ClickCease Anpassung der Cloud-Sicherheit an das Modell der geteilten Verantwortung

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Anpassung der Cloud-Sicherheit an das Modell der geteilten Verantwortung

von Nazy Fouladirad

26. Juli 2024. Gastautorin

Der Betrieb eines Unternehmens hauptsächlich in der Cloud ist für viele Unternehmen kein fremdes Konzept mehr, sondern wird immer mehr zur Norm. Cloud Computing öffnet Unternehmen eine Vielzahl von Türen und hilft ihnen, ihren Betrieb schnell zu erweitern, während sie mehr Kunden unterstützen und unvergleichliche Flexibilität mit Markenanwendungen und -diensten bieten.

Wenn es jedoch um die Datensicherheit in der Cloud geht, gibt es oft Missverständnisse darüber, wer dafür verantwortlich ist - das Unternehmen oder der CSP (Cloud Service Provider). 

In diesem Fall sollten die Unternehmen das Modell der geteilten Verantwortung verstehen und wissen, wie es sich auf ihre Bemühungen auswirken sollte, die Prioritäten für die Cloud-Sicherheit anzupassen.

Aufgliederung des Modells der geteilten Verantwortung

 

Ein Modell der geteilten Verantwortung - insbesondere in Bezug auf vernetzte Cloud-Operationen - hilft dabei, wichtige sicherheitsrelevante Aufgaben zwischen Unternehmen und den Anbietern, mit denen sie zusammenarbeiten, aufzuteilen. 

Das Wichtigste, das man bei Modellen der geteilten Verantwortung ist, dass es sich nicht um eine harte Linie handelt, die festlegt, wer für was verantwortlich ist. Vielmehr handelt es sich um ein Spektrum, mit dessen Hilfe sichergestellt werden kann, dass beide Parteien in einer Beziehung, die die Nutzung sensibler Kundendaten beinhaltet, auf unterschiedliche Weise zusammenarbeiten, um die Cloud-Sicherheit anzugleichen und die Integrität der Daten zu gewährleisten, wenn sie sowohl vor Ort als auch in cloudbasierten Umgebungen erfasst, gespeichert und übertragen werden.

Was sind die Pflichten des Cloud-Anbieters?

 

Cloud-Anbieter haben in der Regel Zugang zu allen Arten von Unternehmensdaten, wenn sie über Abonnementdienste beauftragt werden. Um diese Beziehung zu erleichtern, haben CSPs eine Reihe von Verantwortlichkeiten, die sie im Namen ihrer Partner wahrnehmen müssen, um die Cloud-Sicherheit anzupassen:

Schutz der zugrunde liegenden Infrastruktur

 

Wenn Daten in verschiedenen Rechenzentren gespeichert werden, sind die CSPs verpflichtet, sowohl die physische als auch die digitale Sicherheit dieser Zentren zu gewährleisten. Dazu gehören angemessene Maßnahmen zur Sicherung von Serverräumen und Speichersystemen vor Ort sowie andere notwendige Schutzmaßnahmen wie Überwachungskameras und Umweltkontrollen.

Die gesamte zugrundeliegende Infrastruktur, die durch Firewalls oder Intrusion Detection Systeme unterstützt wird, sind ebenfalls notwendige Vorkehrungen, die CSP treffen müssen, um die Wahrscheinlichkeit von Cyber-Angriffen zu minimieren.

Implementierung verschiedener Netzschutzmaßnahmen

 

Die meisten CSPs verfolgen bei ihren Netzschutzstrategien einen mehrschichtigen Ansatz. Je nach den Möglichkeiten des Anbieters verfügen viele von ihnen über verschiedene Systeme zur Überwachung des ein- und ausgehenden Netzverkehrs sowie zur Segmentierung ihrer Netze, um sich besser vor groß angelegten Datenverletzungen zu schützen.

Zu diesem Schutz gehört auch die Umsetzung von Richtlinien für die Datensicherung und Notfallwiederherstellung, um sicherzustellen, dass erfolgreiche Cyberangriffe schnell eingedämmt und Ausfallzeiten sowie der Verlust sensibler Daten minimiert werden können.

Sicherheit der Virtualisierungsschichten

 

Die Schaffung von virtualisierten Computerumgebungen ist ein weiterer gängiger Dienst, der von CSPs angeboten wird. Die Anbieter sind jedoch dafür verantwortlich, dass die Software, die zur Verwaltung der virtuellen Bereitstellung von Computerressourcen verwendet wird, mit den neuesten Sicherheitspatches ausgestattet ist.

CSPs müssen unter Umständen auch virtuelle LAN-Umgebungen (VLANs) und spezielle Sicherheitsgruppen einrichten, um die Möglichkeit zu minimieren, dass virtuelle Maschinen auf Informationen von anderen Clients zugreifen können, die auf demselben Server unterstützt werden. 

Was sind die Pflichten eines Unternehmens bei der Gewährleistung der Cloud-Sicherheit?

 

Als Cloud-Kunde haben Sie ein gewisses Maß an Kontrolle über den Umfang der Sicherheitsverpflichtungen, für die Sie direkt verantwortlich sind und die von der Art des von Ihnen genutzten Cloud-Service-Modells abhängig sind. Um die Cloud-Sicherheit anzugleichen, sollten Sie Folgendes beachten:

 

  • IaaS (Infrastruktur-as-a-Service): Die Infrastructure-as-a-Service-Modelle geben dem Unternehmen mehr Kontrolle über verschiedene betriebliche Elemente, aber sie bedeuten auch mehr Verantwortung. Die Unternehmen haben die direkte Kontrolle über die verschiedenen Betriebssysteme, Anwendungen und Datennetze, während das CPS die Speicherung, das Netzwerk, die Server und die Virtualisierung bereitstellt.
  • PaaS (Plattform-as-a-Service): Bei Platform-as-a-Service-Modellen müssen sich CSPs nicht mehr um die Verwaltung und das Patchen von Schwachstellen in ihren Betriebssystemen und der zugrunde liegenden Infrastruktur kümmern. Unternehmen müssen jedoch weiterhin sicherstellen, dass ihre Zugangskontrollen ordnungsgemäß konfiguriert sind und bestimmte Anwendungen geschützt werden.
  • SaaS (Software-as-a-Service): Bei Software-as-a-Service-Modellen liegt die meiste Verantwortung in den Händen der CSPs, da sie alle notwendigen Komponenten für die Bereitstellung eines bestimmten Geschäftsdienstes direkt verwalten. Dennoch kann es verschiedene Sicherheitsprotokolle geben, die ein Unternehmen als Teil seiner gemeinsamen Verantwortung konfigurieren und verwalten muss, einschließlich der Implementierung bestimmter rollenbasierter Zugriffsberechtigungen.

Standardverpflichtungen, die erfüllt werden sollten

 

Unabhängig davon, welches Cloud-Bereitstellungsmodell Sie für Ihr Unternehmen wählen, gibt es immer noch grundlegende Verantwortlichkeiten, die jedes Unternehmen übernehmen sollte, um die Cloud-Sicherheit weiter zu verbessern und die mit dem Betrieb in der Cloud verbundenen Risiken zu reduzieren:

Sichere Daten

 

Unternehmen sollten ihrer Verantwortung, alle Arten von Unternehmensdaten sicher zu halten, Priorität einräumen. Dies kann eine Kategorisierung der Daten nach ihrem Vertraulichkeitsgrad und die Einführung zusätzlicher Sicherheitsmaßnahmen beinhalten, um sicherzustellen, dass die Daten nur von den richtigen Personen eingesehen werden können. 

Eine wichtige Strategie zum Schutz von Unternehmensdaten, ob im Ruhezustand oder bei der Übermittlung, ist der Einsatz von Verschlüsselungsmethoden für sensible Dokumente, wo immer dies möglich ist. Dieses Schutzniveau ist von entscheidender Bedeutung, wenn es darum geht, strenge Compliance-Standards zu erfüllen, wie sie bei der HITRUST-Zertifizierung Protokollen und anderen branchenspezifischen Sicherheitsrahmenwerken verwendet werden.

Die Einrichtung von Datensicherungs- und Notfallwiederherstellungsverfahren kann ebenfalls ein effektiver Weg sein, um die Sicherheitsprotokolle eines Unternehmens zu stärken. Diese Initiativen können auch unterstützt werden durch die Zusammenarbeit mit Penetrationstests die Unternehmen dabei helfen können, Schwachstellen in ihren Netzwerken und Geschäftssystemen zu erkennen, und die ihnen wichtige Hinweise darauf geben, wo sie ihre Sicherheitsanstrengungen priorisieren sollten.

 

Implementierung von Zugangskontrollen

 

Die Implementierung von IAM-Kontrollen (Identitäts- und Zugriffsmanagement) ist eine weitere Möglichkeit für Unternehmen, ihre Sicherheitsprotokolle zu stärken, unabhängig davon, ob sie hauptsächlich vor Ort oder in der Cloud geöffnet sind. 

IAM-Lösungen stellen sicher, dass Einzelpersonen nur die Mindestzugriffsrechte erhalten, die sie zur Erfüllung ihrer Aufgaben benötigen. Sie helfen auch dabei, unternehmensweit eine einheitliche Übersicht darüber zu schaffen, wer bestimmte Zugriffsrechte hat und welche Art von Aktivitäten sie auf verbundenen Systemen und Netzwerken durchführen.

Schutz von Systemanwendungen

 

Softwareanwendungen sind oft ein Hauptziel für Angreifer. Daher sollten Unternehmen detaillierte Aufzeichnungen über die verschiedenen Softwarelösungen führen, die sie in allen Abteilungen einsetzen.

Für Unternehmen, die eine große Anzahl von Anwendungen verwalten, können Tools zum Scannen von Schwachstellen ein wertvolles Mittel sein, um proaktiv alle zugrundeliegenden Schwachstellen in einem ganzen Stapel von Unternehmenstools und -lösungen zu identifizieren. Dies trägt dazu bei, den manuellen Zeitaufwand zu reduzieren 

Identifizierung von Schwachstellen und ermöglicht es Organisationen ihre Patching-Bemühungen zu priorisieren.

Nehmen Sie Ihre Sicherheitsverantwortung wahr 

 

Sowohl CSPs als auch ihre Kunden haben eine wichtige Rolle zu spielen, wenn es darum geht, die Sicherheit der Kundendaten zu gewährleisten. Wenn Sie sich die Zeit nehmen, die Feinheiten der gemeinsamen Verantwortung zu verstehen, effektiv mit verschiedenen Anbietern zusammenzuarbeiten und wichtige Sicherheitsvorkehrungen zu treffen, können Sie sicherstellen, dass Sie in der Lage sind, Ihre Cloud-Sicherheitsbemühungen aufeinander abzustimmen, Ihr Unternehmen zu skalieren und die Wahrscheinlichkeit von Sicherheitsverletzungen und Compliance-Problemen zu minimieren.

 

Informationen zur Autorenbiografie

Autor Bio:

Nazy Fouladirad ist Präsidentin und COO von Tevoraeinem weltweit führenden Beratungsunternehmen für Cybersicherheit. Sie hat ihre Karriere der Schaffung einer sichereren Geschäfts- und Online-Umgebung für Organisationen im ganzen Land und weltweit gewidmet. Sie engagiert sich leidenschaftlich für ihre Gemeinde und ist Vorstandsmitglied einer lokalen gemeinnützigen Organisation.

 

Linkedin: https://www.linkedin.com/in/nazy-fouladirad-67a66821

Zusammenfassung
Anpassung der Cloud-Sicherheit an das Modell der geteilten Verantwortung
Artikel Name
Anpassung der Cloud-Sicherheit an das Modell der geteilten Verantwortung
Beschreibung
Richten Sie die Sicherheitsmaßnahmen in der Cloud nach dem Modell der geteilten Verantwortung aus. Entdecken Sie, wie Unternehmen und Anbieter Sicherheitsaufgaben effektiv aufteilen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!