CyberGlossary

Cloud-Sicherheit

Modell der geteilten Verantwortung

Auch bekannt als: Geteilte Verantwortung, Cloud-Verantwortungsmatrix

Definition

Ein Cloud-Sicherheitsrahmen, der die Sicherheitsaufgaben zwischen dem Cloud-Anbieter (Sicherheit der Cloud) und dem Kunden (Sicherheit in der Cloud) aufteilt.

Das Modell der geteilten Verantwortung legt fest, welche Sicherheitskontrollen der Cloud-Anbieter betreibt und welche der Kunde selbst umsetzen muss. Bei IaaS sichert der Anbieter das physische Rechenzentrum, den Hypervisor und das Kernnetz, während der Kunde für das Patchen des Gastbetriebssystems, IAM, Netzwerkkonfiguration, Verschlüsselung und Anwendungscode verantwortlich ist. Bei PaaS und SaaS übernimmt der Anbieter mehr Schichten, doch Pflichten wie Identität, Datenklassifizierung, Freigabeeinstellungen und Sicherheit von Integrationen bleiben beim Kunden. Eine fehlerhafte Auslegung dieser Grenzen ist eine Hauptursache für Cloud-Vorfälle: Kunden gehen davon aus, dass der Anbieter Workloads oder Daten schützt, obwohl das nicht der Fall ist. Jeder große Anbieter (AWS, Azure, GCP) veröffentlicht ein Modell, das die Zuordnung der Sicherheitskontrollen leiten sollte.

Beispiele

  • AWS sichert den Dienst S3; der Kunde ist für Bucket-Policies und Objektverschlüsselung verantwortlich.
  • Microsoft sichert die Microsoft-365-Plattform; der Tenant muss bedingten Zugriff und DLP konfigurieren.

Verwandte Begriffe