Beim Schritt in die Cloud kommt dem Thema Sicherheit eine zentrale Rolle zu. Sowohl der Cloud-Anbieter wie insbesondere auch der Cloud-Nutzer sind gemeinsam für die Sicherheit verantwortlich. Die Zuständigkeiten werden durch das Servicemodell massgeblich definiert.
Sicherheit in der Cloud
Viele Firmen machen sich Gedanken, Teile ihrer IT in die Cloud zu verlagern. Die Sicherheit in der Cloud wird dann zu einem zentralen Thema. Wer sich in die Cloud begibt und der Meinung ist, dass damit die Sicherheitsprobleme reduziert werden, für den kann schnell das grosse Erwachen kommen. Der Cloud-Anbieter schützt seine Infrastruktur sehr gut. Die Sicherheit ist ein wesentlicher Teil des Business Models der Cloud-Anbieter. Allerdings herrscht bei vielen Cloud-Nutzern fälschlicherweise die Ansicht, dass der Cloud-Anbieter die Hauptverantwortung für die Sicherheit in der Cloud trägt.
Verantwortlichkeiten in der Cloud – Shared-Responsibility-Model
Die Sicherheit in der Cloud ist nicht nur Aufgabe des Cloud-Anbieters, der Cloud-Nutzer ist ebenso in der Pflicht.
Die grossen Cloudanbieter (Hyperscaler) regeln die gegenseitigen Sicherheitsverantwortlichkeiten durch ein Shared-Responsibility-Model.
Im Grundsatz ist der Cloud-Anbieter für die Sicherheit der Cloud-Infrastruktur (of the cloud), der Cloud-Nutzer hingegen für die Sicherheit innerhalb der Cloud (in the cloud) zuständig.
Shared Responsibility – es kommt auf das Servicemodell an (IaaS, PaaS, SaaS)
Der Cloud-Anbieter ist immer für den physischen Schutz der Infrastruktur verantwortlich.
Wenn sich der Cloud-Nutzer für ein IaaS-Modell (Infrastructure as a Service) entscheidet, ist er für die Sicherheit ab Oberkante Physical hosts (siehe Abbildung oben) verantwortlich. Wenn er sich jedoch für ein SaaS-Modell (Software as a Service) entscheidet, verantwortet der Cloud-Anbieter die Sicherheit des Betriebssystems, die Netzwerkkontrollen, die Anwendung selbst und die Verzeichnisinfrastruktur. Bei der Nutzung eines PaaS-Modelles (Platform as a Service) liegt die Verantwortung irgendwo zwischen IaaS und SaaS, abhängig von der Vereinbarung mit dem Cloud-Anbieter.
Unabhängig vom gewählten Modell ist der Cloud-Nutzer immer für die Daten sowie die Konfiguration und Verwaltung von Rechten, Endgeräten, Konten und Zugriffsrechten verantwortlich.
Konfiguration als Stolperstein
Die meisten Sicherheitslücken entstehen durch falsche Konfigurationen. Cloud-Anbieter unterstützen zwar den Prozess, aber um ein Sicherheitskonzept und aufwendige Konfigurationen kommen Cloud-Nutzer nicht herum. Wer hier nicht genau weiss was er macht, kann beispielsweise durch eine Fehlkonfiguration einer Security Group einem Angreifer Zugriff auf die cloudbasierten Server gewähren und damit das Ausschleusen von Daten ermöglichen.
Cloud-Anbieter stellen Tools zur Verfügung
Die Cloud-Anbieter stellen diverse Tools zur Verfügung, um den Cloud-Nutzer bei der Implementierung und Verwaltung der Sicherheitseinstellungen in der Cloud zu unterstützen.
Beispielsweise bietet Microsoft mit Intune einen cloudbasierten Dienst zur Verwaltung von Endgeräten an. Mit Intune kann der Cloud-Nutzer unter anderem Einstellungen auf Endgeräten konfigurieren um den Zugriff auf Daten und Netzwerke festzulegen.
Fazit
Nur wenn der Cloud-Nutzer die Zuständigkeiten des Cloud-Anbieters kennt und versteht, ist er in der Lage, die geeigneten Massnahmen für die Sicherheit in der Cloud zu ergreifen und die genutzten Cloud-Services seinerseits bestmöglich zu schützen.
Quellen und weiterführende Links zum Thema
Shared-Responisbility-Model von
-Microsoft Azure: Shared responsibility in the cloud – Microsoft Azure | Microsoft Docs
-Google Cloud Platform: gcp_pci_srm__apr_2019.pdf (google.com)
-Amazon Web Service: Modell der geteilten Verantwortung – Amazon Web Services (AWS)
