Aufrufe
vor 2 Wochen

Netzwoche 10/2019

28 DOSSIER Thema In

28 DOSSIER Thema In Kooperation mit xxxxxxx Bild: Alex / adobe.stock.com Dossier Shared Responsibility In Kooperation mit Swisscom Cloud-Sicherheit ist eine Teamaufgabe osc. Hype-Themen gibt es viele in der IT, doch von zwei Dingen ist es unbestritten, dass sie die digitale Welt prägen: Cloud Computing und Cybersecurity. Die Migration in die Cloud ist aktuell in vielen Unternehmen in vollem Gange. Gerade Public Clouds geniessen hierbei grosse Aufmerksamkeit. Genau wie bei On-Premise- Systemen stellt sich aber die Frage, wie die Sicherheit gewährleistet werden kann. Ein Modell für die Sicherheit der Public Cloud ist «Shared Responsibility». Es regelt, wie die Verantwortlichkeiten zwischen dem Cloud-Service-Provider und dem Cloud Consumer aufgeteilt werden, wie Christoph Widmer, Redaktor bei Tnt-Graphics, ab Seite 29 zeigt. Die weit verbreitete Meinung, der Provider sei hauptverantwortlich für den Schutz von Unternehmensdaten in der Public Cloud, sei falsch, schreibt der Autor. Beide Seiten müssten zusammenarbeiten. Im Interview auf Seite 31 gibt Klaus Gribi, Cloud-Security-Experte, von Swisscom, Auskunft über die aktuelle Bedrohungslage, die feinen Unterschiede in der Cloud-Security und die Grenzen des Shared-Responsibility-Modells. 10 / 2019 www.netzwoche.ch © netzmedien ag

In Kooperation mit Swisscom Shared Responsibility DOSSIER29 Mit geteilter Verantwortung zur sicheren Cloud Die Sicherheit bei Public Clouds ist nicht nur Aufgabe des Cloud-Service-Providers – auch Cloud Consumer müssen zum Schutz beitragen. Wie die Verantwortlichkeiten zwischen Cloud-Nutzer und -Anbieter aufgeteilt werden, regelt das Shared-Responsibility-Modell. DER AUTOR Christoph Widmer ist Redaktor bei Tnt-Graphics und verfasst in dieser Funktion unter anderem Fachbeiträge für Swisscom. Beim Thema Cloud-Sicherheit unterliegen viele Unternehmen nach wie vor grundsätzlichen Missverständnissen. Das belegt eine Studie des US-amerikanischen Cybersecurity-Unternehmens Palo Alto Networks aus dem letzten Jahr, für die 500 Sicherheitsexperten von Grossunternehmen in Europa und dem Nahen Osten befragt wurden. Zwar zeigen sich 83 Prozent der Befragten zuversichtlich, dass ihr Cloud-Service-Provider die Infrastruktur gut schützt. Gleichzeitig sind ein Drittel der Befragten fälschlicherweise der Ansicht, dass der Cloud-Service-Provider die Hauptverantwortung beim Schutz der Unternehmensdaten in der Public Cloud trage. Cloud-Sicherheit ist nicht bloss Angelegenheit des Cloud- Service-Providers. Auch Cloud Consumer müssen ihren Beitrag leisten, damit sie Applikationen, Entwicklungsumgebungen oder virtualisierte Serverinstanzen sicher aus einer Public Cloud beziehen können. Wie die Verantwortlichkeiten zwischen Cloud- Nutzer und -Anbieter aufgeteilt werden, regelt das Shared-Responsibility-Modell. Ursprünglich von Amazon Web Services und Microsoft Azure formuliert, adaptieren inzwischen auch andere Cloud-Anbieter dieses Verantwortungsmodell für Sicherheit und Compliance. «Im Wesentlichen unterscheidet Shared Responsibility zwischen der Sicherheit der Public Cloud selbst (Security of the Cloud) und der Sicherheit in der Public Cloud (Security in Bild: Alex / adobe.stock.com the Cloud)», erklärt Klaus Gribi, Senior Security Consultant von Swisscom. «Grundsätzlich ist der Cloud-Provider für die Sicherheit der Cloud-Infrastruktur, der Cloud Consumer dagegen für die Sicherheit innerhalb der Cloud zuständig». Die genauen Verantwortlichkeiten unterscheiden sich dabei je nach Cloud-Service-Modell, wie im Folgenden ausgeführt. Auch wenn das Shared-Responsibility- Modell weitestgehend Gültigkeit besitzt, sind die Grenzen zwischen den Verantwortlichkeiten schwammig. Infrastructure-as-a-Service: Sicherheit ist hauptsächlich Sache des Cloud Consumers Bei der Sicherheit von IaaS-Lösungen sind Cloud Consumer hauptsächlich auf sich allein gestellt. Der Service-Provider gewährleistet lediglich die Sicherheit der Virtualisierungsplattform. Um die Sicherheit des Betriebssystems, der Daten und der Applikationen hat sich der Cloud Consumer zu kümmern. Platform-as-a-Service: Mehr Verantwortung beim Provider Im Vergleich zu IaaS übernehmen Cloud-Provider bei PaaS mehr Verantwortung: Sie sind für die Sicherheit der ganzen Entwicklungsumgebung wie auch der Betriebssysteme und der Datenbanken zuständig. Der Anwender dagegen ist verantwortlich für die Sicherheit und Verwaltung von den auf der Plattform betriebenen Applikationen, Datenbanken und der Daten. Software-as-a-Service: Nutzer werden entlastet Bei SaaS-Angeboten verantwortet der Service-Provider den Grossteil aller Sicherheitsaspekte: Er ist für alles ausser der Benutzerverwaltung und den Daten, die in der Cloud gespeichert werden, verantwortlich. SaaS-Anwender sind entsprechend für die Benutzerverwaltung, den Daten- und Informationsschutz zuständig. «Nutzer von SaaS-Lösungen sind im Wesentlichen bloss noch dafür zuständig, dass nur die Daten in die Cloud gelangen, die sie auch wirklich in der Cloud haben möchten», sagt Gribi. «Die Cloud Consumer können diese zusätzlich schützen, indem sie etwa die Daten verschlüsseln.» www.netzwoche.ch © netzmedien ag 10 / 2019

Archiv