Aufrufe
vor 2 Wochen

Netzwoche 10/2019

30 DOSSIER Shared

30 DOSSIER Shared Responsibility In Kooperation mit Swisscom Geteilte Verantwortung Verantwortung für das Risiko liegt beim Cloud Consumer Verantwortung für das Risiko liegt beim Cloud Provider Risiko Management für On Premises IaaS PaaS SaaS Geteilte Verantwortung für das Risiko Management Datenklassifizierung und -Verantwortung Client- und Endpoint Security Identity und Access Management (IAM) Controls auf Applikationsebene Controls auf Netzwerkebene Host Infrastruktur Shared-Responsibility-Modell (Microsoft Azure) Physische Sicherheit Verantwortungsbereiche können abweichen Auch wenn das Shared-Responsibility-Modell weitestgehend Gültigkeit besitzt, sind die Grenzen zwischen Cloud-Consumerund Cloud-Service-Provider-Verantwortung schwammig. «Zwar ist ein IaaS-Kunde ab Betriebssystem-Ebene für die Cloud-Sicherheit verantwortlich; dennoch installieren einige Anbieter zum Beispiel für die Performance-Überwachung der virtualisierten Instanzen auch Komponenten ins Betriebssystem», hält Gribi fest. «Bei Shared Responsibility gibt es also durchaus anbieterspezifische Grenzen, die anders verlaufen können.» Anwenderunternehmen müssen sich deshalb intensiv mit den Service Level Agreements des Cloud-Providers auseinandersetzen, in der die Security-Verantwortlichkeiten von Cloud-Service- Provider und Cloud Consumer definiert sind. Nur wenn Cloud Consumer die Zuständigkeitsbereiche des Cloud-Service-Providers kennen und verstehen, sind sie in der Lage, die geeigneten Massnahmen für die Cloud-Sicherheit zu ergreifen – und die genutzten Cloud-Services auch von ihrer Seite aus bestmöglich zu schützen. Auch technische und organisatorische Faktoren sind entscheidend Natürlich spielen die Service Level Agreements schon bei der Evaluation und der Wahl eines geeigneten Cloud-Providers eine zentrale Rolle. Shared Responsibility umfasst aber noch weitere Faktoren: «Bei Cloud-Sicherheit geht es nicht nur um die technische Ebene», hält Gribi fest. «Ob man sich für oder gegen einen Cloud-Provider entscheidet, hängt auch von rechtlichen und organisatorischen Aspekten ab.» Anwenderunternehmen müssen prüfen, wie die Zusammenarbeit zwischen dem Chief Information Security Officer und der Sicherheitsorganisation des Cloud-Providers geregelt ist. Zentral sind etwa Fragen wie: ·· Stehen für die Zusammenarbeit entsprechende Sicherheitsportale zur Verfügung? ·· Wie geht der Provider beim Security Incident Management vor? ·· Sind automatisierte Schnittstellen vorhanden, die auf organisatorischer Ebene für die Interaktion zwischen den Sicherheitsorganisationen des Cloud Consumers und des Cloud- Service-Providers genutzt werden können? Ebenfalls elementar sind die Bestimmungen des Cloud-Providers auf administrativer Ebene. Etwa sollten Cloud Consumer evaluieren, wie beziehungsweise ob das Security-Reporting des Cloud- Providers geregelt ist, ob er bei Infrastrukturausfällen Entschädigungszahlungen leistet usw. In Bezug auf Governance & Compliance können branchenspezifische Vorgaben hinzukommen, denen der Cloud-Provider gerecht werden muss. Etwa legt der Standort des Cloud-Providers fest, welcher Gesetzgebung er unterliegt – gerade für Banken, die Finma-Regularien einzuhalten haben, ein zentraler Faktor. Zudem muss der Cloud-Provider ausreichend Security Controls anbieten: «Ob sich ein Unternehmen für oder gegen einen Cloud-Provider entscheidet, hängt nicht selten davon ab, ob ihm Funktionalitäten wie Verschlüsselung, Identity- und Access-Management oder Threat Intelligence zur Verfügung stehen», sagt Gribi. «Diese sind deshalb bei der Wahl des Cloud-Service-Providers elementar.» Nur wenn Cloud Consumer die Zuständigkeitsbereiche des Cloud-Service-Providers kennen und verstehen, sind sie in der Lage, die geeigneten Massnahmen für die Cloud-Sicherheit zu ergreifen. 10 / 2019 www.netzwoche.ch © netzmedien ag

In Kooperation mit Swisscom Shared Responsibility DOSSIER31 « Je nach Cloud-Service-Provider können die Verantwortlichkeiten variieren » Wer die Public Cloud nutzt, darf die IT-Sicherheit nicht aussen vor lassen. Klaus Gribi, Cloud-Security-Experte von Swisscom, gibt im Interview Auskunft über die aktuelle Bedrohungslage, die feinen Unterschiede in der Cloud-Security und die Grenzen des Shared-Responsibility-Modells. Interview: Oliver Schneider Wo liegen heute die grössten Sicherheitsrisiken bei Cloud- Services? Klaus Gribi: Die Cloud Security Alliance hat die «Cloud Computing Top Threats» im Jahr 2016 analysiert und umfassend dargestellt. Besondere Beachtung muss sicherlich den Bedrohungen Data Breaches, Datenverlust, fehlender Schutz der Cloud-API-Schnittstellen und schwaches Identity-, Credential- und Access Management geschenkt werden. Welche Risiken sich aus diesen Bedrohungen für den einzelnen Cloud-Service-Consumer ergeben, muss in einer spezifischen Risikoanalyse für jedes Unternehmen evaluiert werden. Wie ist der Begriff Cloud-Service-Consumer zu verstehen? Der Begriff Cloud-Service-Consumer ist ein Synonym für Cloud- Kunde respektive Cloud-Anwender. Was hat AWS und Microsoft zur Einführung des Shared- Responsibility-Modells bewogen? Wir nehmen an, dass AWS und Microsoft das Shared-Responsibility-Modell eingeführt haben, um eine komplexe Thematik vereinfacht zu veranschaulichen. Interessierte Unternehmen verstehen anhand dieses Modells rasch die Verantwortlichkeiten, die sie selbst wahrnehmen müssen, abgestuft nach Cloud-Service- Modell. Was unterscheidet Security «in» the Cloud von Security «of» the Cloud? Security of the Cloud obliegt dem Cloud-Service-Provider und umfasst etwa die folgenden Teilgebiete: Der physische Schutz der Cloud-Rechenzentren, die Sicherheit der physischen Cloud-Plattform selbst und die Sicherheit der Cloud-Ressourcen wie Compute, Storage, Network oder Database. Security in the Cloud obliegt hingegen dem Cloud-Service-Consumer und umfasst etwa die folgenden Teilgebiete: Daten- und Informationsschutz, Verschlüsselung von Data at Rest, Data in Motion oder Data in Use, Sicherheit des Betriebssystems (bei IaaS), Sicherheit der entwickelten Applikation/Datenbank (bei PaaS), Schutz von Kundendaten (bei SaaS) und das Identity-, Credential- und Access-Management. Cloud-Service-Provider, wie zuvor schon erwähnt. Der Cloud- Service-Consumer ist bei IaaS jedoch für die Sicherheit ab Betriebssystem-Ebene zuständig und muss zum Beispiel das Patchund Vulnerability-Management sicherstellen. Er ist ebenfalls für die Sicherheit der auf der IaaS-Instanz installierten Applikationen und für die dort eingesetzten Authentisierungsmechanismen zuständig. Wo liegen die Grenzen und Probleme des Shared- Responsibility- Modells? Aus unserer Sicht veranschaulicht das Modell die Verantwortlichkeiten sehr gut und dient als erste Orientierung. Je nach Cloud- Service-Provider können die Verantwortlichkeiten jedoch variieren und die Grenzen zwischen den beteiligten Parteien unterschiedlich sein. Damit kann sich ein Cloud-Service-Consumer nicht ohne Weiteres auf dieses Modell verlassen und muss bei der Evaluation eines Cloud-Service-Providers immer eine sorgfältige Prüfung (Due Diligence) der Verantwortlichkeiten durchführen. Die Prüfung muss die Informationssicherheit einschliessen. « Der Cloud-Service- Consumer ist bei IaaS für die Sicherheit ab Betriebssystem-Ebene zuständig. » Klaus Gribi, Cloud-Security-Experte, Swisscom (Schweiz) Warum ist bei IaaS der Cloud-Service-Consumer auf sich allein gestellt? Das ist so nicht richtig, die Security of the Cloud obliegt dem www.netzwoche.ch © netzmedien ag 10 / 2019

Archiv