Wie auch beim klassischen Hosting bringt jedes Unternehmen, das für seine Kunden oder Mitarbeiter Cloud-Services anbietet, seinem Provider hohes Vertrauen entgegen – und ist sich dessen im besten Fall auch bewusst. Mehr aber als beim klassischen Hosting gilt dieses Vertrauen auch der Kompetenz des Providers in Sicherheitsfragen. Denn letztendlich bedeutet Cloud Computing immer auch, Security-Know-how auszulagern. IT-Verantwortliche sollten stets berücksichtigen, dass nicht nur Daten und Applikationen, sondern auch dieses Know-how wieder in die eigene IT-Infrastruktur zurückgeholt werden muss, soll die Cloud irgendwann wieder verlassen werden.
Grundsätzlich fallen also sämtliche Überlegungen zur Sicherheit in zwei Bereiche: Aspekte, die vom Hoster/IaaS-Anbieter berücksichtigt werden müssen, sowie Aspekte, die in der Verantwortung des eigenen Unternehmens liegen. Die Identifikation dieser Grenze beziehungsweise das Festlegen der Prozesse und Verfahren, wenn sie neu gezogen werden muss, ist eine der ersten Aufgaben, um Sicherheit im Cloud Computing herzustellen. Erst dann lässt sich im zweiten Schritt ein Anforderungskatalog für den Cloud-Dienstleister erstellen.
Grob gesagt verläuft die Grenze zwischen eigener Verantwortung und der des Providers entlang der drei Service-Modelle "Infrastructure-as-a-Service" (IaaS), "Platform-as-a-Service" (PaaS) oder "Software-as-a-Service" (SaaS). Je umfangreicher der Stack, der in der Verantwortung des Providers liegt, desto mehr Vertrauen müssen Sie ihm entgegenbringen und umso mehr Security-Know-how können Sie auslagern.
So ist in einem IaaS-Modell der Dienstleister für die Verfügbarkeit, die Sicherheit der Services und die Sicherheit der Administration und Provisionierung verantwortlich. Bei einem PaaS-Modell kommen alle Aspekte der Plattform hinzu, beispielsweise
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.