Modell der geteilten Verantwortung
Was ist Modell der geteilten Verantwortung?
Modell der geteilten VerantwortungEin Cloud-Sicherheitsrahmen, der die Sicherheitsaufgaben zwischen dem Cloud-Anbieter (Sicherheit der Cloud) und dem Kunden (Sicherheit in der Cloud) aufteilt.
Das Modell der geteilten Verantwortung legt fest, welche Sicherheitskontrollen der Cloud-Anbieter betreibt und welche der Kunde selbst umsetzen muss. Bei IaaS sichert der Anbieter das physische Rechenzentrum, den Hypervisor und das Kernnetz, während der Kunde für das Patchen des Gastbetriebssystems, IAM, Netzwerkkonfiguration, Verschlüsselung und Anwendungscode verantwortlich ist. Bei PaaS und SaaS übernimmt der Anbieter mehr Schichten, doch Pflichten wie Identität, Datenklassifizierung, Freigabeeinstellungen und Sicherheit von Integrationen bleiben beim Kunden. Eine fehlerhafte Auslegung dieser Grenzen ist eine Hauptursache für Cloud-Vorfälle: Kunden gehen davon aus, dass der Anbieter Workloads oder Daten schützt, obwohl das nicht der Fall ist. Jeder große Anbieter (AWS, Azure, GCP) veröffentlicht ein Modell, das die Zuordnung der Sicherheitskontrollen leiten sollte.
● Beispiele
- 01
AWS sichert den Dienst S3; der Kunde ist für Bucket-Policies und Objektverschlüsselung verantwortlich.
- 02
Microsoft sichert die Microsoft-365-Plattform; der Tenant muss bedingten Zugriff und DLP konfigurieren.
● Häufige Fragen
Was ist Modell der geteilten Verantwortung?
Ein Cloud-Sicherheitsrahmen, der die Sicherheitsaufgaben zwischen dem Cloud-Anbieter (Sicherheit der Cloud) und dem Kunden (Sicherheit in der Cloud) aufteilt. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Modell der geteilten Verantwortung?
Ein Cloud-Sicherheitsrahmen, der die Sicherheitsaufgaben zwischen dem Cloud-Anbieter (Sicherheit der Cloud) und dem Kunden (Sicherheit in der Cloud) aufteilt.
Wie schützt man sich gegen Modell der geteilten Verantwortung?
Schutzmaßnahmen gegen Modell der geteilten Verantwortung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Modell der geteilten Verantwortung?
Übliche alternative Bezeichnungen: Geteilte Verantwortung, Cloud-Verantwortungsmatrix.