Shared-Responsibility-Modell am Beispiel von Amazon Web Services

Geteilte Verantwortung bringt doppelte Sicherheit

| Autor / Redakteur: Daniel Wolf / Peter Schmitz

Wer Applikationen in die Cloud auslagert, verlagert damit nicht auch automatisch sämtliche Verantwortung an den Cloud Service Provider. Ein Shared Responsibility Modell hilft Unternehmen den eigenen Pflichten nachzukommen.
Wer Applikationen in die Cloud auslagert, verlagert damit nicht auch automatisch sämtliche Verantwortung an den Cloud Service Provider. Ein Shared Responsibility Modell hilft Unternehmen den eigenen Pflichten nachzukommen. (Bild: Pixabay / CC0)

Unternehmen benötigen zunehmend die Flexibilität der Cloud. Aber dort drohen neue Gefahren. Die Plattformen der Service Provider sind zumeist sicher – aber vielen Unternehmen fehlt die Expertise, Anwendungen und Daten in der Cloud angemessen zu schützen. Cloud Access Security Broker (CASB) können helfen, diese Lücke zu schließen.

Der Cloud-Markt wächst weiter. Das gilt vor allem für Infrastructure-as-a-Service (IaaS)-Angebote, also das Bereitstellen von IT-Ressourcen wie Rechenleistung, Storage oder Netzwerkkapazitäten über die Wolke. Laut den Marktanalysten von Gartner soll das weltweite IaaS-Wachstum in diesem Jahr bei 38,6 Prozent und die durchschnittliche jährliche Wachstumsrate bis 2021 bei 29,7 Prozent liegen.

Aus gutem Grund setzen mehr und mehr Unternehmen auf solche Angebote: Den Beziehern von Cloud-Diensten, beispielsweise von Amazon Web Services (AWS), steht stets aktuelle Software zur Verfügung, sie müssen weniger Kapazitäten im eigenen Rechenzentrum vorhalten und sie verwandeln fixe in variable Kosten. Leistungen wie Speicherdienste lassen sich flexibel je nach aktuellem Bedarf über die Cloud abrufen. Zudem erhalten Unternehmen eine höhere Verfügbarkeit und besseren Zugriff auf Daten – ein Plus vor allem für die mobilen Mitarbeiter. Selbst ein Aspekt, der bisweilen kritisch beleuchtet wird, ist de facto ebenfalls auf der Positivseite zu verbuchen: die Security. Denn IaaS-Provider investieren massiv in die Sicherheit ihrer Services – meist weitaus mehr als ein Einzelunternehmen in seinem eigenen Rechenzentrum zu leisten imstande wäre.

Sicherheit ist beim Bezug von Cloud Services jedoch keine Einbahnstraße. Unternehmen müssen ebenso einen Beitrag zum Schutz ihrer sensiblen Daten leisten wie die Provider. Shared Responsibility heißt hier das Stichwort zum Beispiel bei AWS. Basierend auf einer genau geregelten Arbeitsteilung übernehmen bei diesem Konzept Unternehmen und Provider gleichermaßen die Verantwortung für die Sicherheit.

Geteilte Verantwortung – Doppelte Sicherheit

AWS hat in seinem Modell die Security-Arbeitsteilung genau geregelt: Amazon sorgt dafür, dass die Cloud an sich sicher ist. In den Zuständigkeitsbereich des Providers fallen Datenverarbeitung, Speicherung, Datenbank- und Netzwerk-Services mit der zugrundeliegenden Hard- und Software-Infrastruktur sowie die physische Sicherheit der Gebäude, in denen die Infrastruktur untergebracht ist.

Die Sicherheit in der Cloud hingegen ist Angelegenheit des Kunden. Der Schutz seiner Daten, die in der AWS-Cloud gespeichert sind und die Sicherheit von Applikationen, die er über die Cloud betreibt, fallen unter seine Verantwortung. Dies gilt auch für Richtlinien zur Data Loss Prevention, also den Schutz sensibler Daten und Informationen vor Diebstahl oder Missbrauch und die Zugangskontrolle. Für letztere stellt Amazon seinen Kunden ein ausgefeiltes Identity- und Access-Management-System bereit, das ihnen eine granulare Kontrolle über die Bereitstellung von Diensten und die Zugangsberichtigung für einzelne Mitarbeiter bietet.

Sicherheitsrisiko Mensch

Dem Modell der Shared Responsibility misst auch Gartner eine große Bedeutung zu. Der Marktanalyst geht davon aus, dass bis zum Jahr 2020 95 Prozent aller beim Cloud Computing auftretenden Sicherheitsprobleme auf Fehler der Kunden zurückzuführen sein werden.

Tatsächlich sind nicht immer Hacker-Angriffe oder Zero-Day-Lücken die Ursache für Datenleaks. Häufig ist es menschliches Versagen. So kam es etwa beispielsweise in den USA zu einer massiven Verletzung des Datenschutzes durch Deep Root Analytics, einer vom Republican National Committee für den US-Wahlkampf beauftragten Marketing-Firma. Aufgrund einer nicht korrekt durchgeführten Änderung bei den Sicherheitseinstellungen waren mit einem Schlag die Namen, Adressen, Geburtstage und Telefonnummern von fast 200 Millionen US-Bürgern in AWS öffentlich einsehbar. Ähnliches war bereits 2016 mit Daten von 94,3 Millionen mexikanischen Wählern geschehen. Auch diese waren aufgrund eines Sicherheitsfehlers auf Kundenseite für jedermann sichtbar. Ein weiterer Fall stammt aus einem Unternehmen. Hier führte ein Fehler dazu, dass geistiges Eigentum in Wert von mehreren Millionen US-Dollar in einem Amazon S3 Bucket öffentlich zugänglich war.

Dies sind nur einige Beispiele, welche die Bedeutung des Modells der Shared Resposibility für den Datenschutz bei IaaS-Systemen verdeutlichen. Die Verantwortung für die Konfiguration und den Einsatz von Applikationen, die auf IaaS-Plattformen laufen, liegen klar auf Anwenderseite. Treten hier Fehler auf, sind die Auswirkungen verheerend, nicht zuletzt auch für die Reputation eines Unternehmens. Anwender müssen zum Beispiel sicherstellen, dass S3 Buckets in AWS verschlüsselt und nicht öffentlich zugänglich sind und alle relevanten Nutzer und Aktivitäten überwachen und protokollieren. Kein einfaches Unterfangen, denn in Unternehmen kommen oft eine große Zahl unterschiedlicher AWS-Instanzen mit einer Vielzahl von Konfigurationseinstellungen zum Einsatz. Alle Sicherheitsrisiken zu eliminieren und stets die Sicherheit aller Daten zu gewährleisten, wird hier zur echten Herausforderung.

In zwei Schritten zu sicheren Daten in der Cloud

Als probates Mittel, um Daten in IaaS-Systemen wie AWS, Microsoft Azure oder Google Cloud zu schützen, empfiehlt sich der Einsatz einer Cloud Access Security Broker (CASB)-Lösung. Damit machen Unternehmen ihre Daten in zwei Schritten sicher:

Durch das zentrale Management einer CASB-Lösung können Unternehmen einheitliche Sicherheitsmaßnahmen für alle Anwendungen, die in IaaS-Umgebungen laufen, in einer einzigen Ansicht verwalten. Der Anwender erstellt für die Data Loss Prevention Richtlinien auf Basis von Daten-Merkmalen, von Keywords sowie von strukturierten und unstrukturierten digitalen "Fingerabdrücken". Damit lassen sich sensible Daten auffinden und entsprechend schützen, beispielsweise in AWS S3 Buckets.

Außerdem bietet AWS umfangreiche Optionen für Sicherheitskonfigurationen für alle angebotenen Dienste. CASB-Lösungen können beispielsweise über 70 Sicherheitseinstellungen in allen AWS-Instanzen überwachen und Verstöße gegen das unternehmensinterne Informationssicherheits-Managementsystemen (ISMS) melden.

Fazit

Wer Applikationen in die Cloud auslagert, verlagert damit nicht auch automatisch sämtliche Verantwortung an den Cloud Service Provider. Wie negative Schlagzeilen immer wieder zeigen, scheint es allerdings vielen Unternehmen noch nicht vollständig klar zu sein, welche Pflichten bei einer IaaS-Partnerschaft auf ihrer Seite liegen. Der Einsatz einer CASB-Lösung kann der auslagernden Seite helfen, ihren Pflichten im Rahmen eines Shared Responsibility Modells besser nachzukommen.

Über den Autor: Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45240341 / Cloud und Virtualisierung)