SPONSORED-POST Dossier Shared Responsibility in Kooperation mit Swisscom

"Je nach Cloud-Service-Provider können die Verantwortlichkeiten variieren"

Uhr

Wer die Public Cloud nutzt, darf die IT-Sicherheit nicht aussen vor lassen. Klaus Gribi, Cloud-Security-Experte von ­Swisscom, gibt im Interview Auskunft über die aktuelle Bedrohungslage, die feinen Unterschiede in der Cloud-Security und die Grenzen des Shared-Responsibility-Modells.

Klaus Gribi, Cloud-Security-Experte, Swisscom (Schweiz). (Source: zVg)
Klaus Gribi, Cloud-Security-Experte, Swisscom (Schweiz). (Source: zVg)

Wo liegen heute die grössten Sicherheitsrisiken bei Cloud-­Services?

Klaus Gribi: Die Cloud Security Alliance hat die "Cloud Computing Top Threats" im Jahr 2016 analysiert und umfassend dargestellt. Besondere Beachtung muss sicherlich den Bedrohungen Data Breaches, Datenverlust, fehlender Schutz der Cloud-API-Schnittstellen und schwaches Identity-, Credential- und Access Management geschenkt werden. Welche Risiken sich aus diesen Bedrohungen für den einzelnen Cloud-Service-Consumer ergeben, muss in einer spezifischen Risikoanalyse für jedes Unternehmen evaluiert werden.

Wie ist der Begriff Cloud-Service-Consumer zu verstehen?

Der Begriff Cloud-Service-Consumer ist ein Synonym für Cloud-Kunde respektive Cloud-Anwender.

Was hat AWS und Microsoft zur Einführung des Shared-­Responsibility-Modells bewogen?

Wir nehmen an, dass AWS und Microsoft das Shared-Responsibility-Modell eingeführt haben, um eine komplexe Thematik vereinfacht zu veranschaulichen. Interessierte Unternehmen verstehen anhand dieses Modells rasch die Verantwortlichkeiten, die sie selbst wahrnehmen müssen, abgestuft nach Cloud-Service-Modell.

Was unterscheidet Security "in" the Cloud von Security "of" the Cloud?

Security of the Cloud obliegt dem Cloud-Service-Provider und umfasst etwa die folgenden Teilgebiete: Der physische Schutz der Cloud-Rechenzentren, die Sicherheit der physischen Cloud-Plattform selbst und die Sicherheit der Cloud-Ressourcen wie Compute, Storage, Network oder Database. Security in the Cloud obliegt hingegen dem Cloud-Service-Consumer und umfasst etwa die folgenden Teilgebiete: Daten- und Informationsschutz, Verschlüsselung von Data at Rest, Data in Motion oder Data in Use, Sicherheit des Betriebssystems (bei IaaS), Sicherheit der entwickelten Applikation/Datenbank (bei PaaS), Schutz von Kundendaten (bei SaaS) und das Identity-, Credential- und Access-Management.

Warum ist bei IaaS der Cloud-Service-Consumer auf sich ­allein gestellt?

Das ist so nicht richtig, die Security of the Cloud obliegt dem Cloud-Service-Provider, wie zuvor schon erwähnt. Der Cloud-Service-Consumer ist bei IaaS jedoch für die Sicherheit ab Betriebssystem-Ebene zuständig und muss zum Beispiel das Patch- und Vulnerability-Management sicherstellen. Er ist ebenfalls für die Sicherheit der auf der IaaS-Instanz installierten Applikationen und für die dort eingesetzten Authentisierungsmechanismen zuständig.

Wo liegen die Grenzen und Probleme des Shared-Responsibility-­Modells?

Aus unserer Sicht veranschaulicht das Modell die Verantwortlichkeiten sehr gut und dient als erste Orientierung. Je nach Cloud-Service-Provider können die Verantwortlichkeiten jedoch variieren und die Grenzen zwischen den beteiligten Parteien unterschiedlich sein. Damit kann sich ein Cloud-Service-Consumer nicht ohne Weiteres auf dieses Modell verlassen und muss bei der Evaluation eines Cloud-Service-Providers immer eine sorgfältige Prüfung (Due Diligence) der Verantwortlichkeiten durchführen. Die Prüfung muss die Informationssicherheit einschliessen.

Webcode
DPF8_141238

Kommentare

« Mehr