Erkläre das Modell der geteilten Verantwortung in der Cloud.
Kurzantwort
Der Anbieter sichert die Cloud selbst ab — physische Rechenzentren, Hardware, den Hypervisor und die von ihm betriebenen verwalteten Dienste. Du sicherst ab, was du in die Cloud stellst — deine Daten, Identitäten, Konfigurationen, das OS-Patching wo zutreffend und die Zugriffskontrollen. Die genaue Grenze verschiebt sich: Bei IaaS besitzt du das OS aufwärts, bei SaaS besitzt du vor allem Daten und Zugriff.
Das Modell der geteilten Verantwortung existiert, weil der Umzug in die Cloud nicht die gesamte Sicherheit zum Anbieter verschiebt — er teilt die Arbeit auf. Der Anbieter ist verantwortlich für die Sicherheit der Cloud; du bist verantwortlich für die Sicherheit in der Cloud. Dieses Missverständnis dieser Grenze ist die häufigste Grundursache von Cloud-Breaches, weil Teams annehmen, „der Anbieter kümmert sich darum", und ihre eigene Hälfte ungeschützt lassen.
Wo die Grenze liegt
- Der Anbieter besitzt immer: die physischen Einrichtungen, die Stromversorgung, die Netzwerk-Hardware, den Hypervisor und die Integrität der verwalteten Dienste, die er bereitstellt.
- Der Kunde besitzt immer: seine Daten, wer darauf zugreifen darf (Identitäten und Berechtigungen) und wie Dienste konfiguriert sind.
- Die Mitte verschiebt sich je nach Servicemodell. Bei IaaS (einer rohen VM) besitzt du das Gast-OS, das Patching, die Laufzeit und die App. Bei PaaS (einer verwalteten Datenbank oder Function-Plattform) patcht der Anbieter das OS und die Engine, aber du besitzt weiterhin Schema, Daten und Zugriff. Bei SaaS besitzt du vor allem nur deine Daten, die Benutzerkonten und die Freigabeeinstellungen.
Warum es wichtig ist
Nahezu jeder Cloud-Breach in den Schlagzeilen — offengelegte Storage-Buckets, geleakte Schlüssel, zu freizügige Rollen — fällt eindeutig auf die Kundenseite. Die Infrastruktur des Anbieters wurde nie kompromittiert; eine Konfiguration, die der Kunde besaß, war falsch. Das Modell klärt auch die Compliance: Zertifizierungen wie SOC 2 decken die Ebene des Anbieters ab, aber du musst dennoch die Kontrollen auf deiner Ebene nachweisen.
Worauf Interviewer achten
Ein Kandidat, der die Unterscheidung „der vs. in" benennt, weiß, dass sich die Grenze je nach Servicemodell verschiebt, und erkennt, dass die meisten Breaches kundenseitige Fehlkonfigurationen sind — keine Anbieterfehler.
Wahrscheinliche Anschlussfragen
- Wie verschiebt sich die Verantwortungsgrenze zwischen IaaS, PaaS und SaaS?
- Wer ist für das Patchen einer verwalteten Datenbank gegenüber einer EC2-Instanz verantwortlich?
- Wo fallen die meisten realen Cloud-Breaches tatsächlich auf dieser Grenze?