Was ist das Shared-Responsibility-Modell?

Das Modell der geteilten Verantwortung (Shared Responsibility Model, SRM) ist eine Vereinbarung zwischen dem Anbieter von Cloud-Services (Cloud Service Provider, CSP) und einem Endnutzer seiner Dienste. Diese Vereinbarung besagt, dass ein CSP für die Absicherung der Plattforminfrastruktur seines Cloud-Betriebs verantwortlich ist, während ein Endbenutzer für die Absicherung der auf der Cloud-Plattform ausgeführten Workloads zuständig ist.

Gartner unterstreicht, wie wichtig es für Kunden von CSPs ist, die Vereinbarung genau zu verstehen. CSPs können keine absolute Sicherheit bieten und Cybersecurity-Verantwortliche müssen das Ausmaß ihrer Verantwortung für die Sicherheit in der Cloud verstanden haben. Dies gilt insbesondere für Unternehmen, die einen Teil oder alle ihre Workloads in die Cloud verlagern wollen.

Daher wäre es am besten, wenn die Architekten der Cloud die spezifischen Sicherheitsaspekte der Umgebung, in der sie arbeiten möchten, berücksichtigen würden. Dadurch können alle Stakeholder ein umfassenderes Verständnis für die Risiken und Verantwortlichkeiten entwickeln, die das Unternehmen bei der Migration in die Cloud auf sich nimmt. Ein fehlendes Verständnis des SRM-Konzepts in Bezug auf ein bestimmtes Unternehmen und seinen CSP könnte zu der falschen Annahme führen, dass der CSP für die Sicherheit eines bestimmten Bereichs verantwortlich ist. Und dies könnte wiederum Fehlkonfigurationen und/oder unzureichend abgesicherte Cloud-Assets zur Folge haben.

Ein besseres Verständnis Ihrer Rolle im SRM kann Ihnen dabei helfen, sowohl Ihre Verantwortung gegenüber Ihrem CSP wahrzunehmen als auch Best Practices für die Cloud-Sicherheit zu implementieren und durchzusetzen, z. B. in Form von regelmäßigen Schwachstellen-Scans.

Modell der geteilten Verantwortung eines Cloud-Service-Anbieters

Sehen wir uns an, wie einige der führenden CSPs die SRMs für ihre Umgebungen definieren. Diese Informationen können entscheidend für die Auswahl des besten Anbieters für die individuellen Bedürfnisse Ihres Unternehmens sein. 

AWS Modell der geteilten Verantwortung

Dieses Modell besagt, dass AWS für die Sicherheit der Cloud verantwortlich ist, während die Kunden für die Sicherheit in der Cloud verantwortlich sind. Während AWS daran arbeitet, seine Infrastruktur sicher zu halten, sind die Kunden für IT-Kontrollen wie Verschlüsselung und Identitäts- und Zugriffsmanagement (IAM), das Patchen von Gastbetriebssystemen, die Konfiguration von Datenbanken und die Schulung der Mitarbeiter zur Cybersicherheit verantwortlich.

Microsoft Azure Modell der geteilten Verantwortung

Nach diesem Modell ist der Kunde in einem On-Premises-Rechenzentrum Eigentümer des gesamten Stacks. Mit der Verlagerung in die Cloud gehen einige Verantwortlichkeiten auf Microsoft über. Diese Zuständigkeiten sind je nach Art des Stack-Deployments unterschiedlich.

Der Kunde ist bei allen Arten des Cloud-Deployments Eigentümer seiner Daten und Identitäten. Er ist für den Schutz dieser Daten und Identitäten, der On-Premises-Ressourcen und der von ihm kontrollierten Cloud-Komponenten verantwortlich. Unabhängig von der Art der Bereitstellung behält der Kunde immer die Verantwortung für seine Daten, Endpunkte, Konten und das Access Management.

Google Cloud Platform (GCP) Modell der geteilten Verantwortung

Nach diesem Modell ist für jeden vom Kunden genutzten Service ein umfassendes Verständnis erforderlich. Gleiches gilt für die Konfigurationsoptionen des jeweiligen Services und die Maßnahmen, die Google Cloud zur Sicherung des Services ergreift. Jeder Service weist ein anderes Konfigurationsprofil auf. Dementsprechend schwierig kann sich die Bestimmung der besten Sicherheitskonfiguration gestalten.

Der Kunde kennt die Sicherheits- und Regulierungsanforderungen für sein Unternehmen sowie die Vorgaben für den Schutz vertraulicher Daten und Ressourcen am besten. GCP führte zusätzlich das Konzept des „Shared Fate“ ein, bei dem ein Kunde im Endeffekt das Recht erwerben kann, eine Verantwortung an GCP zu übertragen.

Modell der geteilten Verantwortung eines Cloud-Bereitstellungsmodells

Sehen wir uns nun an, wie sich das SRM je nach Art des Cloud-Modells eines Unternehmens unterscheidet. Unter den einzelnen Überschriften sind die Komponenten aufgeführt, für die ein CSP bzw. ein Kunde verantwortlich ist. 

Sie werden feststellen, dass der CSP im Verlauf der Liste von oben nach unten immer mehr Komponenten verwaltet. Der Kunde erhält also immer mehr Bequemlichkeit und Sicherheit, kann aber immer weniger selbst anpassen. 

Infrastructure as a Service (IaaS)

Der CSP ist verantwortlich für: 

  • Virtualisierung
  • Firmware
  • Hardware

Der Kunde ist verantwortlich für: 

  • Benutzerzugriff
  • Daten
  • Funktionen
  • Laufzeit/Anwendungen
  • Container
  • Betriebssystem

Platform as a Service (PaaS)

Der CSP ist verantwortlich für: 

  • Container
  • Betriebssystem
  • Virtualisierung
  • Firmware
  • Hardware
  • Laufzeit/Anwendungen (teilweise)

Der Kunde ist verantwortlich für: 

  • Benutzerzugriff
  • Daten
  • Funktionen
  • Laufzeit/Anwendungen (teilweise)

Function as a Service (FaaS)

Der CSP ist verantwortlich für: 

  • Container
  • Betriebssystem
  • Virtualisierung
  • Firmware
  • Hardware
  • Laufzeit/Anwendungen

Der Kunde ist verantwortlich für: 

  • Benutzerzugriff
  • Daten
  • Funktionen

In einer vollständig benutzerdefinierten On-Premises-Infrastruktur wäre der Benutzer natürlich für alle oben aufgeführten Komponenten verantwortlich. 

Das Modell der geteilten Verantwortung in der Praxis

Fasst man die technischen Aspekte des SRM zusammen, so würden viele Experten argumentieren, dass der Kunde für alles verantwortlich ist, was er in seiner Cloud-Umgebung ändern, hinzufügen, entfernen oder neu konfigurieren kann. Wenn er etwas nicht selbst anpassen kann, liegt die Verantwortung für die Überwachung dieses Aspekts des Cloud-Betriebs wahrscheinlich bei dem CSP.

Wie bereits erwähnt, können sich jedoch Bereiche überschneiden. Diese Grauzonen werden auch als gemeinsame Kontrollbereiche bezeichnet. Für einen möglichst reibungslosen Betrieb müssen sie sowohl den CSPs als auch ihren Kunden bestens bekannt sein. In Bezug auf AWS würden zu den gemeinsamen Kontrollbereichen beispielsweise Aspekte wie das Patch-Management, die Konfigurationsverwaltung für Infrastructure as Code (IaC) und Trainings zum Sicherheitsbewusstsein gehören. Warum wird die Verantwortung für diese Bereiche geteilt?

Konkret wäre AWS für das Patchen und Beheben von Fehlern in seiner Infrastruktur verantwortlich, während der Kunde für das Patchen seines Gast-Betriebssystems und seiner Anwendungen zuständig ist. Entsprechend übernimmt AWS auch die Konfiguration seiner Infrastruktur, während der Kunde für die Konfiguration seiner eigenen Betriebssysteme, Datenbanken und Anwendungen verantwortlich ist.

Zu guter Letzt obliegt es sowohl AWS als auch seinen Cloud-Kunden, ihre jeweiligen Mitarbeiter für das Thema Cybersecurity zu sensibilisieren. Diese gemeinsamen Kontrollbereiche stärken die Fähigkeiten sowohl der CSPs als auch ihrer Kunden zur Sicherung der Bereiche, für die sie allein verantwortlich sind.

Welche Vorteile bietet das Modell der geteilten Verantwortung?

Die Vorteile eines SRM entsprechen in etwa den Vorteilen, die eine Migration in die Cloud mit sich bringen kann. Als Kunde haben Sie es dabei mit einem Partner zu tun – stellen Sie also sicher, dass Sie ihm vertrauen können.

  • Skalierbarkeit: Ein Kunde kann die Sicherheitsfunktionen innerhalb der Plattform eines CSP-Ökosystems nach Bedarf ausweiten oder einschränken. Große Cloud-Anbieter wie die oben erwähnten sind von Haus aus in der Lage, mit den betrieblichen Anforderungen Ihres Unternehmens mitzuwachsen. Die Sicherheitsarchitektur eines CSP wird immer im Rahmen des SRM aufgebaut und definiert sein. Deshalb können Kunden ihre eigenen Datensicherheitsprotokolle bedenkenlos nach Bedarf erweitern.
  • Zusammenarbeit: Wie bereits ausführlich beschrieben, fördert das SRM Klarheit in Bezug auf die Zuständigkeiten in puncto Cybersecurity. Der Nutzen für das Geschäft eines Kunden ergibt sich also aus dieser Aufteilung. Der Sicherheitsaufwand beim SRM für den Cloud-Betrieb ist geringer als beim grundlegenden Aufbau von On-Premises-Funktionen durch den Kunden.
  • Stärke der Architektur: Die Zusammenarbeit mit einem vertrauenswürdigen und angesehenen CSP kann einem Kunden, der sich Sorgen um die Datensicherheit in der Cloud eines Anbieters macht, große Gewissheit verschaffen. Ein wesentlicher Vorteil des SRM besteht darin, dass Sie die Technologien für die Sicherheitsdatenanalyse und die solide Architektur eines CSP in vollem Umfang nutzen können.

Die Best Practices beim Modell der geteilten Verantwortung

Die Best Practices hängen natürlich von den individuellen Bedürfnissen Ihres Unternehmens ab. Sehen wir uns also einige der allgemeineren Best Practices für ein solides SRM an. 

  • Vorhandensein eines Service Level Agreements (SLA): Mit einem SLA können Sie die Art der Security Operations des CSP und seine Erwartungen an sich selbst und seine Kunden genau nachvollziehen. Ein SLA zeigt dem CSP auch, was er von Ihrem Unternehmen erwarten kann.
  • Übertragung von Verantwortlichkeiten an Ihren CSP: Wenn Sie bei der Suche nach einem Cloud-Anbieter die richtigen Überlegungen angestellt haben, können Sie ihm hoffentlich vertrauen. Trotzdem sollte Ihr Unternehmen nicht mit einer Sicherheitsverantwortung belastet werden, die eindeutig in den Zuständigkeitsbereich des CSP fallen sollte.
  • Sicherstellung der Compliance: Bei der Einhaltung von Compliance-Vorschriften auf Bundes- oder Landesebene oder den eigenen Compliance-Maßgaben Ihres Unternehmens sollte es keine Grauzonen geben. Indem Sie für klare Zuständigkeiten im SRM sorgen, können Sie und ein potenzieller CSP eine gute Hygiene in Bezug auf die internen und externen Compliance-Richtlinien gewährleisten.

Lesen Sie mehr über Cloud-Sicherheit

Cloud-Sicherheit: Aktuelles aus dem Rapid7-Blog

E-Book: Sichern Sie Ihre Container-Apps mit Rapid7 auf AWS