Aus den Augen aus dem Sinn? Ein schlechter Ratschlag, dem Sie keine Beachtung schenken sollten, sobald Sie die Themen Security und Compliance in Ihrer Public Cloud-Strategie formulieren. Eines vorab: Sie als Kunde von Cloud-Diensten können niemals die komplette Verantwortung an den Anbieter abgeben. Ein gewisses Maß verbleibt immer bei Ihnen. Der Umfang ist jedoch davon abhängig, welche Art von Cloudservice gewählt wird. Dies wird im Modell der gemeinsamen Verantwortung beschrieben. Lassen Sie uns die grundlegenden Servicearten der Cloud durchgehen, um Ihnen mehr Sicherheit in dieser Angelegenheit zu verschaffen.
Das Betriebsmodell verschiebt die Verantwortung
Stellen Sie sich vor, Sie mieten den Zugang zu einer Standard-Anwendung in der Cloud, wie etwa einer Zeiterfassung für Ihr Team. Es handelt sich hierbei um Software as a Service (SaaS): Der Service-Anbieter ist für die Anwendung selbst und alles, was für den Betrieb benötigt wird, bis hin zur physischen Sicherheit der Hardware, verantwortlich. Als Kunde sind Sie auf das eingeschränkt, was Ihnen als konfigurierbare Optionen innerhalb der Software zur Verfügung steht. Der Anbieter könnte es Ihnen ermöglichen, neue Benutzer anzulegen und bestimmte Berechtigungen zuzuweisen. Es liegt jedoch an Ihnen, dem Benutzer nur die tatsächlich benötigten Rollen einzuräumen und den Zugang zu entziehen, sollte sie oder er das Unternehmen verlassen.
Nehmen wir im zweiten Fall an, dass Sie Ihre selbstentwickelte Anwendung in der Cloud betrieben wollen. Sie entscheiden sich für das Modell Platform as a Service (PaaS): Die benötigte, virtuelle Infrastruktur in Form von Netzwerken und Servern wird ihnen automatisch beim Start Ihrer Anwendung in der Cloud zur Verfügung gestellt. Es kommt deshalb zu einer Verschiebung der Verantwortung: Die gesamte Sicherheit rund um den Anwendungscode liegt bei Ihnen – es ist schließlich Ihre Anwendung. Der Anbieter ist für die Plattform, auf der Sie die Anwendung ausführen, verantwortlich. Was aber, wenn Sie sicherstellen möchten, dass Mitarbeiter aus der Buchhaltung sich nicht in die Produktionssteuerung einloggen können? Diese Sicherheitsanforderung muss als Geschäftslogik in Ihrer Anwendung implementiert werden und liegt somit in Ihrer Verantwortung.
Möchte Ihre IT-Abteilung auch die Kontrolle über die virtuellen Server und Netzwerke, so werden Sie sich höchstwahrscheinlich für Infrastructure as a Service entscheiden. Dann sind Sie beim Thema Security an allem beteiligt – mal abgesehen von der Sicherung des Rechenzentrums und seiner physischen Hardware. Der Provider wird Ihnen Server-Vorlagen mit aktuellen Betriebssystem-Updates anbieten. Sobald Sie aber eine davon starten und somit ihre eigene Serverinstanz betreiben, sind Sie dafür verantwortlich, alles zu patchen und zu sichern, um Ihre Sicherheitsrichtlinien zu erfüllen.
Vergessen wir nicht die Netzwerksicherheit: Sie sind ebenfalls für den Einsatz der Netzwerkkontrollen (z.B. Sicherheitsgruppen) verantwortlich, um Ihre Systemumgebung abzusichern. Der Anbieter stellt Ihnen diese Sicherheitsmechanismen nur zur Verfügung – die korrekte Konfiguration zur Erfüllung Ihrer Sicherheitsanforderungen (und eventuell sogar ihrer Kunden) liegt in ihren Händen.
Verantwortungen für jeden Cloud-Einsatz neu bewerten
Die wichtigste Sicherheitsüberlegung ist zu wissen, wer für welche Maßnahmen bei einem Anwendungsfall in der Cloud verantwortlich ist. Die genannten Servicemodelle stellen nur Orientierungspunkte, jedoch keinen festen Rahmen dar, der von allen Anbietern genau in dieser Form angeboten wird. Bei NOVEDAS unterstützen wir Sie deshalb nicht nur, Ihre Systeme in die Cloud zu heben: Als Experten für moderne IT-Architekturen haben wir auch immer einen aufmerksamen Blick auf die Wahrung von Security und Compliance.