achten sehr auf die Sicherheit ihrer Cloud-Umgebung und setzen in der Regel erhebliche Ressourcen ein, um ihre Kunden umfassend zu schützen. Im Rahmen der Dienstleistungsvereinbarung führen CSPs gründliche Überwachungen sowie Tests durch und kümmern sich um die zeitnahe Installation von Patches und Updates.
- Know-how: Häufig verfügen CSPs im neuen Bereich der Cloud-Sicherheit über mehr Wissen und Kompetenz. Wenn Kunden einen Vertrag mit einem Cloud-Anbieter schließen, profitieren sie von der Erfahrung sowie den Assets und Ressourcen des Partners.
Best Practices für die Umsetzung des Modells der gemeinsamen Verantwortung
Viele Unternehmen wechseln in die Cloud und gehen das erste Mal geschäftliche Beziehungen mit Cloud-Anbietern ein. Die folgenden Best Practices sollen Unternehmen eine Orientierung zu diesem komplexen Thema geben:
- Sorgfältige Prüfung des SLA: Die Sicherheitsaufgaben hängen vom jeweiligen Cloud-Modell, Cloud-Anbieter und anderen Variablen ab. Das SLA mit dem Cloud-Anbieter muss sorgfältig geprüft werden, damit sich das Unternehmen über seinen Verantwortungsbereich voll und ganz bewusst ist. Zudem müssen potenzielle Graubereiche identifiziert werden, die noch geklärt werden sollten. Wenn das Unternehmen den Cloud-Anbieter wechseln oder ein neues Bereitstellungsmodell wählen möchte, muss der Vertrag sorgfältig neu bewertet und alle Änderungen geprüft werden. Möglicherweise sieht das SLA dem alten Vertrag sehr ähnlich. Doch bereits kleine Änderungen im Wortlaut können zu erheblichen Sicherheitsrisiken für das Unternehmen führen. Zudem müssen Unternehmen, die mit einer Multi-Cloud-Umgebung arbeiten, jedes SLA einzeln prüfen, da jeder Anbieter andere Bedingungen stellt. Die kleinen Unterschiede zwischen den Vereinbarungen müssen in die gesamte Cloud-Sicherheitsstrategie und Architektur miteinbezogen werden.
- Datensicherheit hat Priorität: Der Cloud-Kunde trägt immer die volle Verantwortung für alle Daten, die in der Cloud gespeichert sind oder von den Anwendungen in der Cloud generiert werden. Deshalb müssen Unternehmen eine robuste Datensicherheitsstrategie entwickeln, die gezielt Cloud-basierte Daten schützt – während der Nutzung und Übertragung sowie am Speicherort.
- Zuverlässige Identitäts- und Zugriffsverwaltung: Der Cloud-Kunde trägt ebenfalls die volle Verantwortung für die Definition von Zugriffsrechten für cloudbasierte Ressourcen und die Gewährung von Zugriff für autorisierte Benutzer. Diese Maßnahmen sollten in die allgemeine IAM-Richtlinie und dazugehörige Lösungen integriert werden.
- Nutzung von DevSecOps: DevSecOps – die Abkürzung für „Development, Security and Operations“ (Entwicklung, Sicherheit und Betrieb) – bezeichnet die Integration von Sicherheit während des gesamten Lebenszyklus der Software- bzw. Anwendungsentwicklung, um Sicherheitsschwachstellen zu minimieren und die Compliance zu verbessern – ohne dass dies Auswirkungen auf die Geschwindigkeit der Veröffentlichungszyklen hat. Ein DevSecOps- oder Shift-Left-Ansatz ist ein absolutes Muss für jedes IT-Unternehmen, das Container oder die Cloud nutzt. Denn für beide sind neue Sicherheitsempfehlungen, -richtlinien, -praktiken und -tools erforderlich.
- Wahl eines vertrauenswürdigen Cybersicherheitspartners: Cloud-Sicherheit unterscheidet sich grundlegend von der Sicherheit lokaler Netzwerke. Die Cybersicherheitsstrategie und dazugehörige Tools müssen im Zuge neuer cloudbasierter Risiken überarbeitet und angepasst werden. Dies kann sehr aufwändig und kompliziert sein, besonders wenn das Unternehmen mit einer hybriden oder Multi-Cloud-Umgebung arbeitet. Ein Cybersicherheitspartner kann das interne Sicherheitsteam des Unternehmens bei der Verwaltung aller Aspekte der Cloud-Sicherheit unterstützen – zum Beispiel bei der Wahl eines CSP oder wenn es darum geht, die eigenen Sicherheitsaufgaben zu verstehen sowie die richtigen Tools und Lösungen bereitzustellen und zu integrieren, die das Unternehmen schützen sollen.
CrowdStrike-Lösungen für Cloud-Sicherheit
CrowdStrike hat den Begriff Sicherheit mit der weltweit fortschrittlichsten cloudnativen Plattform neu definiert. Sie schützt und unterstützt Ihre Mitarbeiter, Prozesse und Technologien, die das moderne Unternehmen ausmachen.
Die CrowdStrike Falcon-Plattform nutzt die CrowdStrike Security Cloud, um Echtzeit-Angriffsindikatoren, Bedrohungsanalysen, veränderte Vorgehensweisen von Angreifern sowie angereicherte Telemetriedaten aus dem gesamten Unternehmen auszuwerten. Dadurch kann die CrowdStrike-Plattform äußerst präzise Bedrohungen erkennen, automatisierte Schutz- und Behebungsmaßnahmen bereitstellen, zuverlässige Bedrohungssuchen durchführen und Schwachstellen priorisieren.
Weitere Informationen zu den CrowdStrike-Cloud-Sicherheitslösungen – einschließlich unserer Services speziell für AWS, GCP und Azure – finden Sie hier:
