Beschreiben des Shared Responsibility-Modells
In Organisationen, in denen nur lokale Hardware und Software ausgeführt wird, ist die Organisation zu 100 Prozent für die Implementierung von Sicherheit und Konformität verantwortlich. Bei cloudbasierten Diensten wird diese Verantwortung zwischen dem Kunden und dem Cloudanbieter aufgeteilt.
Das Shared Responsibility-Modell (geteilte Verantwortung) identifiziert, welche Sicherheitsaufgaben vom Cloudanbieter erfüllt und welche Sicherheitsaufgaben von Ihnen, dem Kunden, übernommen werden. Die Zuständigkeiten variieren in Abhängigkeit davon, wo die Workload gehostet wird:
- Software-as-a-Service (SaaS)
- Platform-as-a-Service (PaaS)
- Infrastructure-as-a-Service (IaaS)
- Lokales Rechenzentrum
Das Shared Responsibility-Modell verdeutlicht die Zuständigkeiten. Wenn Organisationen Daten auf die Cloud umsteigen, werden einige Zuständigkeiten an den Cloudanbieter und einige an die Kundenorganisation übertragen.
Das folgende Diagramm veranschaulicht die vom Speicherort der Daten abhängigen Zuständigkeitsbereiche zwischen dem Kunden und dem Cloudanbieter.
Lokale Rechenzentren. In einem lokalen Rechenzentrum tragen Sie die Verantwortung für alle Bereiche, von der physischen Sicherheit bis hin zur Verschlüsselung vertraulicher Daten.
Infrastructure-as-a-Service (IaaS). Von allen Clouddiensten erfordert IaaS den meisten Verwaltungsaufwand vonseiten des Cloudkunden. Bei IaaS verwenden Sie die Computinginfrastruktur des Cloudanbieters. Der Cloudkunde ist nicht für die physischen Komponenten wie Computer und Netzwerk oder die physische Sicherheit des Rechenzentrums verantwortlich. Der Cloudkunde trägt jedoch weiterhin die Verantwortung für Softwarekomponenten wie Betriebssysteme, Netzwerksteuerungen, Anwendungen, die auf dieser Computinginfrastruktur ausgeführt werden, und den Schutz von Daten.
Platform-as-a-Service (PaaS). PaaS bietet eine Umgebung zum Erstellen, Testen und Bereitstellen von Softwareanwendungen. Mit PaaS erstellen Sie Anwendungen in kurzer Zeit, ohne sich mit der Verwaltung der zugrunde liegenden Infrastruktur befassen zu müssen. Bei PaaS werden Hardware und Betriebssysteme vom Cloudanbieter verwaltet, und der Kunde ist für Anwendungen und Daten zuständig.
Software-as-a-Service (SaaS). SaaS wird vom Cloudanbieter für den Kunden gehostet und verwaltet. Die Lizenzierung erfolgt in der Regel über ein monatliches oder jährliches Abonnement. Microsoft 365, Skype und Dynamics CRM Online sind Beispiele für SaaS-Software. SaaS erfordert den geringsten Verwaltungsaufwand durch den Cloudkunden. Der Cloudanbieter ist für die Verwaltung sämtlicher Komponenten zuständig, mit Ausnahme von Daten, Geräten, Konten und Identitäten.
Ihre Daten und Identitäten gehören bei jeder Art von Cloudbereitstellung Ihnen, dem Cloudkunden. Sie sind dafür verantwortlich, die Sicherheit Ihrer Daten und Identitäten sowie lokaler Ressourcen wie mobile Geräte, PCs, Drucker und mehr zu schützen.
Zusammengefasst liegen folgende Zuständigkeiten grundsätzlich bei der Kundenorganisation:
- Informationen und Daten
- Geräte (mobile Geräte und PCs)
- Konten und Identitäten
Der Vorteil des Shared Responsibility-Modells besteht darin, dass Organisationen sich über ihre eigenen Zuständigkeiten und die des Cloudanbieters im Klaren sind.