Migration in die Cloud: Was geteilte Verantwortung für Ihre Organisation bedeutet
Für Organisationen, die eine digitale Transformation durchlaufen, steht die Migration in die Cloud oft ganz oben auf der Prioritätenliste. Der Grund dafür ist, dass alte Technologie-Stacks und -Systeme oft nicht mit neueren Technologien kompatibel oder sogar völlig instabil sind und aufgrund der mangelnden Skalierbarkeit und der fehlenden Sicherheitsunterstützung für so wichtige Dinge wie das Patchen von Schwachstellen als "Single Point of Failure" gelten. Die Elastizität, die eine öffentliche/private Cloud bietet, kann zusammen mit den zahlreichen verfügbaren sicheren Technologien die Vorteile einer Cloud-Migration erhöhen.
Für viele ist der Wechsel jedoch mit Fragen zur Sicherheit Ihrer Daten (und der Daten Ihrer Kunden, Benutzer und Bürger) in der Cloud verbunden. Vielleicht haben Sie schon einmal etwas in der Art gehört, dass "der Kunde für die Sicherheit und Einhaltung der Vorschriften in der Cloud verantwortlich ist, während der Cloud-Serviceanbieter (CSP) für die Sicherheit und die Einhaltung der Vorschriften der Cloud verantwortlich ist". Das wird als Modell der geteilten Verantwortung bezeichnet. Aber lassen Sie uns einen kurzen Blick auf einige Grundlagen werfen – also darauf, was das bedeutet und wie es Ihre Cloud-Umgebung betreffen könnte.
Was ist Ihre Verantwortung?
Als Kunde richten sich Ihre Verantwortlichkeiten in der Cloud nach den Diensten/Produkten, die Ihre Organisation nutzt (das ist von entscheidender Bedeutung, da die Verantwortlichkeiten je nach Dienst und Produkt unterschiedlich sind).
Ein Krankenhaus zum Beispiel, das besondere regulatorische Anforderungen bzw. Anforderungen in Bezug auf die Einhaltung von Vorschriften hat, muss die Möglichkeit zur Skalierung haben, ohne seine Sicherheit zu beeinträchtigen, und gleichzeitig Massenaktualisierungen ausführen können. Es müsste nicht nur Dienste auswählen, die auf der Grundlage seiner internen Anforderungen für die Nutzung zertifiziert sind, sondern auch Dienste in Betracht ziehen, die eine sichere Skalierung, Speicherung für Massenaktualisierungen, Zugriffskontrolllisten für ihren Netzwerkverkehr usw. ermöglichen. Das ist ein allgemeines Beispiel dafür, wie die Verantwortung angesichts der spezifischen Anforderungen des Kunden möglicherweise stärker auf diesen verlagert wird. Die Gesamtstrategie für die Cloud-Bereitstellung ist von Kunde zu Kunde unterschiedlich, sodass manche Kunden mehr Sicherheitskontrollen zur Verwaltung auf die CSP-Seite verlagern können. Das hängt von dem von Ihrer Organisation verwendeten Cloud-Service-Modell ab, z. B. Software-as-a-Service, Platform-as-a-Service oder Infrastructure-as-a-Service.
Organisationen sollten sich auch darüber im Klaren sein, was vom CSP übernommen wird und was möglicherweise eine geteilte Kontrolle und/oder Verantwortung darstellen könnte. Bei der Verwendung von Amazon Web Services als CSP wäre der Kunde beispielsweise nicht für Dinge wie Edge-Standorte, die Einrichtung von Availability Zones (Sie sind nicht für die physische Einrichtung dieses isolierten Standorts oder der darin betriebenen Hardware verantwortlich) oder API-Servern bei Verwendung der EKS-Kontrollebene, das Netzwerk usw. verantwortlich.
Letztlich ist der Kunde für seine eigenen Daten verantwortlich. Dazu gehört die Verschlüsselung – ja, der Kunde ist für diese Konfiguration verantwortlich – ebenso wie die Integrität und die Authentifizierungs- und Autorisierungsmechanismen, die für den Datenzugriff, die Sicherheit und die Verwaltung verwendet werden.
Im Folgenden sind einige Überlegungen aufgeführt, die Organisationen bei der Bewertung ihrer allgemeinen Migrations- und Sicherheitsfähigkeiten berücksichtigen müssen. Das ist keine vollständige Liste der Verantwortlichkeiten.
Was ist unsere Verantwortung?
Software-as-a-Service-Anbieter sind u. a. für APIs und Middleware, Virtualisierungen, Netzwerksicherheit und vieles mehr verantwortlich. Es ist wichtig, zu verstehen, dass die meisten der von uns bereitgestellten Anwendungen über das Internet ausgeführt werden. Daher erreichen wir unser Ziel, Sicherheit und Compliance für den Kunden zu gewährleisten, hauptsächlich dadurch, dass wir unsere Plattform sichern und dafür sorgen, dass die gesamte Wartung und Verwaltung der von den Kunden genutzten Anwendungen sicher, resilient und für den Endbenutzer hochverfügbar ist. Der Punkt ist, dass wir ALLE für die Cloud-Sicherheit verantwortlich sind.
Hilft Salesforce dabei, die Verantwortung des Kunden zu bestimmen?
Es ist wichtig, zu beachten, dass programmatische Ansätze, Sicherheits-, Compliance- und Governance-Tipps je nach dem jeweiligen Salesforce-Sicherheitsmodell leicht variieren. Was jedoch bei allen Sicherheitsmodellen gleich bleibt, ist die Verpflichtung von Salesforce, Ihre Organisation mit bewährten Vorgehensweisen für sicheres Architekturdesign zu unterstützen, Lösungen für komplexe Probleme und explizite Geschäftsanforderungen auszuhandeln und zu entwerfen sowie Anleitungen zu bewährten Vorgehensweisen für die Anwendungs- und Integrationsentwicklung zu geben, um nur einige zu nennen.
Das alles ist Teil unserer Verpflichtung gegenüber dem Erfolg unserer Kunden. Wir helfen Ihnen dabei, den grundlegenden Anforderungen für die Ausführung einer internen Bereitschaftsprüfung für die Migration nachzukommen, analysieren die Geschäfts- und Sicherheitsanforderungen und beraten Sie zu Migrationsstrategie, Zeitplan, Sicherheitshindernissen und vielem mehr.
Sobald wir das getan haben (und dann noch mehr) und uns einig sind, dass eine erfolgreiche Migration möglich ist, legen wir die Verantwortlichkeiten des Kunden im Vorfeld genauer fest. Wir bieten anpassbare native Sicherheitskontrollen wie Authentifizierungsmechanismen, Benutzerberechtigungen und IP-Zulassungslisten, um nur einige zu nennen. Wir bieten auch viele sofort vorkonfigurierte Produkte und Kernfunktionen an, die für den Betrieb Ihres Unternehmens nützlich sein können. Auch hier liegt es in Ihrer Verantwortung als Kunde, sicherzustellen, dass Ihre Organisation vollständig vorbereitet und in der Lage ist, die Anforderungen der geteilten Verantwortung für jedes Produkt, das Ihre Organisation auswählt, zu erfüllen.
Wir möchten solide Partnerschaften und Beziehungen mit unseren Kunden, ihren Beteiligten und anderen Cloud-Serviceanbietern aufbauen. Deshalb wird jeder Ansatz für Ihre Cloud-Migrationsanforderungen auf eine Weise zugeschnitten, die für SIE funktioniert. Wenn Sie mehr über Vertrauen und Sicherheit bei Salesforce erfahren möchten, sehen Sie sich das Modul "Learn About the Shared Responsibility Model" (Das Modell der geteilten Verantwortung) auf Trailhead, der kostenlosen Lern- und Schulungsplattform von Salesforce, an.