Zpedia 

/ Was ist ein Modell der geteilten Verantwortung?

Was ist ein Modell der geteilten Verantwortung?

Als geteilte Verantwortung wird ein Konzept für Cloud-Sicherheit und Risiken bezeichnet, bei dem einige Cybersicherheitsprozesse und -zuständigkeiten beim Cloud-Anbieter (CSP) und andere beim jeweiligen Kunden liegen. Das Modell eignet sich insbesondere angesichts der zunehmenden Verlagerung von IT-Architekturen in die Cloud, da es für mehr Sicherheit sorgt und die Verantwortung für die Cloud-Sicherheit klar aufgeteilt wird.
Zum Kurzvideo

Warum sind Modelle der geteilten Verantwortung wichtig?

In einer On-Premise-Rechenzentrumsumgebung liegt die Sicherheitsverantwortung ausschließlich beim Eigentümer. Die Verantwortung für die Aufrechterhaltung der Sicherheitskontrollen, Patches und der physischen Infrastruktur liegt beim Sicherheitsteam des Unternehmens (oder einer anderen verantwortlichen Partei, beispielsweise der IT) und niemals beim/bei den Hardwareanbieter(n). Wenn jedoch Teile eines Netzwerks private oder öffentliche Cloud-Dienste nutzen oder aus diesen bestehen, fallen einige Sicherheitsverantwortlichkeiten dem Cloud-Anbieter zu.

In einem Modell der geteilten Verantwortung wird genau festgelegt, welche Sicherheitsaufgaben, Datenzustände, Standorte usw. in den Verantwortungsbereich des Cloud-Anbieters und welche in den des Kunden fallen. Microsoft Azure, Google Cloud, Amazon Web Services (AWS) und andere Cloud-Anbieter haben jeweils eigene Modelle, die auf ihre spezifischen Angebote zugeschnitten sind.

So funktioniert geteilte Verantwortung

Bei den meisten Modellen der geteilten Verantwortung sind Sie als Kunde für alles verantwortlich, was unter Ihrer direkten Kontrolle steht: Daten, Anmeldedaten und Konfigurationen sowie alle Funktionen, die außerhalb der Cloud-Ressourcen des Cloud-Anbieters liegen, wie etwa die Firewalls Ihres Unternehmens und andere interne Netzwerksicherheit.

Unklare Verantwortlichkeiten können zu Fehlkonfigurationen führen, die Ihren Sicherheitsstatus schwächen und letztlich zu Sicherheitsmängeln in der Cloud führen. Daher ist es wichtig, dass Sie verstehen, wo die Sicherheitspflichten Ihres Unternehmens im Verhältnis zu denen Ihrer Anbieter liegen.

Unterschiedlche Verantwortungsmodelle

Die konkrete Aufteilung der Verantwortung hängt davon ab, welchen Cloud-Service Sie nutzen. Sie sind in jedem Fall für die Sicherung Ihrer Daten, Geräte, Konten und Zugriffsverwaltung verantwortlich. Umgekehrt sind Cloud-Anbieter immer für die Sicherung der physischen Infrastruktur – ihrer Hosts, Rechenzentren und Netzwerke – verantwortlich. Schauen wir uns an, wo weitere Unterschiede ins Spiel kommen:

  • Software-as-a-Service (SaaS): Der Cloud-Anbieter übernimmt die Sicherheitsverantwortung für die Betriebssysteme, Netzwerkkontrollen und Anwendungen, aus denen der Service besteht, sowie für die darin generierten Daten. Die Verantwortung für die Identitäts- und Verzeichnisinfrastruktur ist unterschiedlich geregelt.
  • Platform-as-a-Service (PaaS): Hier liegt die Verantwortung im Allgemeinen weniger beim Cloud-Anbieter. Die Verantwortung für die Sicherheit von Netzwerkkontrollen, Anwendungen und Identitäts-/Verzeichnisinfrastruktur ist je nach Service unterschiedlich geregelt. Sie sind jedoch weiterhin für das Betriebssystem verantwortlich.
  • Infrastructure-as-a-Service (IaaS): Hier übernehmen Cloud-Anbieter die geringste Verantwortung. Die alleinige Verantwortung für die Sicherung aller Komponenten außer der physischen Infrastruktur des Cloud-Anbieters liegt beim Kunden. Der Kunde ist für alle Betriebssystem- und Anwendungspatches sowie die Netzwerksteuerung verantwortlich.

Vorteile eines Modells der geteilten Verantwortung

Eigentlich ist bereits die geringere Kundenverantwortung eines Cloud-Services ein großer Vorteil im Vergleich zu der Gesamthaftung, die Sie mit Ihrer privaten On-Premise-Infrastruktur übernehmen. Durch die Teilung der Verantwortung für die Cloud-Sicherheit mit einem Dienstanbieter profitieren Sie außerdem von folgenden Vorteilen:

  • Geringere Kosten: Einfach ausgedrückt bedeutet die Nutzung der Sicherheit und Infrastruktur eines Anbieters weniger Verwaltungsaufwand Ihrerseits, wodurch Sie die Kosten für zusätzliche Ressourcen sparen, die Ihr Budget überfordern könnten.
  • Verbesserte Cybersicherheit: Durch die klare Abgrenzung der Sicherheitsverantwortlichkeiten in der Cloud-Infrastruktur wird das Risiko von Fehlern verringert, die zu Sicherheitslücken und Datenschutzverstößen führen.
  • Geringerer Betriebsaufwand: Je mehr Sicherheitsverantwortung Ihr Cloud-Anbieter übernimmt, desto mehr Zeit hat Ihr Team, sich auf andere Prioritäten zu konzentrieren.

Nachteile der Verantwortungsteilung

Die Nutzung der Cloud und die gemeinsame Verantwortung bieten zahlreiche Vorteile, es müssen jedoch auch potenzielle Herausforderungen berücksichtigt werden.

Compliance und Gesamtverantwortung

In erster Linie müssen Sie Ihrem Anbieter vertrauen können. Die Datensicherheitsrichtlinien Ihres Unternehmens, seien es interne Regeln oder externe Vorschriften, haben hier großen Einfluss. Stellen Sie bei der Auswahl eines Anbieters sicher, dass Sie die getroffenen Vereinbarungen kennen und verstehen. In vielen Fällen trägt Ihr Unternehmen letztlich dennoch die Verantwortung, wenn es bei einem Datenleck zu einem Verstoß gegen diese Regeln oder Vorschriften kommt.

Verstehen und Anpassen

Um Ihren Teil der Sicherheitsvereinbarung einzuhalten, müssen Sie genau verstehen, wo Ihre Verantwortung endet und die des Cloud-Anbieters beginnt. Ihre Mitarbeiter müssen außerdem wissen, wie die Tools des Cloud-Anbieters verwendet und deren Steuerelemente bedient werden, um die Entstehung von Schwachstellen zu vermeiden. Darüber hinaus müssen Sie in der Lage sein, sich an Änderungen in Architekturen und Systemen anzupassen – etwa bei der Einführung neuer Integrationen –, damit Sie und Ihre Workloads sicher bleiben.

Best Practices für die Verantwortungsteilung

Die für ein bestimmtes Verantwortungsmodell spezifischen Best Practices hängen von Ihren individuellen Anforderungen und dem Angebot des Anbieters ab. Es gibt jedoch einige allgemeine Vorgehensweisen, die bei geteilter Sicherheitsverantwortung immer berücksichtigt werden sollten:

  • Priorisieren Sie die Datensicherheit und Ihre weiteren Verantwortlichkeiten. Da Sie für die Sicherung Ihrer Daten, Endgeräte, Useranmeldeinformationen und Zugriffsverwaltung verantwortlich sind, unabhängig davon, welche Art von Cloud-Service Sie verwenden, sollten Sie der Erfüllung dieser Verpflichtungen höchste Priorität einräumen. Dies erstreckt sich auch auf die Festlegung von Aufgaben und Verantwortlichkeiten innerhalb Ihres eigenen Unternehmens.
  • Informieren Sie sich über Ihre Vereinbarungen und seien Sie bereit, auf Änderungen zu reagieren. Im Service-Level-Agreement (SLA) eines Anbieters werden sowohl dessen als auch Ihre Verantwortlichkeiten genau dargelegt. Da sie jedoch selten in Stein gemeißelt sind, ist es wichtig, auf Aktualisierungen zu achten, die ein Cloud-Anbieter möglicherweise an seinen SLAs vornimmt, und entsprechend zu handeln, wenn diese Ihre Cloud-Umgebung betreffen.
  • Verwenden Sie zukunftsfähige Tools zur Gewährleistung von Sicherheit und Transparenz. Die Verwaltung der Sicherheit in einer Cloud-Umgebung kann angesichts der enormen Menge an Ressourcen, Berechtigungsstufen, APIs, potenziellen Angriffsmethoden usw. äußerst kompliziert werden. Bleiben Sie über aktuelle Innovationen im Bereich Sicherheitsabläufe und Bedrohungssuche auf dem Laufenden und erfahren Sie, wie Sie diese nutzen können.

Wie kann Ihr Unternehmen in der Cloud sicher bleiben?

Zukunftsfähige Unternehmen arbeiten in der Cloud. Nur wenige würden das bestreiten. Ebenso unbestreitbar ist jedoch, dass die Verwendung von Cloud-Services Ihre User, Endgeräte und Daten neuen Risiken aussetzt. Um sich vor diesen Risiken zu schützen, ist es von entscheidender Bedeutung, dass Sie Ihre Sicherheitsverantwortung vollständig verstehen.

Das ist jedoch nur der erste Schritt. Ihren Verantwortlichkeiten nachzukommen, kann eine gewaltige Herausforderung sein, wenn Sie mit externen Geschäftspartnern, mehreren Lieferketten und den wachsenden Risiken von Ransomware, Phishing und anderen komplexen Angriffen zu tun haben, die auf Ihre Endpunkte, Anmeldeinformationen und Daten abzielen. Die Verantwortung für diese Aspekte Ihrer Sicherheit liegt immer bei Ihnen. Angesichts der zahlreichen Angriffs- und Datenverlustwege ist die Wahl des richtigen Sicherheitspartners von größter Bedeutung.

Sichern Sie Ihre digitale Transformation mit Zscaler

Zscaler kann Ihnen dabei helfen, alle Vorteile der Cloud – Flexibilität, Skalierbarkeit, Reichweite, Userfreundlichkeit und mehr – sicher zu nutzen.

Zscaler Posture Control ist eine einheitliche, leistungsstarke, Cloud-native Plattform, die von Grund auf dafür entwickelt wurde, Infrastruktur- und Anwendungssicherheitsrisiken in verteilten Clouds und über die gesamten Entwicklungs- und DevOps-Lebenszyklen hinweg zu priorisieren und Sie bei wichtigen Sicherheitsaufgaben zu unterstützen:

Schutz für Konfigurationen

Die Lösung unterstützt die Einrichtung und Verwaltung umfassender CSPM-Kontrollen für Cloud-Infrastruktur, Ressourcen, Daten und Identitäten.

Weitere Informationen

Schutz für Berechtigungen 

Menschliche und maschinelle User-Identitäten werden unter Durchsetzung minimaler Rechtevergabe geschützt.

Weitere Informationen

Schutz für Infrastructure-as-Code

Sicherheitsrisiken und Compliance-Probleme lassen sich bereits im Entwicklungs- bzw. DevOps-Zyklus beheben.

Weitere Informationen

Schutz für Daten

Vertrauliche Daten werden in allen Cloud-Repositorys zuverlässig unter Gewährleistung von Transparenz, Kontrolle und Compliance geschützt.

Weitere Informationen

Schutz für Workloads und Anwendungen

Hosts, Container und serverlose Funktionen werden mit Zero-Trust-Schutz in allen Phasen des Anwendungszyklus ohne Agent-Installation abgesichert.

Weitere Informationen

Empfohlene Ressourcen

SaaS, IaaS und PaaS: Was das Modell der geteilten Verantwortung für Zero Trust bedeutet
Zum Blogbeitrag
Was ist eine Cloud Native App Protection Platform (CNAPP)?
Weitere Informationen
Posture Control für Cloud-native Anwendungen
Ansehen
Zscaler Posture Control
Mehr erfahren

01 / 02