Häufig herrscht immer noch Unklarheit über das Shared-Responsibility-Modell in der Public Cloud.
Mehr und mehr Unternehmen erkennen die Vorteile der Public Cloud, von flexibler Skalierbarkeit und Agilität über effizientere Arbeitsprozesse und damit einhergehende Kostenersparnis bis hin zu bequemerer Datensicherung und Disaster Recovery. In puncto Sicherheit gibt es jedoch immer noch Missverständnisse bezüglich des Shared-Responsibility-Modells. Eine aktuelle, weltweite Studie, durchgeführt vom Marktforschungsunternehmen Vanson Bourne, offenbarte, dass tatsächlich 71 Prozent der befragten Unternehmen glaubten, Public Cloud-Anbieter seien für die Sicherung von Kundendaten in der Cloud verantwortlich [1].
Unternehmen müssen sich klarer darüber sein, welche Verantwortung sie für die Sicherung ihrer Daten und Anwendungen haben, die bei AWS, Azure oder in der Google Cloud Platform liegen. Sehr häufig gestellte Fragen sind immer noch:
- »Warum muss ich meine eigene Sicherheitslösung in die Cloud stellen? Ich dachte, die Cloud wäre schon gesichert?«
- »Warum kann ich meine virtuellen Security Appliances nicht einfach in der Cloud verschieben?
- »Was bedeutet das für meine Netzwerk-Firewall? Wie stelle ich die Konnektivität und den Zugriff für meine Mitarbeiter sicher?«
- »Wie sichere ich eine Cloud-Anwendung? Sind Office 365 und Salesforce nicht schon sicher?«
Falls noch derartige Fragen auftauchen, sollten Unternehmen mit einem erfahrenen Partner sprechen, der sie bei der Migration in die Cloud unterstützt. Im Folgenden seien zudem einige Punkte genannt, die helfen können, vorab ein paar grundlegende Dinge zu klären.
Das Shared-Responsibility-Modell: Verantwortung, aber auch Freiheit.Public-Cloud-Anbieter sind nur für die physische Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung ihrer eigenen Rechenzentren verantwortlich. Dieses Modell bietet die höchstmögliche Effizienz für den Cloud-Provider und entlastet zugleich den Kunden davon, die Infrastruktur wie ein Rechenzentrum oder die Server-Hardware bereitzustellen. Darüber hinaus profitiert der Kunde von flexibler Skalierbarkeit bei Bedarf.
Cloud-Anbieter geben einem Unternehmen damit die Freiheit, all seine in die Cloud migrierten Daten und Anwendungen auf gewünschte Weise zu sichern. So liegt es in der Verantwortung der Unternehmen, die Sicherheit von Anwendungen, Workloads und Betriebssystemen zu konfigurieren, zu patchen und zu schützen. Die Konfiguration umfasst Identitätsmanagement, Zugriffsebenen und Sicherheitsgruppen. Zudem sind die Kunden auch für den Datenschutz und die Verfügbar
keit von Workloads verantwortlich. Die geteilte Verantwortung ermöglicht es Kunden außerdem, ihre Cloud-Sicherheitslösung an die individuellen Anforderungen ihrer Workloads anzupassen. Anwendungs- und Datensicherheit liegen damit in den Händen derjenigen, die sie am besten kennen, und werden nicht etwa einem öffentlichen Cloud-Anbieter überlassen, um ein unzureichend standardisiertes Protokoll zur Verfügung zu stellen.
Public-Cloud-Provider arbeiten darüber hinaus mit Drittanbietern zusammen, um sicherzustellen, dass die verfügbaren Sicherheitslösungen auf ihren Plattformen ordnungsgemäß funktionieren. Die Partnerschaftsprogramme von AWS, Azure und GCP stellen sicher, dass die Hersteller von Sicherheitslösungen Zugang zu den Tools und Spezifikationen haben, die sie benötigen, um ihre Produkte für eine optimale Performance auf jeder Plattform zu entwickeln. Sobald die Produkte des Anbieters die vom Cloud-Provider festgelegten Standards erfüllen, wird eine Zertifizierung oder Kompetenz erteilt.
Sicherheitslösungen für die Public Cloud: Die Vorteile richtig nutzen. Das Modell der Shared Security bedeutet, dass der Cloud-Provider die Infrastruktur für die Sicherheit besitzt. Alle Aspekte der Transparenz, Überwachung, Behebung und des Schutzes werden in der Public Cloud durch APIs und Tools wie CloudWatch und Insights nachgewiesen. Diese Dinge machen die Public Cloud aus.
Die native Integration in eine Cloud-Plattform setzt voraus, dass eine Sicherheitslösung auf einer cloud-basierten Architektur aufbaut und speziell für die Public Cloud entwickelt wurde. Auch wenn es verlockend sein mag, eine virtualisierte Version der bestehenden On-Premises-Sicherheitslösung in der Cloud zu verwenden, sind diese VMs einfach nicht dazu gemacht, die Vorteile der Cloud zu nutzen. Sie scheinen zu funktionieren, aber bestimmte Funktionen fehlen. Einige häufig gestellte Fragen in diesem Kontext sind:
- Kann die VM automatisch bezüglich Leistung und Kapazität skaliert werden?
- Ist eine Bereitstellung auf AWS oder Azure innerhalb von Minuten möglich?
- Bietet die Lösung Pay-As-You-Go, nutzungsabhängige Abrechnung und andere flexible Verbrauchsmodelle?
- Baut die Lösung auf einer cloud-zentrierten Architektur auf?
Dies sind die Funktionen, die eine On-Premises-Lösung von einer cloud-fähigen Lösung unterscheiden. Um die Vorteile der Cloud also voll ausschöpfen zu können, benötigen Unternehmen eine Lösung, die Teil der Cloud-Architektur ist. Viele Organisationen erkennen mittlerweile, dass Cloud-Implementierungen von Natur aus sicherer sein können als On-Premises-Lösungen, da Cloud-Anbieter gemeinsam mehr in Sicherheitskontrollen investieren, als die Unternehmen selbst.
So sind Organisationen, die am meisten von der Public Cloud profitieren, diejenigen, die verstehen, dass ihr Public-Cloud-Anbieter nicht für die Sicherung von Daten oder Anwendungen zuständig ist, und ihre Sicherheit durch cloud-native Lösungen von Drittanbietern erhöhen. Traditionelle Sicherheitsstrategien eignen sich nicht für heutige cloud-integrierende Infrastrukturen und cloud-nutzende Workloads, denn Zweigniederlassungen können nicht direkt auf Cloud-Anwendungen zugreifen, cloud-freundliche Verbrauchsmodelle werden oft nicht unterstützt und eine erforderliche Skalierbarkeit und Flexibilität für in der Cloud gehostete Applikationen ist nicht ausreichend gegeben. Cloud-native Lösungen hingegen sorgen für sichere und zuverlässige Verbindungen zwischen Cloud und mehreren Standorten, bieten verbrauchsorientierte Preismodelle und helfen, die Infrastrukturkosten zu optimieren.
Hatem Naguib,
SVP & GM, Security Business
bei Barracuda Networks
www.barracuda.com
[1] https://www.vansonbourne.com/client-research/21111601TC
Illustration: © kapona /shutterstock.com
Das unsichtbare Sicherheitsnetz Cloud-Backup: Backup- und Disaster Recovery
Bei der Cloud bleibt die Sicherheit auf der Strecke – Unternehmen setzen sich Risiken aus
Cloud: Unternehmen haben Nachholbedarf bei Sicherheit, Management und Compliance
Datensicherheit 2018: Ransomware, RPO/RTO, Cloud und DSGVO 2018 im Trend
Next-Generation-Firewall für Inline CASB – effektiverer Ansatz für Cloud-Sicherheit