SaaS-Datensicherheit mit geteilter Verantwortung in der Cloud
Modelle der geteilten Verantwortung verstehen und kritische Fehler beim SaaS-Datenschutz vermeiden
Schließen Sie die Augen und denken Sie daran, wie viele As-a-Service-Anwendungen Ihr Unternehmen derzeit nutzt. Was wäre, wenn ich Ihnen sagen würde, dass diese Zahl näher an dem 10-fachen Ihrer ursprünglichen Schätzung liegt? Was wäre, wenn ich Ihnen sage, dass es das 20-fache Ihrer ursprünglichen Schätzung ist?
XaaS-Anwendungen einschließlich SaaS gehen über Microsoft 365 hinaus. Es gilt für Ihre Cloud-Plattformen und alle ihnen zugrunde liegenden Dienste. Es gilt für Ihre Marketingorganisation, für Ihr Vertriebsteam, für Ihre Finanzabteilung und so weiter.
SaaS-Anwendungen - Überall auf einmal!
Das durchschnittliche mittelständische Unternehmen nutzt weit über 200 SaaS-Anwendungen, und einigen Forschungsberichten zufolge werden bis zu 71 % davon außerhalb der IT-Abteilung bezahlt. Für jeden von uns in der IT ist das keine Überraschung. Es ist die Realität. Wir bei HYCU haben dies in unserem eigenen Unternehmen und bei vielen unserer Kunden und Partner gesehen, von digital nativen Organisationen bis hin zu FORTUNE 500-Unternehmen - die Realität und das offensichtliche Problem sind dieselben. Hier ist ein Beispiel für einen "Tech-Stack", den wir bei vielen Unternehmen sehen. Darin sind nicht alle Cloud-Dienste und As-a-Service-Anwendungen enthalten, die mit einer bestimmten Produktionsanwendung verbunden sind.
Beispiel Tech Stack
Die Grauzone ansprechen: Datenverantwortung bei SaaS
Es gibt viele Gründe, warum die Nutzung von SaaS-Anwendungen so beliebt ist. SaaS-Anwendungen bieten Skalierbarkeit und Flexibilität. Sobald Sie eine SaaS-Anwendung abonniert haben, müssen Sie sich nicht mehr um die Verwaltung vor Ort, um Patches oder um die Aktualisierung der Server-/Rechenzentrums-Editionen kümmern. Besuchen Sie die URL, melden Sie sich an und nutzen Sie die Anwendung. Das war's. Einfacher geht es wirklich nicht mehr. Sicher, es gibt viele SaaS-Anwendungen, die Sie kostenlos erhalten und die Sie mit Upgrade-Funktionen ködern, die Sie vielleicht brauchen oder auch nicht, aber das ist ein Thema für einen anderen Tag.
Die Einfachheit von SaaS hat jedoch zu einem massiven Missverständnis geführt. Viele Unternehmen gehen davon aus, dass sie nicht für die Sicherheit verantwortlich sind, dass sie sich also nicht um Datenschutz, Compliance, Backup usw. kümmern müssen. Das ist ein weit verbreitetes Missverständnis und wir verstehen, warum die Leute so denken, aber es ist grundlegend falsch. Und nicht nur falsch, sondern gefährlich. Lassen Sie uns aufschlüsseln, warum das so ist und genauer erklären, welche Verantwortung Sie bei einer Cloud- oder SaaS-Anwendung oder einem SaaS-Dienst haben.
Das System - Ihr Provider ist für das System verantwortlich, nicht der Mieter (Sie).
Nehmen wir ein Beispiel, Jira Software, eine Anwendung von Atlassian. Sie ist eine der meistgenutzten Anwendungen der Welt. Sie glauben mir nicht? Fragen Sie einen Ihrer Entwickler oder ein Mitglied Ihres Ingenieurteams! Sobald Jira heruntergeladen oder als Server- und Rechenzentrums-Editionen gehostet wurde, wird es hauptsächlich in der Atlassian Cloud verwendet. Atlassian Cloud = SaaS.
Stellen Sie sich nun Jira als das System und Atlassian als dessen Eigentümer und alleinigen Verantwortlichen vor. Das bedeutet, dass Atlassian als Eigentümer die gesamte Infrastruktur und Sicherheit verwaltet, die Lichter am Laufen hält und das System sicher und geschützt hält.
Das System - Ihr Provider ist für das System verantwortlich, nicht der Mieter (Sie).
Der Mieter - Sie sind für Ihr Konto und Ihre Daten verantwortlich, nicht Ihr Cloud-Anbieter.
Wenn Sie wie ich ein visueller Lerner sind, finden Sie hier eine gute Analogie, um ein System und die gemeinsame Verantwortung des Kunden zu verstehen. Denken Sie an ein Parkhaus. Wenn Sie einen Parkplatz suchen, gehen Sie in ein Parkhaus, bezahlen und können parken. Das Parkhaus ist dafür verantwortlich, dass die Lichter brennen und die Zugänglichkeit gewährleistet ist.
Aber was ist mit Ihrem Auto? Was ist, wenn es zerkratzt wird oder jemand einbricht und etwas stiehlt oder sich an etwas auf Ihrer Rückbank bedient, weil Sie es unverschlossen gelassen haben? Dafür ist nicht die Werkstatt verantwortlich, sondern Sie selbst.
Die Werkstatt ist das System, das Auto sind Ihre Daten. Das bedeutet, dass Sie verantwortlich sind für:
- Wiederherstellung von Daten/Konfigurationen, die verloren gegangen sind (gelöscht, beschädigt, verschlüsselt, etc.)
- Sicherungen und sichere Kopien Ihrer Daten regelmäßig aufzubewahren
- Die Compliance-Anforderungen für Ihr Unternehmen zu erfüllen (NIS2, DORA, etc.)
- Ihren Zugriff und Ihre Berechtigungen innerhalb Ihres Unternehmens zu sichern
Der Mieter - Sie sind für Ihr Konto und Ihre Daten verantwortlich, nicht Ihr Cloud-Anbieter
Obwohl dies ein einfaches Modell ist, wissen die meisten IT-Administratoren und Anwendungsbesitzer nicht, dass es existiert. Aus diesem Grund sehen wir die gleichen drei kritischen Fehler, die Unternehmen machen:
Fehler Nr. 1 - Annehmen, dass der SaaS-Anbieter die Daten für Sie wiederherstellt.
Datenverluste sind vorprogrammiert, ganz gleich, welche Anwendung Sie verwenden. Versehentliche Löschungen, Bugs, Korruption und sogar Bedrohungen durch Insider sind an der Tagesordnung. Die erste Reaktion des Kunden ist in der Regel die Annahme, dass er den SaaS-Anbieter bitten kann, seine Daten wiederherzustellen. Natürlich werden die meisten SaaS-Anbieter versuchen zu helfen, aber die Realität ist, dass sie dies nicht für Sie tun können. In allen Shared Responsibility-Modellen weisen die Anbieter ausdrücklich darauf hin, dass die Datensicherung und die Wiederherstellung von verlorenen Daten aus den Backups der Kunden erfolgen muss.
Das folgende Diagramm veranschaulicht die Verantwortungsbereiche zwischen Ihnen und Microsoft
Fehler Nr. 2 - Annahme, dass Backups auf Systemebene Ihre Backups sind.
Ja, Cloud-Plattformen und SaaS-Anwendungen behalten ihre Backups. Dabei handelt es sich jedoch um Backups auf Systemebene, die für Disaster Recovery und Datenverlustszenarien innerhalb ihrer Infrastruktur verwendet werden. Diese Backups sind für Wiederherstellungen auf Mieterebene nicht zugänglich.
Kommt ein Hurrikan oder ein Stromausfall? Keine Sorge, die Cloud-Plattform verfügt über Hochverfügbarkeit auf Systemebene, Disaster Recovery und Backups, die sicherstellen, dass Ihr Zugang und Ihre Daten intakt sind.
Hat einer Ihrer Administratoren versehentlich Daten gelöscht? Das liegt in Ihrer Verantwortung.
Salesforce führt beispielsweise Backups auf Systemebene durch, ergreift aber auch direkte Maßnahmen, um die Kunden über die Wichtigkeit der Sicherung ihrer Daten zu informieren.
Best Practices zur Sicherung von Salesforce-Daten
Fehler Nr. 3 - Datenaufbewahrung und Compliance nicht ernst nehmen.
Lassen Sie uns mit der Parkhaus-Analogie fortfahren. Im Falle eines Unfalls oder aufgrund des Gesetzes müssen Sie eine Versicherung für Ihr Auto haben; Sie können sich nicht auf die Versicherung der Garage verlassen. Das Gleiche gilt für die Einhaltung von Vorschriften.
Sie können sich nicht auf SaaS verlassen, wenn Sie gesetzliche Vorschriften (z.B. HIPAA) oder von der Regierung unterstützte Richtlinien wie NIS2 und DORA einhalten müssen. Sie müssen die Vorschriften einhalten.
Die NIS2- und DORA-Vorschriften verlangen beispielsweise ausdrücklich, dass Sie Backups erstellen, die Wiederherstellung testen und dokumentieren, dass Sie alle erforderlichen Schritte durchgeführt haben. Sie können dafür nicht die Sicherungen auf Systemebene verwenden, sondern müssen Ihre eigenen verwenden.
NIS2 schreibt vor, dass wesentliche und wichtige Einrichtungen grundlegende Sicherheitsmaßnahmen ergreifen müssen, um bestimmten Formen wahrscheinlicher Cyberbedrohungen zu begegnen.
Was bedeutet das alles? Es bedeutet, dass Sie nicht in den Fehler verfallen sollten, den viele begehen, bevor es zu spät ist. Stellen Sie sicher, dass Ihre Daten geschützt sind, dass Sie in der Lage sind, Backups zu erstellen und sie im unvermeidlichen Fall einer versehentlichen Löschung oder eines bösartigen Angriffs wiederherzustellen. Aber am wichtigsten ist es, zu wissen, was Sie in Ihrem Datenbestand haben. Es ist zwar ein interessantes Thema, wenn Sie genau wissen, wie viele SaaS-Anwendungen oder Cloud-Dienste in Ihrer Umgebung laufen, aber oft fängt es damit an, dass Sie es nicht wissen. Bleiben Sie dran, wenn wir darüber berichten, warum Sie es wissen sollten und wie einfach es sein kann.
Wollen Sie mehr erfahren?
- Demystifying SaaS Data Protection: Die Wahrheit über geteilte Verantwortung
- Abwendung der SaaS-Datenapokalypse: Die Rolle des Datenschutzes im Kampf um unsere digitale Zukunft
- Für weitere Details, für eine Demo anmelden
- Erweitern Sie Ihre Möglichkeiten mit R-Cloud
- AWS Modell der geteilten Verantwortung
- Erschließen Sie das Potenzial von R-.Graph mit einem umfassenden Test
Andy Fernandez ist Direktor für Produktmanagement bei HYCU, einem Unternehmen von Atlassian Ventures. Andys gesamte Karriere konzentriert sich auf die Datensicherung und Notfallwiederherstellung für kritische Anwendungen. Zuvor hatte er Produkt- und GTM-Positionen bei Zerto und Veeam inne. Jetzt konzentriert sich Andy darauf, sicherzustellen, dass Unternehmen kritische SaaS- und Cloud-Anwendungen über ITSM und DevOps schützen. Wenn er nicht gerade an der Datensicherung arbeitet, besucht Andy gerne Live-Konzerte, erkundet die lokalen Feinschmeckerlokale und geht an den Strand.
Erhalten Sie die neuesten Erkenntnisse und Updates
Vielen Dank für das Absenden des Formulars!
Die Datei sollte sich in einer neuen Registerkarte öffnen. Sollte dies nicht der Fall sein, klicken Sie auf die Schaltfläche unten, um sie direkt herunterzuladen.
Vielen Dank für das Absenden des Formulars!
Das Webinar-Video ist jetzt unten verfügbar.