Wer trägt die Verantwortung in der Public Cloud?

Donnerstag, 01. März 2018 |

Die forcierte Geschwindigkeit von Innovationen, gestiegene Kundenerwartungen an Performance und eine globale Verfügbarkeit der Services sind heute zentrale Herausforderungen für Unternehmen. Hier helfen Public Cloud Plattformen: Sie bieten nahezu unbegrenzte Ressourcen, eine Fülle von Plattformservices und den gewünschten internationalen Footprint. Um das Potenzial der sogenannten Hyperscaler wie AWS, Google Cloud oder Azure nutzen zu können, sind jedoch einige Voraussetzungen zu berücksichtigen. Dies betrifft insbesondere die Sicherheit der genutzten Systeme. Die zentrale Frage ist, wer für welche Bereiche die Verantwortung in der Public Cloud trägt.

Zuständigkeiten in der Public Cloud: Wunsch und Wirklichkeit

Ob aus Unkenntnis, Orientierung an Modellen des klassischen Outsourcings oder dem Wunsch, umfassend entlastet zu werden: Viele Unternehmen sehen den Public Cloud Anbieter in der Verantwortung für Aufgaben, die nicht in seinem Zuständigkeitsbereich liegen. So zeigt eine Studie von Crisp Research über die „Verantwortungsverteilung in der Public Cloud“, dass für die meisten Unternehmen der Public Cloud Anbieter in fast allen Bereichen in der Verantwortung steht.

Verantwortungsverteilung auf einer Public Cloud Infrastruktur - Kundensicht

Auch wenn es für den Kunden sicherlich die komfortablere Variante darstellt, handelt es sich dennoch um eine Fehleinschätzung: Denn der Public Cloud Provider ist nicht für die Sicherheit und die Verwaltung aller Service Layer zuständig.

Das Modell der „Shared Responsibility“

Hinsichtlich der Sicherheit und Verwaltung der Public Cloud Services gilt vielmehr das Modell der „Shared Responsibility“. Der Public Cloud Provider trägt nicht für den gesamten Service Stack bis zur Applikationsebene die Verantwortung, sondern ausschließlich für die Infrastruktur, d.h. für die Hardware, das Netzwerk und die Einrichtungen, auf denen Cloud-Services ausgeführt werden. Der Zuständigkeitsbereich des Kunden erstreckt sich auf den Betrieb und die Sicherheit der eigenen Infrastrukturumgebung und der darauf betriebenen Systeme, Applikationen, Services und Daten.

Beispiele für Verantwortung des Public Cloud Anbieters

  • Aufbau der physischen Standorte und Rechenzentrumsinfrastruktur
  • Rechenleistung, Speicherplatz, Netzwerk
  • Bereitstellung der Virtualisierungsebene
  • Bereitstellung von Services und Tools

Beispiele für Verantwortung des Kunden

  • Installation und Sicherheit der Betriebssysteme einschließlich Updates und Patches
  • Sicherheit und Verwaltung der Anwendungssoftware
  • Konfiguration der Firewall
  • Verschlüsselung der Daten und Datenverbindungen
  • Identitäts- und Zugriffskontrollen
  • Betrieb der eigenen Applikationen

AWS differenziert in diesem Sinne zum Beispiel zwischen der "Sicherheit der Cloud" im Unterschied zur "Sicherheit in der Cloud". Die „Sicherheit der Cloud“ bezieht sich auf den Schutz der Infrastruktur, in der die in der AWS Cloud angebotenen Services ausgeführt werden. Die "Sicherheit in der Cloud“ adressiert hingegen die Verantwortung des Kunden, zum Beispiel die von ihm genutzten Anwendungssoftware oder Hilfsprogramme. Dabei ist es auch von Relevanz, welche spezifischen Services eines Public Cloud Anbieters der Kunde bezieht, denn die Zuständigkeiten können in Abhängigkeit davon variieren können.

AWS: Modell der Shared Responsibility

Quelle: aws.amazon.com

AWS hat das Modell der Shared Responsibility zwar am ausdrücklichsten formuliert, aber einen ähnlichen Ansatz verfolgen auch die andere Hyperscaler - auch Google Cloud Platform und Microsoft Azure gehen von einem Modell geteilter Verantwortung zwischen Anbieter und Kunden aus.

Risiken meiden – Chancen nutzen

Was passieren kann, wenn man die eigene Verantwortung für die Sicherheit in der Public Cloud außer Acht lässt, veranschaulicht ein Vorfall aus dem Juli 2017. Die Daten von mehreren Millionen Kunden waren monatelang bei einem Dienstleister von Verizon auf einem ungesicherten Cloudserver zugänglich. Der Grund waren unzureichende Sicherheitsmaßnahmen auf Kundenseite. https://www.heise.de/security/meldung/Daten-von-Millionen-Verizon-Kunden-waren-ungeschuetzt-3770874.html

Das Beispiel und ähnliche Vorfälle belegen: Es ist notwendig sich der Verantwortung bewusst zu sein und das Service Portfolio und die Eigenschaften der Cloud Plattformen hinreichend zu verstehen. Bei Public Cloud Services handelt es sich weder um eine einfache Neuauflage des klassischen Outsourcings, bei dem auch die Verantwortung für die Sicherheit delegiert wird, noch um „IT-Ressourcen aus der Steckdose“. Nur wenn Unternehmen die notwendigen Maßnahmen selber umsetzen oder vom einen spezialisierten Partner realisieren lassen, ist eine sichere und effiziente Nutzung gewährleistet. Erst dann lassen sich die Chancen und Vorteile der Public Cloud für die Digitalisierung des Unternehmens oder zur Gewinnung von Kostenvorteilen erfolgreich nutzen.

Geschrieben von Ingo Rill - Marketing Director

Ingo Rill ist Marketing Director bei Claranet und verantwortet die Bereiche Kommunikation und Produktmanagement. Zuvor arbeitete er als Leiter Networks und Produktmanager bei einem IT-Dienstleister im Gesundheitswesen. Als Projektmanager und Consultant bei verschiedenen Digital-Agenturen leitete er zahlreiche große Webprojekte.

Profitieren Sie von unserem Know-how und kontaktieren Sie uns!

Sie haben eine Frage?

Wir beantworten sie gerne per Telefon oder E-Mail. Bitte füllen Sie untenstehendes Formular aus, wir werden uns dann so bald wie möglich mit Ihnen in Verbindung setzen.

Sie sind bereits Kunde und haben eine Supportanfrage? Unser Support ist rund um die Uhr unter 069 40 80 18 – 300 für Sie da oder senden Sie eine E-Mail an support@claranet.de
Durch Ihre Anmeldung zum Claranet Newsletter erklären Sie sich einverstanden, E-Mails von Claranet oder einem von uns beauftragten Partner zu erhalten. Sie erlauben uns, Ihre persönlichen Daten (Name, E-Mail-, IP-Adresse, Systemvoraussetzungen) und Ihre Reaktionen auf den Newsletter (Öffnung und Klicks) zu speichern und stichprobenartig zur Verbesserung unseres Service-Angebotes auszuwerten. Sie haben jederzeit die Möglichkeit, Ihr Einverständnis über den Abmeldelink im Newsletter zu widerrufen. Nähere Informationen über die Maßnahmen zum Schutz Ihrer persönlichen Daten finden Sie in unserer Datenschutzerklärung.

Die mit * markierten Felder benötigen wir zur Kontaktaufnahme mit Ihnen, alle anderen Angaben sind freiwillig.

Rufen Sie uns an:

Wir sind Montags bis Freitags zwischen 08:00 und 18:00 unter
+49 (0)69 40 80 18 0 für Sie da.

Unseren technischen Support erreichen Sie rund um die Uhr unter der Nummer +49 (0)69 40 80 18 300.