Warum Shared Fate eine bessere Möglichkeit ist, Cloud-Risiken zu verwalten

Warum Shared Fate eine bessere Möglichkeit ist, Cloud-Risiken zu verwalten

Zeitstempel: 15. September 2023, 3:00 Uhr
Quellknoten: 2275539

Es kommt zu Verstößen gegen die Cloud-Sicherheit, und wenn doch, kommt es häufig zu Schuldzuweisungen. Sowohl für Cloud-Benutzer als auch für Cloud-Service-Provider (CSPs) besteht die Möglichkeit, zusammenzuarbeiten, um die Grenzen des etablierten Modells der geteilten Verantwortung für Cloud-Sicherheit zu überwinden. Der Aufbau auf den Grundlagen dieses Modells und die Beseitigung seiner Mängel können uns zu einer besseren und sichereren Cloud-Zukunft führen. 

Wem gehören Cyber-Risiken? 

Während unter das Modell der geteilten Verantwortung Die direkten Verantwortlichkeiten ändern sich je nachdem, welche Cloud-Dienste ein Kunde nutzt. Der CSP ist immer für die Abwehr von Bedrohungen der Cloud-Infrastruktur verantwortlich und der Kunde ist immer für die Sicherheit der Daten und Anwendungen verantwortlich, die er in der Cloud verwaltet. 

Doch mit zunehmender Cloud-Nutzung sind die Grenzen der gemeinsamen Verantwortung deutlich geworden. In vielen Sicherheitsbereichen ist es nicht realistisch, eine klare Grenze zwischen den Verantwortungsbereichen aufrechtzuerhalten. Darüber hinaus gehen Kunden häufig davon aus, dass der CSP eine größere Verantwortung für die Cybersicherheit übernimmt, als sie tatsächlich haben, und in vielen Fällen besteht die einzig realistische Möglichkeit, sich gegen Cyberbedrohungen zu verteidigen oder darauf zu reagieren, darin, dass die Sicherheitsteams des Kunden und des CSP zusammenarbeiten gemeinsam

Einschränkungen der gemeinsamen Verantwortung 

Zu den spezifischen Möglichkeiten, wie das Modell der geteilten Verantwortung zusammenbrechen kann, gehören: 

  • Mangelnde technische Expertise auf Kundenseite. Was nützt ein Modell, das dem Kunden Verantwortungen aufbürdet, die der Kunde nicht bewältigen kann? Überlastete IT-Teams und ein Mangel an Cloud-Sicherheitskompetenzen können dazu führen, dass einige Kunden einfach nicht in der Lage sind, ihre Seite der Cloud-Sicherheit ohne viel Hilfe zu bewältigen. Das Beharren auf einem Modell, das diese Verantwortung allein auf sie abwälzt, führt zu wenig, außer zu einem kostspieligen Cybersicherheitsvorfall, der die Beziehung zwischen Kunde und CSP schädigt. 

  • Mehr als zwei Parteien beteiligt. Zu einer Cloud-Umgebung gehören mehr als nur ein Kunde und ein CSP. Wenn man Wiederverkäufer und Managed Service Provider berücksichtigt, wird das Problem der verschwommenen Verantwortungsgrenzen exponentiell komplizierter. Bei einem guten Sicherheitsmodell sollte es um mehr als nur Haftung gehen. Das klassische Modell der geteilten Verantwortung enthält keine klaren Richtlinien für die komplexen Cloud-Konfigurationen, die für viele Unternehmen Realität sind. 

  • Verwirrung bei den Standardeinstellungen. Dies ist ein Beispiel für ein Problem, das sollte einfach sein, hat sich in der Praxis aber als komplex erwiesen. Viele Cloud-Sicherheitspartnerschaften scheitern an der Frage der Standardsicherheitseinstellungen. Cloud-Kunden ist oft nicht klar, wer für die Anpassung dieser Einstellungen verantwortlich ist, und das nur, weil dies der Fall ist möglich Anpassungen vorzunehmen bedeutet nicht, dass neue Cloud-Kunden immer verstehen, welche Anpassungen vorgenommen werden müssen.   

Nach Jahren des Praxiseinsatzes ist klar, dass es einige kritische Bereiche gibt, in denen das Modell der geteilten Verantwortung nicht ausreicht – und aus praktischer Sicht wird es einfach keine Lösung sein, den Cloud-Kunden mehr Belastungen aufzuerlegen, um zu versuchen, die Lücken zu schließen das Problem. Es besteht Bedarf an einem aktualisierten Cloud-Sicherheitsparadigma, das konkretere Lösungen bietet und mehr Zusammenarbeit fördert.

Das Shared-Fate-Modell

Die nächste Stufe der Entwicklung über die traditionelle gemeinsame Verantwortung für die Cloud-Sicherheit hinaus ist Googles gemeinsames Schicksal, ein kollaboratives Modell für den Umgang mit Cloud-Risiken. Im Rahmen des Shared-Destiny-Modells übernimmt der CSP eine viel proaktivere Rolle, einschließlich der Bereitstellung von Anleitungen in der Bereitstellungsphase sowie Empfehlungen und Tools zur Gewährleistung der fortlaufenden Sicherheit. Shared Fate bedeutet, dass der Cloud-Anbieter die Realität akzeptiert, in der die gemeinsame Verantwortung scheitert, und eingreift, um die Lücken zu schließen. 

Standardmäßig sichere Infrastruktur, Sicherheitsgrundlagen und sichere Blaupausen sind Elemente des Shared-Destiny-Modells, die den Kundenteams einige Sicherheitslasten abnehmen. In komplexen Cloud-Umgebungen, an denen mehrere Stakeholder beteiligt sind, bietet das Modell Leitlinien für die Gestaltung von Arbeitsabläufen und Verantwortlichkeiten, anstatt es dem Kunden zu überlassen, dies allein herauszufinden. Und Shared Fate legt einen größeren Wert auf Cyber-Versicherung, einen entscheidenden Aspekt verantwortungsvoller Sicherheit, der einem Cloud-Kunden im Falle eines Cyber-Vorfalls helfen soll. 

Shared Fate stellt einen Wandel dar, der darauf abzielt, Kunden dort abzuholen, wo sie sind, und ihnen dabei zu helfen, dorthin zu gelangen, wo sie sein möchten. Während Kunden immer ein gewisses Maß an Verantwortung für die Cloud-Sicherheit tragen, ist das Shared-Destiny-Modell eine pragmatischere Möglichkeit, Cyber-Risiken zu bewältigen. Denn letztendlich geht es bei Cloud-Sicherheit nicht nur darum, zu entscheiden, wer was tut, sondern darum, es gemeinsam besser zu machen.

Zeitstempel:

Mehr von Dunkle Lektüre