Als ich ging die Hallen des riesigen Boston Convention Center in dieser Woche für AWS re:Inforceder jährlichen Sicherheitsveranstaltung der Division, sprach ich mit einer Reihe von Anbietern, und ein Thema war klar: Cloud-Sicherheit ist wirklich eine gemeinsame Verantwortung.
Diese Idee gibt es schon seit einiger Zeit, aber sie kam diese Woche besonders gut an, als ich verschiedenen AWS-Sicherheitsleitern zuhörte, die bei der Veranstaltungs-Keynote und in den darauffolgenden Gesprächen, die ich während der Woche führte, darüber sprachen.
Auf einer sehr hohen Ebene trägt der Cloud-Anbieter die erste Ebene der Verantwortung für die Sicherheit. Es muss sicherstellen, dass die von ihm betriebenen Rechenzentren in dem Maße sicher sind, in dem es unter seiner Kontrolle steht. Doch irgendwann gibt es eine Grauzone zwischen dem Unternehmen und dem Kunden. Sicher, der Anbieter kann das Rechenzentrum sichern, aber er kann den Kunden nicht davor bewahren, einen S3-Bucket ungeschützt zu lassen, aus welchen Gründen auch immer.
Sicherheit ist ein so komplexes Unterfangen, dass niemand für die Sicherheit eines Systems verantwortlich sein kann, insbesondere wenn Benutzerfehler auf jeder Ebene ein System für clevere Hacker anfällig machen können. Es müssen Kommunikationskanäle auf allen Ebenen der Organisation, mit Kunden und mit betroffenen Dritten vorhanden sein.
Wenn ein externes Ereignis wie die Log4J-Schwachstelle oder der Solarwinds-Exploit die gesamte Community betrifft, ist das nicht das Problem eines einzelnen Anbieters. Es ist jedermanns Problem.
Die Idee ist, dass jeder kommunizieren muss, wenn Probleme auftauchen, bewährte Verfahren austauschen und sich als Gemeinschaft so weit wie möglich zusammenschließen müssen, um Sicherheitsvorfälle zu verhindern oder abzumildern.