Was ist das Modell der geteilten Verantwortung?
Das Modell der geteilten Verantwortung ist ein Rahmenwerk, in dem festgelegt wird, wer für die Sicherung verschiedener Aspekte der Cloud-Computing-Umgebung zwischen dem Cloud-Service-Provider (CSP) und dem Kunden verantwortlich ist. Der CSP ist in der Regel für die Sicherheit der zugrunde liegenden Infrastruktur zuständig, während es beim Kunden liegt, seine in der Cloud gehosteten Daten und Anwendungen zu sichern.
CSPs sind verantwortlich für Sicherung von Rechenzentren und allen Netzwerkgeräten. Sie übernehmen auch Aufgaben wie das Patchen und Aktualisieren von Betriebssystemen sowie die Sicherstellung der Verfügbarkeit und Zuverlässigkeit der Cloud-Dienste. Dies wird als "Sicherheit der Cloud" Verantwortung.
Zu den Sicherheitsaufgaben der Kunden gehören Einrichtung sicherer Zugangskontrollen, Verschlüsseln von Daten während der Übertragung und im Ruhezustand, die Verwaltung von Benutzerkonten und Anmeldeinformationen und die Implementierung anwendungsspezifischer Sicherheitsmaßnahmen. Dies wird als "Sicherheit in der Cloud" Verantwortung.
Als CSP gewährleistet Amazon S3 beispielsweise die physische Sicherheit seines Rechenzentrums und schützt vor Bedrohungen auf Infrastrukturebene. Es liegt jedoch in der Verantwortung der S3-Benutzer, die Zugriffskontrolle und Berechtigungen für ihre S3-Buckets ordnungsgemäß zu konfigurieren, die Verschlüsselung für sensible Daten zu implementieren und den Zugriff auf gespeicherte Daten regelmäßig zu überwachen und zu verwalten.
Diese Verantwortlichkeiten sind nicht allgemein bekannt. Obwohl 98 % der Unternehmen innerhalb der letzten achtzehn Monate eine Datenschutzverletzung in der Cloud gemeldet haben, 13 % verstehen ihre Verantwortung für die Cloud-Sicherheit. Viele Unternehmen verlassen sich fälschlicherweise auf ihre CSPs, wenn es um Datenschutz und Anwendungssicherheit geht. Die Schließung dieser Wissenslücke ist ein wesentlicher Schritt zur Erfüllung der Cloud-Sicherheitsverpflichtungen.
Wie sich die geteilte Verantwortung je nach Servicetyp unterscheidet
Der Grad der gemeinsamen Verantwortung eines CSP-Kunden hängt vom Diensttyp ab: Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) oder Infrastructure-as-a-Service (IaaS).
Im SaaS-Modell CSPs tragen die meisten Sicherheitsverantwortungen. Sie sichern die Softwareanwendung, einschließlich Infrastruktur und Netzwerke, und sind für die Sicherheit auf Anwendungsebene verantwortlich. Zu den Aufgaben der Kunden gehört es oft, den Benutzerzugriff zu verwalten und sicherzustellen, dass Daten geschützt und Konten sicher sind. Kurz gesagt, Kunden verlassen sich in Bezug auf Sicherheit, Betriebszeit und Systemleistung stark auf ihren Cloud-Service-Provider.
Im PaaS-Modellverwalten CSPs die Infrastruktur und die zugrunde liegenden Plattformkomponenten, z. B. Laufzeit, Bibliotheken und Betriebssysteme. Kunden sind für die Entwicklung, Wartung und Verwaltung von Daten und Benutzerzugriffen innerhalb ihrer Anwendungen verantwortlich.
Von den drei Modellen IaaS-Kunden haben ein Höchstmaß an Verantwortung. Der CSP sichert die grundlegende Infrastruktur, einschließlich virtueller Maschinen, Speicher und Netzwerke, während Kunden alles schützen, was auf der Infrastruktur aufbaut, z. B. Betriebssystem, Laufzeit, Anwendungen und Daten.
Während die oben genannten Zuständigkeiten einen allgemeinen Überblick bieten, variiert die genaue Aufteilung der Zuständigkeiten je nach CSP. Es empfiehlt sich, sich auf spezifische Vereinbarungen zum Servicelevel und die Dokumentation zu beziehen, die von CSPs bereitgestellt werden, um weitere Informationen zur Verantwortungsverteilung zu erhalten.
Verantwortlichkeiten der Kunden für die Cloud-Sicherheit
Kunden und nicht CSPs tragen oft die Verantwortung für die meisten Cloud-Sicherheitsvorfälle.
Bis 2025 99 % der Cloud-Sicherheitsfehler werden voraussichtlich von Kunden kommen.
Um den Erfolg des Modells der geteilten Verantwortung sicherzustellen, werfen wir einen Blick auf die Verantwortlichkeiten der Kunden.
| Customer Responsibility | Description |
|---|---|
| Data protection | Ensuring data confidentiality, integrity, and availability is the customer’s purview. Best practices involve implementing proper access controls, encryption, and backups. |
| User access management | Implement appropriate permissions, enforce strong passwords, and adopt multi-factor authentication to keep user access secure. |
| Application security | Customers are accountable for securing cloud-hosted applications. Follow secure coding practices, conduct regular vulnerability assessments, and implement appropriate security controls to reduce application-level security threats. |
| Network controls | Firewalls, virtual private networks (VPNs), security groups, and other network-control configurations are essential customer responsibilities that protect cloud resources from unauthorized access. |
| Compliance and governance | Meeting regulatory requirements and implementing appropriate governance controls are also customer responsibilities. Each industry has unique regulations and frameworks. |
Die typischen Verantwortlichkeiten von CSPs für die Cloud-Sicherheit
Der Teil der Verantwortung von CSPs umfasst in der Regel die Sicherheit der Infrastruktur und die damit verbundenen Abhängigkeiten. Zu ihren Sicherheitsaufgaben gehören unter anderem:
| CSP Responsibility | Description |
|---|---|
| Physical security | As previously mentioned, CSPs are responsible for securing physical access to their data centers, using tools like surveillance systems, restricted-access areas, and environmental controls. |
| Network-infrastructure security | Each provider is responsible for securing cloud-network infrastructure, including routers, switches, and load balancers by implementing appropriate controls, such as intrusion detection and prevention systems. |
| Host-infrastructure security | CSPs secure underlying host infrastructures, including servers, virtualization layers, and storage systems. They implement proper configuration, patching, and security controls on these resources; update operating systems; and ensure overall availability and reliability of cloud services. |
| Compliance certifications | CSPs often undergo independent audits and attain certifications to demonstrate compliance with industry standards and regulations. These measures provide customers with assurances regarding their security practices. |
Überlappende Zuständigkeiten
Einige Verantwortlichkeiten werden je nach Diensttyp (SaaS, PaaS oder IaaS) von beiden Parteien geteilt. Zum Beispiel im Rahmen der Microsoft-Modell der geteilten Verantwortung, CSPs sowie SaaS- und PaaS-Kunden teilen sich die Verantwortung für die Sicherung der Identitäts- und Verzeichnisinfrastruktur. Alternativ werden Anwendungssicherheit und Netzwerkkontrollen im Rahmen des PaaS-Modells gemeinsam genutzt. CSPs definieren die Grenzen der Verantwortlichkeiten klar durch Service Level Agreements (SLAs). Überschneidungen bestehen in der Regel in folgenden Bereichen:
Betriebssysteme
Unabhängig davon, ob ein Benutzer sein eigenes Betriebssystem (OS) mitbringt oder ein vom Cloud-Anbieter bereitgestelltes Betriebssystem bereitstellt, liegt die Verantwortung für die Auswahl des geeigneten Betriebssystems, um die Sicherheitsanforderungen eines Unternehmens zu erfüllen, beim Benutzer. Wenn der Benutzer das Betriebssystem des CSP auswählt, ist er für dessen Sicherheit verantwortlich. Wenn ein Kunde jedoch sein eigenes Betriebssystem mitbringt, ist sein Unternehmen für dessen Sicherheit verantwortlich.
Native vs. Tools von Drittanbietern
Anbieter sind für die Bereitstellung, Verwaltung, Wartung und Aktualisierung von Diensten verantwortlich. Wenn Sie jedoch ein Tool oder eine Anwendung eines Drittanbieters als Workload bereitstellen, ist der Kunde mit der Sicherung der Anwendung und ihrer Daten beauftragt, während der CSP'Die Verantwortung beschränkt sich auf die Infrastruktur- und Virtualisierungsschicht.
Serverbasiertes vs. serverloses Computing
Beim serverbasierten Computing ist der Benutzer für die Auswahl des Betriebssystems, die Bereitstellung der Workload und die Konfiguration der erforderlichen Sicherheitseinstellungen verantwortlich. Auf der anderen Seite ist der Benutzer beim serverlosen oder ereignisbasierten Computing für den bereitgestellten Code und die benutzerdefinierten Sicherheits- oder Konfigurationsoptionen verantwortlich, die vom Cloud-Anbieter bereitgestellt werden.
Netzwerk-Steuerelemente
Unabhängig davon, ob sie ihre eigene Firewall bereitstellen oder die des Anbieters verwenden, sind Kunden für die Konfiguration von Firewall-Regeln und die Sicherstellung einer ordnungsgemäßen Konfiguration nach Sicherheitsstandards verantwortlich.
Security Leaders Handbook: The Strategic Guide to Cloud Security
Learn the new cloud security operating model and steps towards cloud security maturity. This practical guide helps transform security teams and processes to remove risks and support secure cloud development.
Download Handbook
Beispiele für das Modell der geteilten Verantwortung
Große CSPs wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Azure haben ihre eigenen Modelle für die gemeinsame Verantwortung eingerichtet, in denen die Sicherheitsverantwortlichkeiten zwischen Anbietern und Kunden festgelegt sind.
Das AWS-Modell der geteilten Verantwortung
Das AWS-Modell der geteilten Verantwortung beschreibt, dass AWS "verantwortlich für den Schutz der Infrastruktur , die alle Services in der AWS Cloud ausführt." Sie übernehmen die Verantwortung für Hardware und Software, einschließlich physischer Rechenzentren, Netzwerke, Edge-Standorte und Virtualisierungsebenen.
AWS sichert auch seine verwalteten Services wie AWS DynamoDB, RDS, Redshift, Elastic und EMR. Kunden sind jedoch dafür verantwortlich, ihre eigenen Anwendungen und Daten zu sichern und Zugriffskontrollen und Konfigurationen innerhalb ihrer AWS-Konten zu verwalten.
Connect Wiz with Amazon Web Services (AWS)
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
Das GCP-Modell der geteilten Verantwortung
Die Google Cloud Platform (GCP) folgt einem Modell der geteilten Verantwortung und des geteilten Schicksals. GCP eingeführt 'Schicksal teilen' Herausforderungen anzugehen, bei denen sie der Meinung sind, dass das Modell der geteilten Verantwortung zu kurz greift.
Die GCP sichert die zugrunde liegenden Cloud-Infrastrukturen und bietet Add-on-Optionen, die Kunden nutzen können, um die Verantwortung für die Sicherung von Anwendungen und Daten, die Verwaltung von Benutzerzugriffen und -berechtigungen, die Konfiguration von Sicherheitseinstellungen und die Implementierung geeigneter Sicherheitsmaßnahmen in ihren Projekten zu übernehmen.
Connect Wiz with Google Cloud (GCP)
Build faster and more securely on Google Cloud Platform with Wiz.
Learn more
Das Modell der geteilten Verantwortung von Azure
Microsoft Azure nutzt ein Modell der gemeinsamen Verantwortung, das dem Modell der GCP ähnelt.
Obwohl Azure verwaltete Dienste sichert, besitzen und sichern Kunden den gesamten Stapel, wenn sie ein lokales Rechenzentrum betreiben.
Herausforderungen des Modells der geteilten Verantwortung
Trotz seiner zahlreichen Vorteile bringt das Modell der geteilten Verantwortung auch die folgenden Herausforderungen mit sich:
| Challenge | Description |
|---|---|
| Access control | Organizations must always protect customer data. However, the shared responsibility model requires that CSPs have unguarded access to sensitive infrastructure to evaluate security posture, contradicting an organization’s exclusive access to customer data. This has pushed many organizations into implementing role-based access control (RBAC) to ensure that authorized individuals have access to perform only pre-specified duties. |
| Vagueness | There are important areas of cloud security where the model does not clearly spell out the security responsibilities of each party. For instance, cloud middleware—which sits between organizations and CSPs for cloud security posture management—requires regular updates as new vulnerabilities continue to surface and attack surfaces expand. However, many organizations are barely aware of the required frequency of updates, and this exposes them to preventable attacks. Automating the software patching process is a viable solution to combat this issue. |
| Incident management | When cyberattacks occur, identifying which party is responsible for investigation and remediation is critical. Unfortunately, the shared responsibility model does not clearly spell out the delegation of responsibility. Additionally, cyberattacks can be targeted at anyone at either party (customer or CSP), so managing the attack is often slowed down by pinpointing the source and establishing who is responsible for remediation. |
| Complexity | Organizations offering multiple services often require multiple CSPs and unifying them into a single system may be cumbersome. Moreover, the multi-tiered nature of cloud deployments often necessitates the intervention of multiple departments, adding complexity to the question of who is responsible for what. Even when CSP versus customer responsibilities are clearly spelled out, identifying departments that are responsible for securing specific aspects of the cloud may be difficult. |
Eine neue Vision für die gemeinsame Reaktion auf Cloud-Schwachstellen
In einem früheren Blog betont Yinon Costica, CTO von Wiz, die Notwendigkeit eines neuen Shared-Response-Modells für den Umgang mit Cloud-Schwachstellen. Yinon verwendet ChaosDB als Beispiel dafür, warum das derzeitige Modell mangelnde Transparenz und Klarheit im Umgang mit Schwachstellenwelche führt zu Verwirrung und ineffektiven Abhilfemaßnahmen.
Yinon schlägt einen neuen Ausgangspunkt für die Zusammenarbeit von CSPs und Kunden vor, um neue Cloud-Schwachstellen zu beheben:
| Areas of Responsibility | CSPs | Customers |
|---|---|---|
| Software vulnerabilities |
|
|
| Cloud features and security configuration |
|
|
Schauen Sie sich Yinon an'In seinem Blog finden Sie eine detaillierte Erläuterung der oben genannten Verantwortlichkeiten und warum er glaubt, dass dieses neue Modell es CSPs und Kunden ermöglichen wird, effizienter auf die neuen Cloud-Schwachstellen zu reagieren:
Vereinfachen Sie die gemeinsame Verantwortung mit Wiz
Obwohl Cloud-Service-Provider und ihre Kunden jeweils spezifische Verantwortlichkeiten für die Cloud-Sicherheit haben, kann es schwierig sein, die Grenzen zu überwinden und zu bestimmen, wer für was verantwortlich ist. Große CSPs raten ihren Kunden, mehr über diese Verantwortlichkeiten zu erfahren und proaktive Schritte zu unternehmen, um Cloud-Sicherheit.
Wiz lässt sich nahtlos in Ihren CSP integrieren und bietet einen vollständigen Einblick in den Sicherheitsstatus Ihrer Cloud-Umgebung. Vereinbaren Sie einen Termin für eine Demo Heute.
See Wiz In Action
Learn why CISOs at the fastest growing enterprises secure their cloud with Wiz.
