So verwalten Sie die Cloud-Sicherheit, wenn Anbieter und Kunden die Verantwortung teilen

5 wichtige Informationen zur Cloud-Sicherheit Um mit Cloud-Speicher sicher zu sein, müssen Sie wissen, wie er funktioniert. Hier sind fünf grundlegende Punkte, nach denen Sie suchen müssen.

Wenn es um die Sicherung von Daten in der Cloud geht, kann die Bedeutung der Entscheidung, wer für was verantwortlich ist, nicht überbewertet werden. Derzeit gibt es drei Möglichkeiten: Cloud-Service-Kunden, Cloud-Service-Anbieter oder Kunden und Anbieter, die die Verantwortung teilen.

Eine 2018 vom Ponemon Institute for Gemalto durchgeführte Global Cloud Data Security-Studie ( Abbildung A ) ergab Folgendes:

"Im Jahr 2017 Weniger Befragte (32 Prozent der Befragten) geben an, dass es sich um eine gemeinsame Verantwortung handelt zwischen dem Cloud-Anbieter und dem Cloud-Benutzer. Die Befragten werden gleichmäßig zwischen der Verantwortung des Cloud-Anbieters oder des Cloud-Benutzers aufgeteilt (beide 34 Prozent). ""

Abbildung A.

Bild: Ponemon Institute und Gemalto

Das Modell der geteilten Verantwortung

Jenna Kersten, Content-Marketing-Spezialistin bei KirkpatrickPrice, in ihrem Blog-Beitrag Wer ist für die Cloud-Sicherheit verantwortlich? Seiten mit den Befragten, die sich für eine geteilte Verantwortung entscheiden. In ihrem Beitrag geht Kersten noch einen Schritt weiter und erörtert eine Möglichkeit, die Verantwortung zwischen Cloud-Service-Kunden und Cloud-Service-Anbietern in den folgenden Cloud-Service-Modellen aufzuteilen: Infrastruktur als Service (IaaS), Plattform als Service (PaaS) ) und Software as a Service (SaaS).

  • IaaS-Lösungen : In IaaS verwaltet der Cloud-Service-Provider Einrichtungen, Rechenzentren, Netzwerkschnittstellen, Verarbeitung und Hypervisoren. Der Cloud-Service-Kunde ist für das virtuelle Netzwerk, die virtuellen Maschinen, Betriebssysteme, Middleware, Anwendungen, Schnittstellen und Daten verantwortlich.
  • PaaS-Lösungen : Mit dem PaaS-Modell erweitert Kersten den Verantwortlichkeiten des Cloud-Dienstanbieters um virtuelle Netzwerke, virtuelle Maschinen, Betriebssysteme und Middleware. Der Kunde ist weiterhin für die Sicherung und Verwaltung von Anwendungen, Schnittstellen und Daten verantwortlich.
  • SaaS-Lösungen : Das SaaS-Modell überträgt laut Kersten die Verantwortung für alles außer Schnittstellen und Daten auf den Cloud-Dienstanbieter.

"Cloud-Service-Anbieter und Cloud-Service-Kunden sind beide für den Schutz der Daten verantwortlich", fährt Kersten fort. "Es ist auch wichtig zu beachten, dass die Ausführung einzelner Sicherheitsmanagementaufgaben ausgelagert werden kann, die Rechenschaftspflicht jedoch nicht. Die Verantwortung für die Überprüfung, ob die Sicherheitsanforderungen erfüllt werden, liegt immer beim Kunden."

Amazon Web Services

Die Befugnisse von Amazon Web Services (AWS) stimmen mit den "32 Prozent" und Kersten überein. Von der AWS-Website über die Vision des Unternehmens von geteilter Verantwortung:

"Dieses gemeinsame Modell kann dazu beitragen, die Betriebsbelastung des Kunden zu verringern, da AWS die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen der Service betrieben wird, betreibt, verwaltet und steuert. Der Kunde übernimmt die Verantwortung und das Management des Gastes Betriebssystem (einschließlich Updates und Sicherheitspatches), andere zugehörige Anwendungssoftware sowie die Konfiguration der von AWS bereitgestellten Sicherheitsgruppen-Firewall. "

Physische Sicherheit

Daten in der Cloud befinden sich immer noch irgendwo auf physischen Geräten (dh Servern, Festplatten und dergleichen). Da die Verantwortung geteilt wird, müssen sowohl Kunden als auch Anbieter sicherstellen, dass Gebäude, Computerausrüstung und physische Infrastruktur sicher sind. Mitarbeiter spielen ebenfalls eine wichtige Rolle, da Social Engineering aufgrund seines Erfolgs eine bevorzugte Angriffsmethode für Cyberkriminelle ist.

So verwalten Sie eine Beziehung mit geteilter Verantwortung

Kersten untersucht, wie Parteien, die für Cloud-Services beim Kunden und am Standort des Anbieters verantwortlich sind, eine Beziehung mit geteilter Verantwortung am besten verwalten können, beginnend mit Cloud-Service-Anbietern:

  • Betrachten Sie Risiken aus Kundensicht und implementieren Sie dann Kontrollen, die zeigen, dass alles Mögliche getan wird, um die Risiken zu mindern.
  • Dokumentieren Sie die internen Kontrollen zum Risikomanagement.
  • Stellen Sie eine Dokumentation bereit, wie Kunden die bereitgestellten Sicherheitsfunktionen verwenden können. Kersten fügt hinzu: "AWS leistet durch ihre Bildungsprogramme hervorragende Arbeit."
  • Erstellen Sie eine Verantwortungsmatrix, die definiert, wie Ihre Lösung Ihren Kunden hilft, ihre verschiedenen Compliance-Anforderungen zu erfüllen. Wenden Sie sich an CAIQ und CCM des CSA als Ausgangspunkt für die Festlegung des Modells der geteilten Verantwortung.

Als nächstes konzentriert sich Kersten auf den Cloud-Service-Kunden:

  • Definieren Sie Cloud-Sicherheitsanforderungen, bevor Sie einen Cloud-Dienstanbieter auswählen. "Wenn Sie wissen, wonach Sie bei einem Cloud-Dienstanbieter suchen, können Sie Ihre Anforderungen besser priorisieren", fügt Kersten hinzu.
  • Harmonisierung des Corporate-Governance-Programms zwischen traditioneller und Cloud-basierter IT-Bereitstellung. Für die Migration von Systemen und Anwendungen in die Cloud sind Richtlinienänderungen erforderlich.
  • Stellen Sie vertragliche Klarheit über die Rollen und Verantwortlichkeiten jeder Partei her, insbesondere in Bezug auf die öffentliche Cloud, einschließlich:
    * Wer ist für die Cloud-Sicherheit verantwortlich?
    * Wie weit geht der Cloud-Service-Provider?
  • Entwickeln Sie eine Verantwortlichkeitsmatrix, die die Sicherheitsrollen und Verantwortlichkeiten für Sie und für jeden Anbieter, einschließlich Cloud-Service-Provider, definiert.

Lieferantenverwaltung: So bauen Sie effektive Beziehungen auf (kostenloses PDF) (TechRepublic)

Vergessen Sie nicht die Einhaltung

Compliance und Cloud-Sicherheit können als digitale symbiotische Beziehung betrachtet werden - eine kann nicht ohne die andere existieren, wie Vorschriften strukturiert sind. Duane Tharp macht keine Fehler, wenn es um Compliance und Sicherheit geht:

"Der erste Grund ist die Regulierung. Unternehmen müssen sich an ein Regulierungssystem halten, egal ob staatlich, bundesstaatlich oder intern. Der andere Grund ist die Angst. Die nominalen zusätzlichen Investitionen in Sicherheit können möglicherweise verhindern, dass in Zukunft eine schlechte Situation entsteht ist eine positive Nettorendite. "

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2020 | mobilegn.com