Übersicht
Akamai unterstützt und schützt das digitale Leben. Jeden Tag treten Milliarden von Menschen mit ihren Lieblingsmarken in Kontakt, um online einzukaufen, Spiele zu spielen, Ideen auszutauschen, Geld zu verwalten und vieles mehr. Diese Menschen wissen es vielleicht nicht, doch im Hintergrund stellt Akamai ein schnelles, zuverlässiges und sicheres Kundenerlebnis bereit.
Akamai ist sich bewusst, dass Sicherheit für das moderne digitale Leben von grundlegender Bedeutung ist, und wir haben uns verpflichtet, die Daten unserer Kunden zu schützen, die für unsere Services und in unserer Unternehmensinfrastruktur verwendet werden. Zu diesem Zweck haben wir ein umfassendes Informationssicherheitsprogramm implementiert, das von führenden Sicherheitstechnologien unterstützt wird – einschließlich unserer eigenen Sicherheitsprodukte und -services – um umfassenden Schutz vor aktuellen und zukünftigen Bedrohungen zu bieten.
Modell der geteilten Verantwortung
Kunden kontrollieren viele Aspekte der Akamai-Lösungen und folglich wirken sich Kundenentscheidungen auch auf die Sicherheit aus. Akamai wendet daher ein Modell der geteilten Verantwortung an, das die Rollen und Verantwortlichkeiten der verschiedenen Parteien definiert, die an der Bereitstellung und Nutzung unserer Produkte und Services beteiligt sind.
Bei diesem Modell sind Kunden dafür verantwortlich, die Akamai-Services einzusetzen, die für die Vertraulichkeit ihrer Daten geeignet sind, und sie korrekt zu konfigurieren, um die mit ihren Anwendungen verbundenen Risiken zu bewältigen. Wenn Kunden beispielsweise Lösungen zur Inhaltsbereitstellung verwenden, müssen sie TLS-Einstellungen und Caching-Richtlinien auswählen, die für ihre Anwendungsfälle geeignet sind. Bei der Verwendung von Cloud-Computing-Lösungen müssen Kunden Schritte unternehmen, um die Workloads zu schützen, die sie auf Akamai ausführen, einschließlich der sicheren Verwaltung des zugrunde liegenden Betriebssystems und des Softwarestacks. Ebenso sind Kunden für den Schutz ihrer eigenen Infrastruktur verantwortlich, die sie in die Services von Akamai integrieren.
Im Gegenzug ist Akamai für die sichere Entwicklung und den sicheren Betrieb der Akamai Connected Cloud verantwortlich, die alle unsere Produkte unterstützt. So wird sichergestellt, dass die Services von Akamai nicht gegen die Sicherheits- und Datenschutzeigenschaften verstoßen, die durch die korrekte Kundenkonfiguration vorgegeben werden.
Weitere Informationen zum Modell der geteilten Verantwortung finden Sie z. B. in den Zuständigkeitsmatrizen für PCI-DSS-Compliance, die auf der Seite für Compliance der Informationssicherheit von Akamai verfügbar sind. Im Folgenden wird das Informationssicherheitsprogramm von Akamai näher erläutert und beschrieben, wie Akamai seinen Teil der Sicherheitsverantwortung erfüllt.
Governance der Informationssicherheit
Akamai verfügt über eine spezielle Informationssicherheitsorganisation, InfoSec, die vom Chief Security Officer (CSO) geleitet wird. Dieses Team von Sicherheitsexperten hat die Aufgabe, das Informationssicherheitsprogramm von Akamai zu verwalten und alle Sicherheitsaspekte bei Akamai zu überwachen.
InfoSec ist zwar eine unabhängige Organisation, koordiniert sich aber jeden Tag eng mit dem Rest des Unternehmens, einschließlich der Engineering-, Services-, Rechts- und Human-Resources-Abteilungen, zur Verwaltung des gesamten Sicherheitsrisikoprofils des Unternehmens.
Akamai verfügt über eine gut etablierte Governance-Struktur, die InfoSec bei der Identifizierung, Bewertung und Minderung von Sicherheitsrisiken unterstützt. Das Information Security Committee (ISC) von Akamai ist ein wichtiges Gremium für die Sicherheitskontrolle unter dem Vorsitz des CSO, das sich aus internen Führungskräften aus dem gesamten Unternehmen zusammensetzt. Das ISC tauscht sich regelmäßig mit der Geschäftsleitung über Risikoinformationen aus, um wichtige Entscheidungen zu treffen. Darüber hinaus erhalten Mitglieder des Akamai-Vorstands regelmäßig Updates zur Sicherheitslage vom CSO.
Funktionen
Das Informationssicherheitsprogramm von Akamai dient dem Schutz der Akamai Connected Cloud und damit der Daten, die wir im Namen von Akamai-Kunden verarbeiten, sowie der internen Unternehmenssysteme, -daten und -mitarbeiter von Akamai.
Einige der wichtigsten Sicherheitsfunktionen, die Akamai einsetzt, sind die folgenden:
Risikomanagement. Das InfoSec Risk Management Team überwacht kontinuierlich das Sicherheitsrisiko von Akamai und identifiziert, bewertet und verfolgt über unseren umfassenden Risikomanagementprozess sowohl neue als auch bekannte Risiken. Die Risiken werden in einem zentralen Risikoregister erfasst. Der Status von Risiken, die die Risikotoleranz des Unternehmens überschreiten, wird den zuvor beschriebenen Stellen für die Sicherheitsführung regelmäßig mitgeteilt und die Abhilfemaßnahmen werden mit den jeweiligen Verantwortlichen koordiniert.
Kontinuierliche Überwachung. Das Global Security Operations Team (GSO), das InfoSec untersteht, überwacht Akamai-Systeme kontinuierlich, indem ein dediziertes Team – unterstützt durch Automatisierung und Orchestrierung – Sicherheitssignale aus mehreren Datenquellen über ein dediziertes Team einspeist und korreliert. Das Network Operations Command Center (NOCC) ergänzt die Funktionen des GSO durch die kontinuierliche Überwachung der Akamai-Systeme auf Performance, Kapazität und Anzeichen für technische Probleme. Beide Teams sind über mehrere Kontinente verteilt und verfügen über Failover-Funktionen.
Sicherheitsmanagement. Das Threat and Vulnerability Management Team unter InfoSec überwacht den umfassenden Sicherheitsmanagementprozess von Akamai, legt übergreifende Richtlinien und Metriken fest, bewertet den Schweregrad und die Auswirkungen von Sicherheitslücken und bietet Systemeigentümern Hilfestellung für die genaue Zuordnung von Sicherheitslücken zu ihren Assets und die rechtzeitige Behebung von Problemen.
Störfallmanagement. Akamai verfügt über einen robusten Vorfallmanagementprozess, der dafür sorgt, dass die entsprechenden Mitarbeiter für technische und sicherheitsrelevante Vorfälle zur Verfügung stehen. Der Prozess in drei Phasen umfasst die Eindämmung der unmittelbaren Bedrohung und die Bewertung der Umstände, um eine Task Force von Fachexperten für das vorliegende Problem einzurichten, vollständige Abhilfemaßnahmen und deren Überprüfung gemäß den Lösungskriterien des Teams sowie erneute Prüfungen nach Vorfällen und langfristige Verbesserungen der Richtlinien, des Prozesses und der Kontrolle auf Grundlage der gewonnenen Erkenntnisse.
Bedrohungsinformationen und Sicherheitsforschung. Die Sicherheitsexperten von Akamai überwachen, analysieren und reagieren auf neue Bedrohungen. Sie haben den Vorteil, dass sie die einzigartige Transparenz von Akamai in den Traffic und die Internetlandschaft einsetzen können, die von der größten und am weitesten verteilten Cloudplattform der Welt ermöglicht wird. Akamai arbeitet mit Branchenpartnern, Strafverfolgungsbehörden, Interessengruppen, Berufsverbänden, Normungsgremien, akademische Einrichtungen und Open-Source-Communitys zur Verbesserung der Bedrohungsinformationen zusammen. Akamai trägt auch mit seinen eigenen Forschung zur Sicherheitsliteratur bei und gibt neue Erkenntnisse an die Community weiter.
Sichere Entwicklung. Die sichere Entwicklung ist eine gemeinsame Verantwortung aller Systemeigentümer und technischen Abteilungen bei Akamai, und das Product Security Team unter InfoSec stellt Systemdesignern und Entwicklern während des Prozesses spezielle Sicherheitskenntnisse zur Verfügung. Das Product Security Team überwacht die allgemeinen Anforderungen an sicheres Design, sicheren Code und Sicherheitstests im gesamten Unternehmen und reagiert auf Anfragen nach praktischer Beratung auf Abruf. Darüber hinaus stellt das Product Security Team Entwicklungsteams auch Sicherheitsarchitekten zur Verfügung, die individuell mit ihnen zusammenarbeiten, Bedrohungsmodellierungen in frühen Entwicklungsphasen durchführen und die Entwickler dann durch die formalen Sicherheitsüberprüfungen im Standardsystementwicklungsprozess von Akamai hinweg unterstützen. Das interne Penetration Testing Team von Akamai ergänzt diese Funktionen durch systemspezifische Sicherheitstests.
Compliance mit Sicherheitsstandards. Akamai unterzieht sich wiederholten Audits, um die Einhaltung von ISO 27001, ISO 27017, ISO 27018, ISO 27701, PCI DSS, SOC 2 Typ 2, FedRAMP und viele andere Standards sicherzustellen, die auf der Seite für Compliance der Informationssicherheit von Akamai aufgelistet sind. Akamai führt zudem in Zusammenarbeit mit qualifizierten Drittanbietern regelmäßig Schwachstellenscans und Penetrationstests durch, um diesen Sicherheitsstandards zu entsprechen.
Kundenvertrauen. Das Customer Trust Team unter InfoSec ist ein spezialisiertes Team von Sicherheitsexperten, die mit Kunden von Akamai kommunizieren und sicherstellen, dass ihre Sicherheitsfragen beantwortet werden. Customer Trust steht Ihnen zur Verfügung, um alle Aspekte des Informationssicherheitsprogramms von Akamai, der Architektur, der Nutzung von Kryptografie und anderer spezieller technischer Details sowie deren Sicherheitsauswirkungen zu besprechen. Customer Trust koordiniert auch vor Ort Audits mit Kunden, die sich einen genaueren Blick auf die Abläufe von Akamai verschaffen möchten.
Fazit
Akamai ist stolz darauf, ein vertrauenswürdiger Partner für Tausende von Kunden in verschiedenen Branchen und Regionen zu sein und sichere und zuverlässige Cloud-Dienste bereitzustellen, die ihre Online-Präsenz, Sicherheit und Performance verbessern. Akamai investiert ständig in seine Sicherheitsfunktionen und Innovationen, um der sich wandelnden Bedrohungslandschaft einen Schritt voraus zu sein und unsere Plattformen, Kunden und die Endnutzer unserer Kunden vor Cyberangriffen zu schützen.