Sicherheit in der Public Cloud
Das Prinzip der geteilten Verantwortung
Fortsetzung des Artikels von Teil 1
Eine helfende Hand für die Anwender
Bei der Einhaltung der DSGVO stehen Unternehmen, die die Cloud nutzen, gegenüber ihren Kunden in der Verantwortung. Sie müssen sich darum kümmern, dass Speicherorte und Speicherdauer den
Vorgaben entsprechen. Allerdings bieten die führenden Provider Consulting-Dienste, verschiedene Tools und Informationsmaterialien an, um dem Nutzer die Konfiguration und kontinuierliche Gewährleistung der Sicherheit und Compliance zu erleichtern. Auch viele Systemhäuser und IT-Dienstleister können interessierten Unternehmen hier mit Beratung und eigenen Services zur Seite stehen.
Beispielhaft zeigt sich die Aufgabenteilung zwischen Cloud-Anbieter und Cloud-Nutzer beim Anwendungsfall Infrastructure-as-a-Service (IaaS): Dem Provider obliegt die Sicherung von Server, Storage, Netzwerk und Virtualisierung. In den Verantwortungsbereich des Anwenders fallen die über der Infrastruktur liegenden Schichten wie Betriebssystem, Middleware, Runtime, Applikationen und Daten.
Schutzmaßnahmen
Um die Cloud sicher zu nutzen, benötigen insbesondere kleine und mittlere Unternehmen in der Regel eine Unterstützung durch Experten. Doch die Basics lassen sich oft auch mit etwas Einarbeitung selbst umsetzen, da viele IT-Komponenten und Sicherheitskonzepte aus dem klassischen IT-Betrieb auch in der Cloud anzutreffen sind. Allerdings stehen dort viel mehr Berechtigungen und die Kontrolle von Zugriffen im Fokus, da die Public Cloud global verfügbar ist und somit auch eine andere Angriffsfläche bietet.
Als Basis-Schutzmaßnahme sollten Unternehmen für alle Cloud-Modelle unbedingt eine Mehr-Faktor-Authentifizierung verwenden, die zum Beispiel aus einem starken Passwort und einem mobilen Gerät besteht. Darüber hinaus sollte ein Unternehmen ein Least-Privilege-Konzept umsetzen, das heißt, es sollte Mitarbeitern nur Zugriffsrechte erteilen, die sie für ihre Tätigkeit tatsächlich benötigen. Wird ein Account trotz aller Vorsichtsmaßnahmen kompromittiert, erhält ein Cyberkrimineller nur Zugriff auf einen kleinen, klar umgrenzten Bereich der Unternehmens-IT.
Insgesamt gibt es zwischen Cloud Security und „normaler“ IT-Security keine grundlegenden Unterschiede, mit einer Ausnahme: Es gilt das Shared-Responsibility-Prinzip. Der Cloud Provider ist zwar für die Sicherheit verantwortlich, aber nur für die Serviceschichten, die er seinen Kunden anbietet. Für die restlichen Schichten trägt der Kunde die Verantwortung. Erkennen Unternehmen die Notwendigkeiten, die aus dem Prinzip der Shared Responsibility resultieren, ist ein entscheidender Schritt zu einer hohen Public-Cloud-Sicherheit getan.
Lukas Höfer ist Cloud Solutions Architect bei Consol Software in München
- Das Prinzip der geteilten Verantwortung
- Eine helfende Hand für die Anwender
Lesen Sie mehr zum Thema
