Was ist das Shared-Responsibility-Modell im Cloud Computing?

Das Shared-Responsibility-Modell beschreibt die Sicherheitsaufgaben, indem es die Rechte und Pflichten sowohl des Cloud-Dienstleisters als auch des Kunden festlegt. Im Wesentlichen wird klargestellt, wer für welchen Sicherheitsaspekt verantwortlich ist, um einen wirksamen Schutz der Cloud-Umgebung zu gewährleisten. Die Einzelheiten dieser Aufteilung unterscheiden sich je nach Servicemodell (SaaS, PaaS, IaaS) geringfügig.

Zu den Unterschieden zwischen den drei Modellen gehören:

• SaaS (Software-as-a-Service): Der Anbieter kümmert sich um die zugrunde liegende Infrastruktur, die Anwendung und die Daten, während der Kunde für den Benutzerzugriff und die Datenklassifizierung verantwortlich ist.
• PaaS (Platform-as-a-Service): Der Anbieter ist für das unterstützende System verantwortlich, einschließlich Webservice, Betriebssystem usw., während der Kunde für alle Anwendungen und Daten verantwortlich ist.
• IaaS (Infrastructure-as-a-Service): Der Anbieter steuert die physische Ebene, während der Kunde Anwendungen, Betriebssysteme und Daten steuert.

Hier sind die detaillierten Verantwortlichkeiten von SaaS-Anbietern:

• Physische Sicherheit: Rechenzentren und Hardware schützen.
• Netzwerksicherheit: Schutz vor Bedrohungen durch unbefugten Zugriff oder Cyberangriffe.
• Anwendungssicherheit: Aktualisierung von Software zur Behebung von Sicherheitslücken oder Fehlern zur Verhinderung von Verstößen
• Datensicherheit: Verschlüsselung von Daten sowohl bei der Speicherung als auch während der Übertragung und Sicherstellung von Backups oder Notfallwiederherstellung.
• Betriebssicherheit: Erkennung von Bedrohungen und Reaktion auf Sicherheitsvorfälle.

Der SaaS-Kunde sollte Folgendes berücksichtigen:

• Gerätesicherheit: Schutz des Geräts, das für den Zugriff auf die SaaS-Anwendung verwendet wird.
• Zugriffsverwaltung: Verwaltung der richtigen Einschränkungen der Benutzer und ihrer Fähigkeit, auf eine Anwendung zuzugreifen, der Verfahren zur Überprüfung ihrer Identität und der Berechtigung zum Zugriff auf die Anwendung.
• Schulung zum Sicherheitsbewusstsein: Schulung der Mitarbeiter zu Sicherheitsmaßnahmen und Phishing-Risiken.
• Datenklassifizierung: Sensible Daten identifizieren und Maßnahmen zu deren Schutz ergreifen.
• Incident-Reaktion: Einen Notfallplan haben, wie mit Sicherheitsbedrohungen umgegangen werden kann.

Organisationen und Software-as-a-Service-Anbieter und -Lieferanten sollten:

1. Überprüfen Sie regelmäßig die Sicherheitsdokumentation und -zertifizierungen: Informieren Sie sich über deren Sicherheitsverfahren und stellen Sie sicher, dass diese den Standards Ihres Unternehmens entsprechen.
2. Richten Sie klare Kommunikationskanäle ein: Pflegen Sie eine klare Kommunikation mit Ihrem SaaS-Anbieter, um Sicherheitsbedenken zu besprechen, Probleme zu melden und über Sicherheitsänderungen auf dem Laufenden zu bleiben.
3. Nehmen Sie an Programmen zur Sensibilisierung für Sicherheit teil: Ermutigen Sie Ihre Mitarbeiter, an Sicherheitsschulungen teilzunehmen, die vom SaaS-Anbieter angeboten werden.
4. Führen Sie gemeinsame Sicherheitsbewertungen durch: Arbeiten Sie zusammen, um Risiken in der gemeinsamen Umgebung zu identifizieren und zu reduzieren.
5. Schließen Sie eine Service Level Agreement (SLA) ab: Legen Sie die Sicherheitsanforderungen und -pflichten in einem Vertragsdokument fest, das von beiden Parteien unterzeichnet wird.