Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie öffentliche Clouddienste berücksichtigen und bewerten, ist es wichtig, das Modell der gemeinsamen Verantwortung zu verstehen und welche Sicherheitsaufgaben der Cloudanbieter verarbeitet und welche Aufgaben Sie verarbeiten. Die Workload-Verantwortlichkeiten variieren je nachdem, ob die Workload auf Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS) oder in einem lokalen Rechenzentrum gehostet wird:
- IaaS (Infrastructure as a Service): Sie verwalten virtuelle Computer, Betriebssysteme und Anwendungen. Beispiele hierfür sind Azure Virtual Machines, Azure Disk Storage und virtuelle Netzwerke.
- PaaS (Platform as a Service): Sie stellen Anwendungen bereit, ohne VMs oder Betriebssysteme zu verwalten. Beispiele sind Azure App Service, Azure Functions, Azure SQL-Datenbank und Azure Storage.
- SaaS (Software as a Service): Sie verwenden vorgefertigte Anwendungen. Beispiele sind Microsoft 365, Dynamics 365 und andere Cloudanwendungen.
Viele Azure-Lösungen verwenden eine Kombination aus Dienstmodellen. Ausführlichere Anleitungen zum Auswählen von Computediensten finden Sie unter Auswählen eines Azure-Computediensts.
Geteilte Zuständigkeit
In einem lokalen Rechenzentrum sind Sie für den gesamten Stapel zuständig. Während Sie in die Cloud wechseln, werden einige Zuständigkeiten an Microsoft übertragen. Im folgenden Diagramm werden die Zuständigkeitsbereiche zwischen Ihnen und Microsoft entsprechend der Art der Bereitstellung Ihres Stapels veranschaulicht.
Für alle Cloudbereitstellungstypen besitzen Sie Ihre Daten und Identitäten. Sie sind dafür verantwortlich, die Sicherheit Ihrer Daten und Identitäten, lokalen Ressourcen und der von Ihnen gesteuerten Cloudkomponenten zu schützen. Cloudkomponenten, die Sie steuern, variieren je nach Diensttyp.
Zuständigkeitsmatrix
In der folgenden Tabelle wird die Aufteilung der Verantwortung zwischen Ihnen und Microsoft für jeden Bereich Ihres Stapels erläutert:
| Zuständigkeitsbereich | On-premises | IaaS | PaaS (Platform-as-a-Service) | SaaS |
|---|---|---|---|---|
| Kundendaten | Customer | Customer | Customer | Customer |
| Konfigurationen und Einstellungen | Customer | Customer | Customer | Customer |
| Identitäten und Benutzer | Customer | Customer | Customer | Customer |
| Client-Geräte | Customer | Customer | Customer | Shared |
| Applications | Customer | Customer | Shared | Shared |
| Netzwerksteuerung | Customer | Customer | Shared | Microsoft |
| Betriebssystem | Customer | Customer | Microsoft | Microsoft |
| Physische Hosts | Customer | Microsoft | Microsoft | Microsoft |
| Physisches Netzwerk | Customer | Microsoft | Microsoft | Microsoft |
| Physisches Rechenzentrum | Customer | Microsoft | Microsoft | Microsoft |
Verantwortlichkeiten, die Sie immer behalten
Unabhängig vom Bereitstellungstyp behalten Sie immer die folgenden Verantwortlichkeiten bei:
- Daten – Sie sind für Ihre Daten verantwortlich, einschließlich Datenklassifizierung, Datenschutz, Verschlüsselungsentscheidungen und Einhaltung der Datengovernanceanforderungen.
- Endpunkte – Sie sind für den Schutz von Clientgeräten und Endpunkten verantwortlich, die auf Ihre Clouddienste zugreifen, einschließlich mobiler Geräte, Laptops und Desktops.
- Konten – Sie sind für die Verwaltung von Benutzerkonten verantwortlich, einschließlich Erstellen, Verwalten und Entfernen des Benutzerzugriffs.
- Zugriffsverwaltung – Sie sind verantwortlich für die Implementierung und Verwaltung von Zugriffssteuerungen, einschließlich rollenbasierter Zugriffssteuerung (RBAC), mehrstufiger Authentifizierung und Richtlinien für bedingten Zugriff.
Erläuterte gemeinsame Verantwortlichkeiten
Einige Zuständigkeiten werden zwischen Ihnen und Microsoft geteilt, wobei sich die Division je nach Dienstmodell unterscheidet:
- Anwendungen – In IaaS sind Sie vollständig für bereitgestellte Anwendungen verantwortlich. In PaaS und SaaS verwaltet Microsoft Teile des Anwendungsstapels, aber Sie sind für die Anwendungskonfiguration, Codesicherheit und Zugriffssteuerung verantwortlich.
- Netzwerksteuerelemente – In IaaS konfigurieren Sie alle Netzwerksicherheit einschließlich Firewalls und Netzwerksegmentierung. In PaaS bietet Microsoft grundlegende Netzwerksicherheit, sie konfigurieren jedoch Netzwerksteuerelemente auf Anwendungsebene. In SaaS verwaltet Microsoft die Netzwerksicherheit.
- Clientgeräte – In SaaS-Szenarien stellt Microsoft möglicherweise einige Geräteverwaltungsfunktionen bereit, aber Sie sind für Endpunktschutz und Compliance verantwortlich.
Microsoft-Zuständigkeiten
Microsoft ist für die zugrunde liegende Cloudinfrastruktur verantwortlich, die Folgendes umfasst:
- Physische Sicherheit – Schützen von Rechenzentren, einschließlich Einrichtungen, physische Zugriffskontrollen und Umgebungskontrollen.
- Physisches Netzwerk – Verwalten der Netzwerkinfrastruktur, einschließlich Routern, Switches und Kabeln innerhalb von Rechenzentren.
- Physische Hosts – Verwalten und Warten der physischen Server, die Clouddienste hosten.
- Hypervisor – Verwalten der Virtualisierungsebene, die virtuelle Computer in IaaS und PaaS ermöglicht.
- Plattformdienste – In PaaS und SaaS verwaltet Microsoft Betriebssysteme, Laufzeitumgebungen und Middleware.
Gemeinsame KI-Verantwortung
Bei der Nutzung von KI-Diensten führt das Modell für gemeinsame Verantwortung einzigartige Überlegungen über herkömmliche IaaS, PaaS und SaaS hinaus. Microsoft ist für die Sicherung der KI-Infrastruktur, des Modellhostings und der Sicherheit auf Plattformebene verantwortlich. Die Kunden bleiben jedoch dafür verantwortlich, wie KI in ihrer Umgebung eingesetzt wird – dazu gehören der Schutz vertraulicher Daten, die Verwaltung der Prompt-Sicherheit, die Minderung von Prompt-Injektionsrisiken und die Sicherstellung der Compliance mit organisatorischen und regulatorischen Anforderungen.
Da sich die Verantwortlichkeiten für KI-Workloads erheblich unterscheiden, sollten Sie das KI-Modell für gemeinsame Verantwortung auf detaillierte Anleitungen zu Rollen, bewährten Methoden und Risikomanagement überprüfen.
Sicherheitsvorteile der Cloud
Die Cloud bietet erhebliche Vorteile für die Lösung langjähriger Herausforderungen bei der Informationssicherheit. In einer lokalen Umgebung verfügen Organisationen wahrscheinlich über unbefriedigende Verantwortlichkeiten und begrenzte Ressourcen, die in die Sicherheit investieren können, wodurch eine Umgebung entsteht, in der Angreifer Sicherheitsrisiken auf allen Ebenen ausnutzen können.
Häufige Beispiele für nicht erfüllte Zuständigkeiten in herkömmlichen lokalen Umgebungen sind:
- Verzögertes Patchen – Sicherheitsupdates werden aufgrund eingeschränkter IT-Mitarbeiter oder Bedenken bezüglich Systemausfallzeiten nicht umgehend angewendet, sodass bekannte Sicherheitslücken offengelegt werden.
- Unzureichende physische Sicherheit – In Serverräumen fehlen möglicherweise wegen Budgetbeschränkungen ordnungsgemäße Zugriffskontrollen, Umgebungsüberwachung und Videoüberwachung.
- Unvollständige Netzwerküberwachung – Organisationen verfügen möglicherweise nicht über Tools oder Know-how zum Erkennen von Eindringversuchen, zur Überwachung von Datenverkehrsanomalien oder zur Reaktion auf Bedrohungen in Echtzeit.
- Veraltete Hardware – Die alternde Infrastruktur erhält möglicherweise keine Sicherheitsupdates mehr von Anbietern, wodurch dauerhafte Sicherheitslücken entstehen.
- Unzureichende Sicherung und Notfallwiederherstellung – Sicherungen können selten, nicht getestet oder vor Ort gespeichert werden, wodurch Daten anfällig für Ransomware oder physische Katastrophen bleiben.
Das folgende Diagramm zeigt einen herkömmlichen Ansatz, bei dem viele Sicherheitsaufgaben aufgrund begrenzter Ressourcen nicht erfüllt werden. Im cloudfähigen Ansatz können Sie die täglichen Sicherheitsaufgaben an Ihren Cloudanbieter verschieben und Ihre Ressourcen neu zuordnen.
Im cloudfähigen Ansatz können Sie auch cloudbasierte Sicherheitsfunktionen anwenden, um mehr Effektivität zu erzielen und Cloudintelligenz zu verwenden, um Ihre Bedrohungserkennung und -reaktionszeit zu verbessern. Durch die Übertragung von Aufgaben an den Cloudanbieter profitieren Organisationen von einer höheren Sicherheit und können Sicherheitsressourcen und entsprechende Finanzmittel für andere geschäftliche Prioritäten nutzen.
Nächster Schritt
Erfahren Sie mehr über gemeinsame Verantwortung und Strategien, um Ihre Sicherheitslage im Überblick über die Sicherheitssäule des Well-Architected Frameworks zu verbessern.