Ein Überblick zum 'Shared Responsibility Model'-Konzept zum Betreiben von Cloud-Workloads.
aktualisiert am

Shared Responsibility Model in der Cloud


Übersicht

Das Shared Responsibility Model im Cloud-Bereich beschreibt, wie sich die Verantwortung für Workloads auf den Cloud-Anbieter (CSP) und Kunden verteilt. Das Modell unterscheidet Verantwortlichkeiten basierend auf dem Betriebsmodus (IaaS, PaaS, SaaS):

  • Infrastructure as a Service (IaaS)
    • Der CSP ist verantwortlich für alle Infrastruktur-Komponenten.
    • Der Kunde für alle anderen Komponenten, also Betriebssystem, Middleware, Anwendungen, Benutzer & Berechtigungen, Clients/Endpunkte und die Daten.
  • Platform as a Service (PaaS)
    • Der CSP verantwortet alle Infrastruktur-Komponenten sowie Betriebssystem, Middleware und teilweise die Plattform-Konfiguration.
    • Der Kunde ist für die Applikation, Benutzer & Berechtigungen, Clients/Endpunkte und Daten verantwortlich.
  • Software as a Service (SaaS):
    • Der CSP ist für alle Infrastruktur-Komponenten inklusive dem Betrieb der Applikation verantwortlich.
    • Der Kunde verantwortet Benutzer & Berechtigungen, Clients/Endpunkte und natürlich die Daten der Applikation.

Davon abgesehen teilen sich Kunde und CSP auch die Verantwortung bei Compliance- und Governance-Themen und sind gemeinsam verpflichtet, gesetzliche Vorgaben zu erfüllen.

Anbieterspezifische Interpretation

Das Shared Responsibility Model ist grundsätzlich cloud-agnostisch, die meisten Anbieter haben jedoch ihre eigene Interpretation.

Hier ein paar Highlights bezogen auf AWS, Azure und GCP:

Amazon AWS

Amazons Shared Responsibility Model ist primär auf Security- und Compliance-Themen ausgerichtet:

Security and Compliance is a shared responsibility between AWS and the customer. This shared model can help relieve the customer’s operational burden as AWS operates, manages and controls the components from the host operating system and virtualization layer down to the physical security of the facilities in which the service operates. The customer assumes responsibility and management of the guest operating system (including updates and security patches), other associated application software as well as the configuration of the AWS provided security group firewall. […] As shown in the chart below, this differentiation of responsibility is commonly referred to as Security ‘of’ the Cloud versus Security ‘in’ the Cloud.

AWS Shared Responsibility Model

AWS Shared Responsibility Model

Microsoft Azure

Das Shared responsibility Model für Microsofts Azure Cloud zeichnet ein einfach verständliches Bild, basierend auf der “Pizza as a Service” Analogie:

Azure Shared Responsibility Model

Azure Shared Responsibility Model

Google Cloud Platform

Google erweitert die Shared responsibilities um das Konzept “shared fate”:

We developed shared fate in Google Cloud to start addressing the challenges that the shared responsibility model doesn’t address. Shared fate focuses on how all parties can better interact to continuously improve security. Shared fate builds on the shared responsibility model because it views the relationship between cloud provider and customer as an ongoing partnership to improve security.

Abgesehen davon sieht Googles Modell so aus wie Microsofts:

GCP Shared Responsibility Model

GCP Shared Responsibility Model

Quellen