Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Cloud-Sicherheit: Drei Dinge, die InfoSec-Verantwortliche über das Shared Responsibility-Modell wissen müssen

Unabhängig davon, ob Sie gerade erstmals den Weg in die Cloud beschreiten oder bereits zahlreiche Bereitstellungen hinter sich haben – es zahlt sich aus, genau in Erfahrung zu bringen, welche Aspekte der Sicherheit in der Cloud Ihrem Cloud-Provider obliegen und welche in den Zuständigkeitsbereich Ihrer Sicherheitsabteilung fallen.

Das Jahr 2020 neigt sich dem Ende zu und weltweit müssen sich Unternehmen mit der Erkenntnis auseinandersetzen, dass die schnellen Veränderungen, die zu Beginn des Jahres als Reaktion auf die Coronavirus-Pandemie vorgenommen wurden, möglicherweise von Dauer sein werden. Für manche könnte dies eine strategische Entscheidung bedeuten, die Nutzung von Cloud-Services, einschließlich Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS), noch weiter zu erhöhen. 

Im heutigen Umfeld liegen die Vorteile einer Umstellung auf die Cloud klar auf der Hand, da es für die Aufrechterhaltung des Unternehmensbetriebs unerlässlich ist, Mitarbeitern den Remote-Zugriff auf die kritischen Tools und Daten zu ermöglichen, die sie für ihre Arbeit benötigen. Anfang dieses Jahres ergab eine von Forrester Consulting im Auftrag von Tenable durchgeführte weltweite Studie, dass fast zwei Drittel der Unternehmen (64 %) Mitarbeiter haben, die standortfern bzw. im Homeoffice arbeiten. Die Studie zeigte außerdem auf, dass von den 416 befragten Sicherheitsverantwortlichen eine komplexe Mischung aus Technologien und Services verwaltet wird, darunter Public Cloud (41 %), Private Cloud (45 %) und Hybrid (39 %). Da die Notwendigkeit einer voll funktionsfähigen Remote-Belegschaft auch weiterhin besteht, gehen wir davon aus, dass im Jahr 2021 und darüber hinaus noch mehr Unternehmen ihr Cloud-Portfolio erweitern werden. 

Unabhängig davon, ob Sie gerade erstmals den Weg in die Cloud beschreiten oder bereits zahlreiche Bereitstellungen hinter sich haben – es zahlt sich aus, genau in Erfahrung zu bringen, welche Aspekte der Sicherheit in der Cloud Ihrem Cloud-Provider obliegen und welche in den Zuständigkeitsbereich Ihrer Sicherheitsabteilung fallen. Wie bei so vielem im Bereich der Informationstechnologie können die Antworten sehr unterschiedlich ausfallen, je nachdem, welche Art von Cloud-Technologie Sie einsetzen. Hier ist eine kurze Aufschlüsselung, wie das Shared Responsibility-Modell (auch als Modell der gemeinsamen/geteilten Verantwortung bezeichnet) für drei Hauptebenen des Cloud Computing aussieht, basierend auf Leitlinien der Cloud Security Alliance:

  • IaaS: Auf dieser Ebene ist der Cloud Service Provider (CSP) unter anderem für die Virtualisierungssicherheit und die Infrastruktursicherheit verantwortlich. Bereiche wie Datensicherheit, Anwendungssicherheit, Middleware-Sicherheit und Host-Sicherheit fallen in die Zuständigkeit des IaaS-Kunden. Einfach ausgedrückt: Benutzer sind für das Gastbetriebssystem und alles, was sich darin befindet, verantwortlich. 
  • PaaS: Auf dieser Ebene sind die Zuständigkeiten des CSP weiter gefasst und umfassen unter anderem: Sicherheitskonfiguration, Management, Betriebsüberwachung und Notfallreaktion der Infrastruktur; Sicherheit virtueller Netzwerke; Sicherheit der Plattform-Schicht, wie z.B. die Sicherheit von Betriebssystemen und Datenbanken; und Sicherheit von Anwendungssystemen. Der PaaS-Kunde ist für die Daten- und Anwendungssicherheit verantwortlich.
  • SaaS: Auf dieser Ebene ist der CSP für die Sicherheit der Anwendung und der zugrunde liegenden Komponenten verantwortlich. Der SaaS-Kunde trägt die Verantwortung für Datensicherheit und Endgeräteschutz.

Das Beispiel unten, von Microsoft, veranschaulicht ein typisches Shared Responsibilty-Modell:

Cloud-Sicherheit und das Shared Responsibility-Modell

Bildquelle: https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility

Auch wenn das Shared Responsibility-Modell auf den ersten Blick recht einfach aussieht, müssen sich die Sicherheitsexperten auf erhebliche Nuancen innerhalb der einzelnen Ebenen einstellen. So kann beispielsweise das Schwachstellen-Management für IaaS-Bereitstellungsmodelle besonders kompliziert und zeitaufwendig sein. Sicherheitsteams benötigen eine vollständige Bestandsaufnahme von Virtual Private Clouds (VPCs) und Elastic Compute 2 (EC2) Image-Pipelines, um beginnen zu können. Scanner und Agents müssen konfiguriert, installiert und kontinuierlich verwaltet werden, um Updates einzubinden. Neue Schwachstellen-Erkennungen können sich um mehrere Wochen verzögern. Und als wäre all dies nicht schon schwierig genug, müssen Sicherheitsexperten auch noch zahlreiche blinde Flecken berücksichtigen, die auf unbekannte Cloud-Accounts und dynamische Cloud-Umgebungen zurückzuführen sind, die sich ständig verändern.

Ein weiteres Thema für Sicherheitsexperten ist die Erkenntnis, dass die Sicherheit der Speicherinfrastruktur in der Verantwortung des CSP liegt, Benutzer jedoch ebenfalls einen erheblichen Einfluss haben. Fehlkonfigurationen – ob in S3-Buckets oder EC2-Instanzen – sind eine Hauptursache für Sicherheitsverstöße.

Darüber hinaus können die Einzelheiten der gemeinsamen Verantwortung voneinander abweichen, je nachdem, ob es sich bei Ihrem CSP um Amazon Web Services (AWS), Google Cloud Platform (GCP) oder Microsoft Azure handelt. Zusätzlich zu den Leitlinien, die von der Cloud Security Alliance zur Verfügung gestellt werden, sind Ressourcen zum Verständnis der Rolle Ihres Sicherheitsteams im Shared Responsibility-Modell ebenfalls beim Center for Internet Security erhältlich. 

Gemeinsame Verantwortung in der Cloud: 3 Dinge, die Cybersecurity-Verantwortliche wissen müssen

Die Cloud-Computing-Studie 2020 der IDG, bei der 551 IT-Entscheidungsträger (ITDMs) befragt wurden, ergab, dass die überwiegende Mehrheit der Befragten (81 %) bereits Computing-Infrastrukturen oder Anwendungen in der Cloud nutzen und weitere 12 % planen, in den nächsten 12 Monaten cloudbasierte Anwendungen einzuführen. Falls Sie dazu gehören, sollten Sie im Zusammenhang mit dem Shared Responsibility-Modell drei Dinge beachten:

  1. Auch wenn es auf dem Papier und in Grafiken gleichmäßig verteilt erscheinen mag, liegt ein erheblicher Teil der Verantwortung, der Implementierung und der Verteidigung der Angriffsoberfläche immer noch im Zuständigkeitsbereich des Kunden. Unterschätzen Sie nicht die Zeit und die Ressourcen, die Sie in jede Cloud-Bereitstellung investieren müssen – einschließlich aller notwendigen Trainings, um Ihr Team entsprechend fit zu machen.

  2. Bestimmte Audit- und Compliance-Kategorien werden dadurch vereinfacht, dass der Wechsel in die Cloud über vom Cloud-Provider vererbte Kontrollen erfolgt. Vererbte Kontrollen können Patch-Management und Konfigurationsmanagement umfassen und zu spürbaren Kosteneinsparungen führen. Auch wenn Ihr Infosec-Team diese Strategie steuern sollte, es ist dennoch wichtig, mit anderen Schlüsselgruppen in Ihrem Unternehmen zusammenzuarbeiten, insbesondere mit der Abteilung Governance, Risk and Compliance (GRC) und der Rechtsabteilung. Das interne Audit-Team kann sich hier als besonders hilfreich erweisen. Laut einem Deloitte-Bericht von 2018 „kann die Abteilung für Informationssicherheit eines Unternehmens zwar Kapazitäten für die Cloud-Überwachung aufbauen, aber [das interne Audit-Team] kann Unterstützung leisten und die Wirksamkeit der Kontrollumgebung bewerten sowie verhindern, dass die IT-Abteilung außen vor bleibt“. 

  3. Gehen Sie nicht davon aus, dass der Cloud-Provider im Falle eines Verstoßes allein haftbar ist. Selbst wenn ein Szenario eintreten sollte, in dem der Cloud-Provider als schuldig befunden wird, könnten sich die Folgen potenziell auch auf Ihre Kunden erstrecken und Ihr Unternehmen könnte in Sammelklagen genannt werden. In vielen Gerichtsbarkeiten liegt die rechtliche Haftung beim Datenbesitzer (d. h. dem Unternehmen, das die Cloud-Services nutzt) und nicht beim CSP selbst. Kurz gesagt: Seien Sie nicht nachlässig. Wenn Sie Ihre Rolle im Shared Responsibility-Modell ernst nehmen, können Sie nicht nur die Sicherheit Ihrer Daten gewährleisten, sondern auch Ihr Unternehmen im Falle einer Klage schützen.


Forrester prognostiziert, dass im Jahr 2021 „Cloud Computing die Art und Weise prägen wird, wie sich Unternehmen auf die 'neue, instabile Normalität' einstellen.“ Jetzt ist der richtige Zeitpunkt, alle Cloud-Lösungen, die zu Beginn dieses Jahres in aller Eile eingeführt wurden, genau zu evaluieren und Services zu überprüfen, die Sie bereits seit einiger Zeit einsetzen, um sicherzustellen, dass Sie alle Ihre Sicherheitsverpflichtungen im Rahmen des Shared Responsibility-Modells erfüllen. 

Erfahren Sie mehr:

Verwandte Artikel

Abonnieren Sie den Tenable Blog

Abonnieren
Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

30 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen
Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community. Vollständige Details finden Sie hier.

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Demo von Tenable.ot anfordern

Passgenauer Schutz Ihrer operativen Technologien –
durch effektive Risikoreduzierung.