Start Cloud Wessen Verantwortung trägt eigentlich die Cloud-Sicherheit?

Wessen Verantwortung trägt eigentlich die Cloud-Sicherheit?

7
0


Cloud-Datensicherheit

Die Frage, ob ein Wechsel in die Cloud der Sicherheit nicht förderlich ist, wurde weitestgehend mit einem klaren „Ja“ beantwortet, weshalb Unternehmen zunehmend auf Cloud-basierte Technologien und Services für den Geschäftsbetrieb setzen.

Eine differenziertere Diskussion dreht sich jedoch um die Frage, wessen Verantwortung die Cloud-Sicherheit letztendlich trägt.

Die Antwort auf diese Frage wird dadurch erschwert, dass die Cloud-Lieferkette nicht nur den Kunden und den Cloud-Dienstleister umfasst, sondern potenziell eine Vielzahl von Dritten in Form von Infrastrukturdienstleistern, Systemintegratoren und anderen Partnern.

Um herauszufinden, wo die Verantwortung für die Sicherheit liegt, müssen Unternehmen unbedingt die Risiken und Schwächen in ihrer erweiterten Cloud-Lieferkette untersuchen und dann eine Verantwortungsmatrix entwickeln, um diese Risiken zu mindern.

Die Übernahme dieses Best-Practice-Ansatzes für Sicherheit, Governance und Compliance ist für Organisationen, die sensible und vertrauliche Daten verarbeiten – von Anwaltskanzleien über Finanzdienstleister bis hin zu anderen Unternehmen, die Wissensarbeit betreiben – zunehmend der einzige Weg, um sicherzustellen, dass ihre Informationen geschützt sind auf höchstem Niveau.

Rollen und Verantwortlichkeiten

Der erste Schritt besteht darin, herauszufinden, für welchen Teil der „Cloud-Sicherheit“ der Dienstanbieter verantwortlich ist und für welchen Teil der Verbraucher dieser Dienste verantwortlich ist.

Im Allgemeinen ist der Kunde – der Verbraucher des Cloud-Dienstes – dafür verantwortlich, zu bestimmen, welche Endbenutzer Zugriff auf den Dienst haben, und er erreicht dieses Ziel in der Regel über Identitäts- und Zugriffsverwaltungslösungen.

In der Zwischenzeit wird die eigentliche physische Infrastruktur, auf der die Daten gehostet werden, in die Verantwortung des Anbieters übergehen: nicht nur die Server selbst, sondern auch die Sicherheitskontrollen in der Umgebung betreten zu diesen physischen Geräten. Darf zum Beispiel jeder in das Rechenzentrum wandern oder wird der Zugang sorgfältig kontrolliert und auf eine streng geprüfte Liste beschränkt? Dieser Teil der Matrix liegt vollständig in den Händen des Anbieters.

Angesichts der großen Verantwortung, die beim Anbieter liegt, sollten Kunden sicherstellen, dass der Cloud-Service-Provider nicht nur ein Zero-Trust-Modell verwendet, sondern ein Zero-Touch-Modell.

Das Zero-Trust-Framework stellt die Idee von Vertrauen in jeder Form in Frage, sei es Vertrauen von Netzwerken, Vertrauen zwischen Host und Anwendungen oder sogar Vertrauen von Superusern oder Administratoren. Dieses Framework funktioniert jedoch nur dann richtig, wenn Zero Touch im Mittelpunkt steht und menschliche Schwachstellen durch Automatisierung weitgehend beseitigt wurden.

Die Zusammenarbeit mit Serviceprovidern, die ein Zero-Touch-Modell implementiert haben, verdeutlicht wichtige Teile des Modells der geteilten Verantwortung, da es sicherstellt, dass der Anbieter keine technischen Mittel hat, um auf Kundendaten zuzugreifen. Mit anderen Worten, es gibt Gewissheit, dass das Teil der Verantwortungsmatrix ist so dicht wie möglich.

Auf die Reifen treten

Als Teil der Risikominderung wird Kunden empfohlen, nicht nur den Cloud-Service selbst, sondern auch das Unternehmen, mit dem sie zusammenarbeiten werden, auf die Probe zu stellen.

Wie ausgereift sind sie als Organisation? Wie ausgereift ist insbesondere ihre Sicherheits- und Compliance-Funktion? Verfügen sie über Zertifizierungen, die ihre Einhaltung weltweit anerkannter Sicherheits- und Datenschutz-Frameworks wie ISO 27001, ISO 22301 und SOC 2 belegen?

Eine weitere wichtige Frage ist, ob sie verschiedene Verantwortlichkeiten für ihren Cloud-Service an andere Drittanbieter ausgelagert haben – und ob Sie als Kunde einen guten Überblick über diese Vereinbarungen haben.

Schließlich ist alles in Ordnung und gut, wenn der Cloud-Anbieter, mit dem Sie Geschäfte tätigen, die richtigen Kästchen in Bezug auf Reifegrad und Zertifizierungen ankreuzt, aber wichtige Teile des Prozesses an Organisationen auslagert, die nicht Wenn Sie diese Kriterien erfüllen, ist das eine ganz andere Geschichte.

Neben der Gewinnung von Klarheit über die erweiterte Lieferkette ist es für Kunden auch wichtig, den Cloud-Anbieter insgesamt sorgfältig zu prüfen. Führen sie beispielsweise Antivirenprogramme der nächsten Generation oder Intrusion Detection aus? Wie schützen sie ihre Unternehmensendpunkte?

Diese Bereiche haben vielleicht nichts mit der Bereitstellung ihres Cloud-Angebots zu tun, aber sie sagen viel über die Organisation und ihren Betrieb im Allgemeinen aus. Kunden wollen das wissen irgendein Informationen, die sie mit dem Anbieter teilen – beispielsweise ein Projektvorschlag mit vertraulichen Details – sind sicher, nicht nur die Daten, die sie in den Cloud-Diensten speichern, die sie vom Anbieter kaufen werden.

Keine schwachen Links

Letztendlich ist Sicherheit in der Cloud ein gemeinsames Unterfangen eines Ökosystems von Teilnehmern, einschließlich des Kunden, des Cloud-Anbieters und der erweiterten Lieferkette. Wie jede Kette ist diese vernetzte Anordnung nur so stark wie ihr schwächstes Glied – und eine Schwäche oder Pflichtverletzung in einem Bereich oder durch eine Partei kann dazu führen, dass sensible und privilegierte Daten kompromittiert werden.

Durch die Erstellung einer klar definierten Verantwortungsmatrix – und durch eine eingehende Untersuchung der Parteien, die für die verschiedenen Aspekte der Matrix verantwortlich sind – können Unternehmen einen soliden Ansatz für die gemeinsame Verantwortung für die Cloud-Sicherheit gewährleisten. Auf diese Weise können sie alle Vorteile der Cloud für ihren Geschäftsbetrieb nutzen, ohne Kompromisse oder Kompromisse einzugehen.

Bildnachweis: jirsak / Depositphotos.com

Martin Ward ist Direktor für Sicherheit, Governance und Compliance, Ich verwalte



Vorheriger ArtikelBodhi Linux 6.0 zum Download verfügbar
Nächster ArtikelSehen Sie sich hier das „Spring Loaded“-Event von Apple live an

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein