Shared Responsibility Model

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen


Das Shared Responsibility Model ist ein Sicherheitsmodell, das von Cloud-Anbietern wie AWS, Microsoft Azure und Google Cloud genutzt wird, um die Verantwortlichkeiten zwischen dem Cloud-Anbieter und den Kundenden klar zu definieren. Es legt fest, welche Sicherheitsaufgaben der Anbieter übernimmt und welche in der Verantwortung der Kundenden liegen.

Grundprinzip des Shared Responsibility Models

Das Modell unterteilt die Verantwortlichkeiten in zwei Hauptbereiche:

  1. Verantwortung des Cloud-Anbieters:
    • Der Cloud-Anbieter ist für die Sicherheit der Cloud-Infrastruktur verantwortlich. Das umfasst physische Sicherheit der Rechenzentren, Netzwerkkomponenten, Hardware sowie grundlegende Software wie Virtualisierung und Netzwerksegmente.
    • Beispiele:
      • Physischer Schutz der Server
      • Wartung der Hardware
      • Sicherheit der zugrunde liegenden Cloud-Dienste (Netzwerke, Speicher, etc.)
  2. Verantwortung der Kundenden:
    • Kundende sind für die Sicherheit in der Cloud verantwortlich, das heißt für die Konfiguration und den Schutz der genutzten Dienste und Daten.
    • Beispiele:
      • Verwaltung der Zugangsdaten und Benutzerberechtigungen (z. B. über Identity and Access Management (IAM))
      • Konfiguration von Netzwerksicherheitsregeln (z. B. Firewalls)
      • Verschlüsselung von gespeicherten oder übertragenen Daten, wenn es nicht automatisch durch den Anbieter erfolgt
      • Sicherheitsupdates der eingesetzten Betriebssysteme und Anwendungen, wenn sie in Eigenregie verwaltet werden (z. B. in virtuellen Maschinen)

Einfache Unterscheidung

Das Modell lässt sich einfach mit der "Sicherheit der Cloud" vs. "Sicherheit in der Cloud" Regel erklären:

  • Der Cloud-Anbieter sorgt für eine sichere Umgebung und Infrastruktur, in der die Cloud-Dienste bereitgestellt werden.
  • Die Nutzenden sind für den sicheren Umgang mit den bereitgestellten Diensten verantwortlich.

Beispiele

  • Infrastruktur-as-a-Service (IaaS) (z. B. AWS EC2, Azure VMs): Der Anbieter verwaltet die physische Sicherheit und die Virtualisierungsschicht, während die Kundenden für das Betriebssystem, die Anwendungen und die Datensicherheit verantwortlich sind.
  • Platform-as-a-Service (PaaS) (z. B. AWS RDS, Azure App Services): Der Anbieter übernimmt zusätzlich die Verwaltung der Plattform, und die Nutzenden sind für die Konfiguration der Anwendung und den Zugriffsschutz verantwortlich.
  • Software-as-a-Service (SaaS) (z. B. Office 365, Google Workspace): Der Anbieter kümmert sich um die komplette Infrastruktur und die Anwendung, die Nutzenden sind für die Verwaltung der Benutzer und die korrekte Nutzung der Funktionen verantwortlich.

Wichtigkeit des Modells

Das Shared Responsibility Model hilft zu verhindern, dass Sicherheitslücken entstehen, weil Kundende fälschlicherweise davon ausgehen, der Cloud-Anbieter sei für alle Aspekte verantwortlich. Eine klare Verteilung der Verantwortlichkeiten ermöglicht es den Nutzenden, angemessene Sicherheitsmaßnahmen zu treffen und Schwachstellen zu minimieren.

Fazit

Im Shared Responsibility Model übernimmt der Cloud-Anbieter die Verantwortung für die Sicherheit der Infrastruktur, während die Kundenden die Verantwortung für die Nutzung und Konfiguration der Dienste tragen. Das Modell ist wichtig, um sicherzustellen, dass die Sicherheit der Cloud-Dienste umfassend gewährleistet wird.

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Shared_Responsibility_Model&oldid=1452