"Je nach Cloud-Service-Provider können die Verantwortlichkeiten variieren"
Wer die Public Cloud nutzt, darf die IT-Sicherheit nicht aussen vor lassen. Klaus Gribi, Cloud-Security-Experte von Swisscom, gibt im Interview Auskunft über die aktuelle Bedrohungslage, die feinen Unterschiede in der Cloud-Security und die Grenzen des Shared-Responsibility-Modells.
Wo liegen heute die grössten Sicherheitsrisiken bei Cloud-Services?
Klaus Gribi: Die Cloud Security Alliance hat die "Cloud Computing Top Threats" im Jahr 2016 analysiert und umfassend dargestellt. Besondere Beachtung muss sicherlich den Bedrohungen Data Breaches, Datenverlust, fehlender Schutz der Cloud-API-Schnittstellen und schwaches Identity-, Credential- und Access Management geschenkt werden. Welche Risiken sich aus diesen Bedrohungen für den einzelnen Cloud-Service-Consumer ergeben, muss in einer spezifischen Risikoanalyse für jedes Unternehmen evaluiert werden.
Wie ist der Begriff Cloud-Service-Consumer zu verstehen?
Der Begriff Cloud-Service-Consumer ist ein Synonym für Cloud-Kunde respektive Cloud-Anwender.
Was hat AWS und Microsoft zur Einführung des Shared-Responsibility-Modells bewogen?
Wir nehmen an, dass AWS und Microsoft das Shared-Responsibility-Modell eingeführt haben, um eine komplexe Thematik vereinfacht zu veranschaulichen. Interessierte Unternehmen verstehen anhand dieses Modells rasch die Verantwortlichkeiten, die sie selbst wahrnehmen müssen, abgestuft nach Cloud-Service-Modell.
Was unterscheidet Security "in" the Cloud von Security "of" the Cloud?
Security of the Cloud obliegt dem Cloud-Service-Provider und umfasst etwa die folgenden Teilgebiete: Der physische Schutz der Cloud-Rechenzentren, die Sicherheit der physischen Cloud-Plattform selbst und die Sicherheit der Cloud-Ressourcen wie Compute, Storage, Network oder Database. Security in the Cloud obliegt hingegen dem Cloud-Service-Consumer und umfasst etwa die folgenden Teilgebiete: Daten- und Informationsschutz, Verschlüsselung von Data at Rest, Data in Motion oder Data in Use, Sicherheit des Betriebssystems (bei IaaS), Sicherheit der entwickelten Applikation/Datenbank (bei PaaS), Schutz von Kundendaten (bei SaaS) und das Identity-, Credential- und Access-Management.
Warum ist bei IaaS der Cloud-Service-Consumer auf sich allein gestellt?
Das ist so nicht richtig, die Security of the Cloud obliegt dem Cloud-Service-Provider, wie zuvor schon erwähnt. Der Cloud-Service-Consumer ist bei IaaS jedoch für die Sicherheit ab Betriebssystem-Ebene zuständig und muss zum Beispiel das Patch- und Vulnerability-Management sicherstellen. Er ist ebenfalls für die Sicherheit der auf der IaaS-Instanz installierten Applikationen und für die dort eingesetzten Authentisierungsmechanismen zuständig.
Wo liegen die Grenzen und Probleme des Shared-Responsibility-Modells?
Aus unserer Sicht veranschaulicht das Modell die Verantwortlichkeiten sehr gut und dient als erste Orientierung. Je nach Cloud-Service-Provider können die Verantwortlichkeiten jedoch variieren und die Grenzen zwischen den beteiligten Parteien unterschiedlich sein. Damit kann sich ein Cloud-Service-Consumer nicht ohne Weiteres auf dieses Modell verlassen und muss bei der Evaluation eines Cloud-Service-Providers immer eine sorgfältige Prüfung (Due Diligence) der Verantwortlichkeiten durchführen. Die Prüfung muss die Informationssicherheit einschliessen.