CW: Security as a Service, also die Miete von Security-Lösungen nach dem Vorbild von SaaS, wird oft in einem Atemzug mit Managed Security Services, kurz MSS, genannt. Beide Modelle lassen sich schwer voneinander abgrenzen. Wollen Sie es versuchen?
Foto: Computacenter
ROECHER : Beides sind extern erbrachte IT-Sicherheitsdienste. Der Unterschied besteht vor allem in der Art und Weise, wie die Angebote angefordert und die Security-Level-Agreements definiert werden: Dem klassischen Managed Service geht meist eine Ausschreibung voraus, in der der Anwender seine Leistungsanforderungen und SLAs vorgibt. Auf deren Basis wird dann für den Kunden ein Angebot zugeschnitten. Bei Security as a Service dagegen stellt der Provider standardisierte Dienste zur Verfügung, die der Anwender praktisch sofort in Anspruch nehmen kann. Die Kosten beruhen auf einer Art Verbrauchsabrechnung, also vorab definierten und daher gut kalkulierbaren Fixkosten. Der Zugriff auf die gebuchten Dienste und Lösungen erfolgt in der Regel über einen Browser, auf den Endgeräten des Kunden muss also nichts installiert werden. Der Provider hat die komplette Security-Infrastruktur bei sich aufgebaut, die für den Rundumschutz der Unternehmensdaten erforderlich ist, und der Kunde nimmt selektiv nur die Services in Anspruch, die er tatsächlich benötigt. Der Security-as-a-Service-Ansatz ist also umkompliziert und kundenfreundlich.
CW: Bietet das Modell für den Anwender noch andere Vorteile?
ROECHER: Ja, ein weiterer Mehrwert liegt darin, dass der Anbieter seine Infrastruktur für viele Unternehmen gleichzeitig nutzt. Dadurch kann er die Services nicht nur kostengünstig anbieten, sondern auch ein breit angelegtes Know-how aufbauen, von dem auch der Kunde profitiert. So werden etwa Probleme, die der Provider bei einem Anwender erkannt und behoben hat, beim nächsten Kunden durch präventive Maßnahmen von vorneherein ausgeschlossen.
- Security-Tipps für die Cloud
Wer sich für Cloud Computing entscheidet, sollte den Anbieter nach den Standards ISO 27001 und 27002 fragen. Dieser und sieben weitere Ratschläge von Cyber-Ark. - 1. Management privilegierter Benutzerkonten:
Der Service-Provider muss ein Privileged-Identity-Management-System für die Verwaltung privilegierter Accounts im gesamten IT-Betrieb implementiert haben. Das soll dem Nutzer der Cloud garantieren, dass Policies, Prozesse und Practices seine Anforderungen an die Datensicherheit erfüllen. Dabei sollte der Dienstleister Standards wie ISO 27001 oder 27002 einhalten. - 2. Policy-Konformität:
Die Policies und Prozesse des Privileged Identity Management auf Providerseite müssen denen des Unternehmens entsprechen. Im Idealfall sind alle ISO-basiert. - 3. Evaluierung:
Im Auswahlprozess sollten Entscheider die Security-Struktur des Service-Providers genau überprüfen und evaluieren. Dabei ist insbesondere darauf zu achten, dass Tools für das Privileged Identity Management eingesetzt werden, die die Security-Policies und -Prozesse automatisch unterstützen. - 4. Dokumentation:
Die Richtlinien und Prozesse des Privileged Identity Management müssen Audit- und Reporting-Anforderungen erfüllen. Die verwendeten Lösungen und Technologien sollten dabei schriftlich in Verträgen und Service Level Agreements festgehalten werden. - 5. Definition von Rollen:
Policies müssen den privilegierten User-Zugang regeln und limitieren. Dabei ist eine "Separation of Duties" zwingend erforderlich. - 6. Keine versteckten Passwörter:
Es sollten keine eingebetteten Applikationspasswörter verwendet werden, die Zugang zu Backend-Systemen oder Datenbanken bieten. - 7. Überwachung:
Der Service-Provider muss die privilegierten Benutzerkonten permanent kontrollieren und überwachen. - 8. Reporting:
Zu allen privilegierten User-Accounts muss es hinsichtlich Zugriffen und Aktivitäten Protokolle und Reportings geben. Dabei sollte der Service-Provider seinem Kunden ein wöchentliches oder zumindest monatliches Reporting zur Verwendung privilegierter Accounts zur Verfügung stellen.