Modell für Cloud-Sicherheit von AWS basiert auf geteilter Verantwortung

Mit Amazon Web Services (AWS) können Kunden Compliance-Vorgaben bei der Datenspeicherung erfüllen. Einen Teil müssen sie aber selbst dazu beitragen.

Amazon Web Services (AWS) ist stolz auf sein Versprechen, seine Infrastruktur sicher zu halten und seinen Kunden die Möglichkeit zu geben, Compliance-Vorgaben zu erfüllen. Allerdings kann der Cloud-Provider nicht die gesamte Compliance-Last alleine übernehmen, ohne dass die Kunden ihren Teil dazu beitragen. Das sagte jetzt ein hochrangiger AWS-Manager für Sicherheit und Compliance.

Vor den Teilnehmern der ersten AWS-Konferenz re:Invent sprach am Donnerstag Chad Woolf, Direktor Risiko und Compliance bei AWS. Er warb mit dem Versprechen für ein hohes Sicherheitsniveau und vielfache Überprüfungen durch Externe, dazu interne Audits und Risiko-Bewertungen. Alles zusammen solle sicherstellen, dass die Kunden Vorgaben von Regierungen oder Branchen-Verbänden einhalten können.

Als er vor etwa drei Jahren zu AWS kam, konnte der Provider gegenüber seinen Kunden noch keine Zertifizierungen vorweisen außer SAS 70 in begrenztem Umfang, sagte Woolf. Heute hat AWS Zertifizierungen nach SOC 1 und SOC 2, ISO 27001, PCI DSS (Payment Card Industry Data Security Standard) und vielen weiteren Standards, die von Kunden als Zeichen der Festlegung auf ein robustes Sicherheitsmodell für die Cloud verstanden werden.

„Wir haben eine extrem stark auditierte und sehr sichere Umgebung“, sagte Woolf. In vielen Unternehmen sei Compliance der Treiber für Sicherheit. „Bei AWS machen wir alles auf die richtige Weise. Wir sorgen dafür, dass wir am Backend alles abgedeckt haben“.

Allerdings ließ Woolf auch durchblicken, dass viele AWS-Kunden nicht verstehen, dass bei dem Provider ein Modell der geteilten Sicherheit gilt. Das bedeutet, AWS kümmert sich um bestimmte Verantwortlichkeiten im Zusammenhang mit der Basis-Sicherheit der Umgebung. Seine eigenen Plattform-Instanzen, Anwendungen und Daten aber muss jeder Kunde selbst sichern.

„70 Prozent meiner Zeit verbringe ich direkt mit Kunden und erkläre ihnen die Unterschiede zwischen dem, wofür wir in Bezug auf Cloud-Sicherheit verantwortlich sind, und dem, wofür sie selbst verantwortlich sind“, sagte Woolf. „AWS ist verantwortlich für die physische Hardware, die Infrastruktur, die Rechenzentren selbst und die Infrastruktur zur Virtualisierung, also den Hypervisor. Die Kunden sind für alles verantwortlich, was darauf aufsetzt.“

Woolf erzählte eine Geschichte von einem Kunden aus dem Einzelhandel, der seine Daten-Umgebung für Kreditkarten bei AWS aufbaute, kurz nachdem der Provider seine PCI-Zertifizierung bekommen hatte. Leider aber habe der Kunde nicht verstanden, dass er trotzdem selbst noch dieselben Schritte zur Sicherung seiner Systeme durchlaufen musste wie bei einer internen Umgebung, einschließlich Härtung der Betriebssysteme, Einführung von Firewall-Regeln und Überwachung des Netzwerk-Traffics.

„Sie sind einfach gestartet, und im Prinzip war alles offen“, sagte Woolf. Dann sei der Sicherheitsbeauftragte des Unternehmens in die Stadt gekommen und habe entsetzt gefragt „Was treibt ihr denn hier?“.

Um Kunden zu helfen, derartige Fehler zu vermeiden, stellt AWS Dokumentation bereit, in der alle von PCI DSS verlangten Maßnahmen beschrieben sind, erklärte Woolf. Ebenfalls sei darin  aufgelistet, wie sich die Verantwortlichkeiten auf AWS und den Kunden verteilen. „Das Modell der geteilten Verantwortung ist definitiv etwas, das Sie genau verstehen sollten, bevor Sie eine Installation in AWS aufbauen oder auch nur evaluieren“, sagte er.

Derrick Burton, einer der Konferenz-Teilnehmer und IT-Leiter bei einer Beratungsfirma, zeigte sich jedoch unzufrieden über das Maß an Verantwortung, das AWS übernehmen will: Seine eigenen Kunden vertrauten darauf, dass sein Unternehmen sie bei Informationssicherheit unterstützt oder die Verwaltung ganz übernimmt. Seine Organisation jedoch müsse wiederum AWS vertrauen. Und dieser Dienst versuche, gemessen an seinen Aussagen, bei Sicherheit so viel Verantwortung loszuwerden wie irgend möglich.

„Wir bauen diese Plattform für Sie, aber Sie müssen selbst absichern, was sich darin befindet“, sei die Haltung der AWS-Führung, sagte Burton. Für ihn höre sich das nicht nach wirklich „geteilter“ Verantwortung an.

Lobend äußerte sich Burton über die Transparenz von AWS und über die Tatsache, dass heute so viele Unternehmen Cloud-Computing nutzen. Trotzdem würde er gern sehen, dass AWS seine Regeln etwas ändert. Nötig sei eine aktivere Zusammenarbeit mit den Teams der Kunden für IT und Informationssicherheit, damit diese wirklich wissen, wie sie ihre Cloud-Implementationen sicher gestalten können.

Laut Woolf steht AWS zu seiner Zusage, Kunden bei der Einhaltung von Compliance-Vorgaben zu unterstützen. Eine Bank etwa habe vor kurzem eine Auditierung durch die staatliche Bankenaufsicht in den USA durchlaufen, berichtete der Manager. In diesem Rahmen habe er einen ganzen Tag mit den Regulierern verbracht, über die Prozesse für Backups und Recovery bei AWS sowie über seine grundlegenden Sicherheitsregeln und -verfahren gesprochen. Auch habe er ihnen angeboten, die Infrastruktur in Augenschein zu nehmen. Als Ergebnis dieser Erfahrung sei sein Team derzeit kurz davor, ein neues Referenz-Dokument fertigzustellen, mit dessen Hilfe staatliche Aufseher die Nutzung von AWS durch Kunden leichter auditieren können.

Weiter empfahl Woolf Kunden dringend, sich mit den umfangreichen Branchen-Informationen über Cloud-Sicherheit zu beschäftigen. Besonders wichtig seien die Hinweise des National Institute of Standards and Technology über Sicherheit und Datenschutz bei Cloud-Computing und die Leitlinien der Cloud Security Alliance zu kritischen Bereichen im Cloud-Computing.

„Ich bin absolut sicher, dass wir genug tun können, um die Bedürfnisse jedes Kunden zu erfüllen, der reguliert wird oder für den Compliance-Anforderungen gelten“, sagte Woolf. „Wir haben das schon mit vielen unterschiedlichen Kunden bewiesen, und wir veröffentlichen auch ständig neue Berichte und andere neue Sachen, die unseren Kunden die Arbeit bei solchen Angelegenheiten erleichtern.“

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close