"Je nach Cloud-Service-Provider können die Verantwortlichkeiten variieren"
Wer die Public Cloud nutzt, darf die IT-Sicherheit nicht aussen vor lassen. Klaus Gribi, Cloud-Security-Experte von Swisscom, gibt im Interview Auskunft über die aktuelle Bedrohungslage, die feinen Unterschiede in der Cloud-Security und die Grenzen des Shared-Responsibility-Modells.
Wo liegen heute die grössten Sicherheitsrisiken bei Cloud-Services?
Klaus Gribi: Die Cloud Security Alliance hat die "Cloud Computing Top Threats" im Jahr 2016 analysiert und umfassend dargestellt. Besondere Beachtung muss sicherlich den Bedrohungen Data Breaches, Datenverlust, fehlender Schutz der Cloud-API-Schnittstellen und schwaches Identity-, Credential- und Access Management geschenkt werden. Welche Risiken sich aus diesen Bedrohungen für den einzelnen Cloud-Service-Consumer ergeben, muss in einer spezifischen Risikoanalyse für jedes Unternehmen evaluiert werden.
Wie ist der Begriff Cloud-Service-Consumer zu verstehen?
Der Begriff Cloud-Service-Consumer ist ein Synonym für Cloud-Kunde respektive Cloud-Anwender.
Was hat AWS und Microsoft zur Einführung des Shared-Responsibility-Modells bewogen?
Wir nehmen an, dass AWS und Microsoft das Shared-Responsibility-Modell eingeführt haben, um eine komplexe Thematik vereinfacht zu veranschaulichen. Interessierte Unternehmen verstehen anhand dieses Modells rasch die Verantwortlichkeiten, die sie selbst wahrnehmen müssen, abgestuft nach Cloud-Service-Modell.
Was unterscheidet Security "in" the Cloud von Security "of" the Cloud?
Security of the Cloud obliegt dem Cloud-Service-Provider und umfasst etwa die folgenden Teilgebiete: Der physische Schutz der Cloud-Rechenzentren, die Sicherheit der physischen Cloud-Plattform selbst und die Sicherheit der Cloud-Ressourcen wie Compute, Storage, Network oder Database. Security in the Cloud obliegt hingegen dem Cloud-Service-Consumer und umfasst etwa die folgenden Teilgebiete: Daten- und Informationsschutz, Verschlüsselung von Data at Rest, Data in Motion oder Data in Use, Sicherheit des Betriebssystems (bei IaaS), Sicherheit der entwickelten Applikation/Datenbank (bei PaaS), Schutz von Kundendaten (bei SaaS) und das Identity-, Credential- und Access-Management.
Warum ist bei IaaS der Cloud-Service-Consumer auf sich allein gestellt?
Das ist so nicht richtig, die Security of the Cloud obliegt dem Cloud-Service-Provider, wie zuvor schon erwähnt. Der Cloud-Service-Consumer ist bei IaaS jedoch für die Sicherheit ab Betriebssystem-Ebene zuständig und muss zum Beispiel das Patch- und Vulnerability-Management sicherstellen. Er ist ebenfalls für die Sicherheit der auf der IaaS-Instanz installierten Applikationen und für die dort eingesetzten Authentisierungsmechanismen zuständig.
Wo liegen die Grenzen und Probleme des Shared-Responsibility-Modells?
Aus unserer Sicht veranschaulicht das Modell die Verantwortlichkeiten sehr gut und dient als erste Orientierung. Je nach Cloud-Service-Provider können die Verantwortlichkeiten jedoch variieren und die Grenzen zwischen den beteiligten Parteien unterschiedlich sein. Damit kann sich ein Cloud-Service-Consumer nicht ohne Weiteres auf dieses Modell verlassen und muss bei der Evaluation eines Cloud-Service-Providers immer eine sorgfältige Prüfung (Due Diligence) der Verantwortlichkeiten durchführen. Die Prüfung muss die Informationssicherheit einschliessen.
Logitech erhöht Umsatz, aber hadert mit Zöllen
Wie Unternehmen mit künstlicher Intelligenz im Arbeitsalltag durchstarten
Zahl behördlicher Überwachungsmassnahmen in der Schweiz verdoppelt sich
Martin Bürki wird neuer Comcom-Präsident
MMTS und Media Solutions bringen Pro-AV zur Home & Professional
So geht Zeitsparen mit KI
Krebsbekämpfung in der Cloud
Zukunftssichere Unternehmenskommunikation durch innovative KI
Mehr Grips für den Bot
