Was ist das Shared-Responsibility-Modell im Cloud Computing?

Das Shared-Responsibility-Modell beschreibt die Sicherheitsaufgaben, indem es die Rechte und Pflichten sowohl des Cloud-Dienstleisters als auch des Kunden festlegt. Im Wesentlichen wird klargestellt, wer für welchen Sicherheitsaspekt verantwortlich ist, um einen wirksamen Schutz der Cloud-Umgebung zu gewährleisten. Die Einzelheiten dieser Aufteilung unterscheiden sich je nach Servicemodell (SaaS, PaaS, IaaS) geringfügig.

Zu den Unterschieden zwischen den drei Modellen gehören:

• SaaS (Software-as-a-Service): Der Anbieter kümmert sich um die zugrunde liegende Infrastruktur, die Anwendung und die Daten, während der Kunde für den Benutzerzugriff und die Datenklassifizierung verantwortlich ist.
• PaaS (Platform-as-a-Service): Der Anbieter ist für das unterstützende System verantwortlich, einschließlich Webservice, Betriebssystem usw., während der Kunde für alle Anwendungen und Daten verantwortlich ist.
• IaaS (Infrastructure-as-a-Service): Der Anbieter steuert die physische Ebene, während der Kunde Anwendungen, Betriebssysteme und Daten steuert.

Hier sind die detaillierten Verantwortlichkeiten von SaaS-Anbietern:

• Physische Sicherheit: Rechenzentren und Hardware schützen.
• Netzwerksicherheit: Schutz vor Bedrohungen durch unbefugten Zugriff oder Cyberangriffe.
• Anwendungssicherheit: Aktualisierung von Software zur Behebung von Sicherheitslücken oder Fehlern zur Verhinderung von Verstößen
• Data security: Verschlüsselung von Daten sowohl bei der Speicherung als auch während der Übertragung und Sicherstellung von Backups oder Notfallwiederherstellung.
• Betriebssicherheit: Erkennung von Bedrohungen und Reaktion auf Sicherheitsvorfälle.

Der SaaS-Kunde sollte Folgendes berücksichtigen:

• Gerätesicherheit: Protecting the device that is being used in accessing the SaaS application.
• Zugriffsverwaltung: Managing the right limitations of the users and their ability to access an application, the procedures to verify their identity, and the authorization to access the application.
• Schulung zum Sicherheitsbewusstsein: Training of the employees on security measures and phishing risks.
• Data classification: Identifying sensitive data and putting measures in place to protect it.
• Incident response: Having a contingency plan as to how the security threats could be handled.

Organizations and Software as a Service providers and suppliers should:

1. Regularly review the SaaS provider’s security documentation and certifications: Informieren Sie sich über deren Sicherheitsverfahren und stellen Sie sicher, dass diese den Standards Ihres Unternehmens entsprechen.
2. Richten Sie klare Kommunikationskanäle ein: Pflegen Sie eine klare Kommunikation mit Ihrem SaaS-Anbieter, um Sicherheitsbedenken zu besprechen, Probleme zu melden und über Sicherheitsänderungen auf dem Laufenden zu bleiben.
3. Nehmen Sie an Programmen zur Sensibilisierung für Sicherheit teil: Ermutigen Sie Ihre Mitarbeiter, an Sicherheitsschulungen teilzunehmen, die vom SaaS-Anbieter angeboten werden.
4. Führen Sie gemeinsame Sicherheitsbewertungen durch: Arbeiten Sie zusammen, um Risiken in der gemeinsamen Umgebung zu identifizieren und zu reduzieren.
5. Schließen Sie eine Service Level Agreement (SLA) ab: Legen Sie die Sicherheitsanforderungen und -pflichten in einem Vertragsdokument fest, das von beiden Parteien unterzeichnet wird.