Ergänzende User-Entity-Kontrollen
Diese Seite fasst die Sicherheitsverantwortlichkeiten der Kunden für Dispels SaaS‑ und On‑Prem‑Bereitstellungen zusammen.
Einführung
Als Teil von Dispels Engagement für Sicherheit und Transparenz veröffentlichen wir dieses Dokument zu ergänzenden Kontrollen der Nutzerorganisation (Complementary User Entity Controls, CUECs), um die Sicherheitsverantwortungen zu identifizieren, die bei unseren Kunden liegen. Diese Kontrollen sind ergänzend zu denen, die von Dispel implementiert werden, und sind entscheidend, um sicherzustellen, dass das kombinierte Sicherheitsprogramm für Ihre Umgebung – einschließlich Dispels Zero Trust Engine (ZTE), Remote-Access-Workflows, Mikrosegmentierung und Bedrohungserkennungsfunktionen – effektiv arbeitet.
Da Dispel Organisationen in stark regulierten Sektoren bedient – einschließlich industrieller Fertigung, kritischer Infrastruktur, Versorgungsunternehmen, Auftragnehmern der Verteidigungsindustrie und Betreibern von OT/ICS-Umgebungen – richten wir unsere CUECs an den Rahmenwerken aus, die von unseren Kunden am häufigsten verwendet werden:
IEC 62443-3-3 (System-Sicherheitsanforderungen und Sicherheitsstufen), die weit verbreitet für OT- und industrielle Steuerungssysteme verwendet werden; und
NIST SP 800-53 Rev. 5 High Baseline, die in US-Bundes- und Verteidigungsprogrammen verwendet wird und oft von Unternehmen übernommen wird, die starke Cybersicherheitskontrollen anstreben.
Wir ermutigen Kunden, Dispels Kontrollen und ihre eigenen Kontrollen als ein Modell geteilter Verantwortung zu betrachten. Dispel sichert die Cloud-Infrastruktur, Plattformfunktionen und verbindenden Workflows. Kunden sichern die von ihnen verwalteten Assets, Identitäten, Netzwerke und Prozesse.
Die spezifische Aufteilung der Verantwortlichkeiten hängt stark davon ab, wie Dispel bereitgestellt wird, und unsere Kunden nutzen Dispel auf zwei unterschiedliche Arten:
Von Dispel gehostete SaaS-Bereitstellung — Dispel betreibt die gesamte Plattforminfrastruktur.
On-Premises / Kunden-Cloud-Bereitstellung — Die Plattform wird vollständig innerhalb der von Kunden kontrollierten Infrastruktur bereitgestellt, und der Kunde übernimmt die betrieblichen Hosting-Verantwortlichkeiten.
Dieses Dokument hilft Ihnen zu verstehen, wie Sie Ihren Teil in beiden Modellen erfüllen.
Warum Dispel IEC 62443-3-3 und NIST SP 800-53 High verwendet
Unsere Kunden sind überwiegend in Sektoren tätig, die strengen regulatorischen, betrieblichen und sicherheitsrelevanten Anforderungen unterliegen. Indem wir CUECs auf IEC und NIST stützen:
können Kunden Dispels Kontrollen leicht in ihre bestehenden Compliance-Verpflichtungen einordnen.
Auditzyklen sind klarer und schneller, da die verantwortlichen Aufgaben auf Kundenseite in einem vertrauten Rahmen ausgedrückt werden.
Die Struktur geteilter Verantwortung stimmt mit den globalen Erwartungen an kritische Infrastrukturen und Systeme mit hohem Vertrauensniveau überein.
Verständnis der ergänzenden Kontrollen der Nutzerorganisation
CUECs identifizieren die Sicherheitskontrollen, die der Kunde betreiben muss damit Dispels Plattform – unabhängig davon, ob sie von uns oder von Ihnen gehostet wird – sicher funktioniert.
In SaaS-Bereitstellungen, übernimmt Dispel das Plattform-Hosting, die Infrastruktur-Sicherheit und die Systemverfügbarkeit.
In On-Prem / Kunden-Cloud-Bereitstellungen, übernehmen Kunden viele dieser Funktionen und müssen Plattformbetrieb sowie standortbezogene Sicherheit durchführen.
Jeder nachfolgende Abschnitt hebt hervor, was Kunden in jedem Bereitstellungsmodell tun müssen.
Kundenverantwortungen nach Sicherheitsdomäne
Identitäts- & Zugriffsverwaltung (IAM)
Warum das wichtig ist
Angreifer zielen häufig auf Identitäten ab. Dispel integriert sich mit Ihrem IdP, aber Sie kontrollieren die Authentifizierung stromaufwärts.
Verantwortlichkeiten des Kunden
SaaS-Bereitstellung
Pflegen Sie Benutzer-Lifecycle-Prozesse für Ihren IdP (Provisioning/Deprovisioning).
Setzen Sie MFA für Ihren Unternehmens-IdP durch.
Pflegen Sie rollenbasierte Zuweisungen nach dem Prinzip der geringsten Privilegien.
Sichern Sie kundenseitig verwaltete Anmeldeinformationen, API-Schlüssel und Zertifikate.
On-Prem / Kunden-Cloud-Bereitstellung
Alle SaaS-Verantwortlichkeiten plus:
Sie sind verantwortlich für die Sicherung, Wartung und Härtung der Identitätssysteme, die Sie mit Dispel integrieren.
Sie müssen die Authentifizierungsinfrastruktur, die von der Dispel-Instanz verwendet wird (z. B. intern gehostete SAML/SCIM-Endpunkte), konfigurieren, sichern und überwachen.
Sie sind verantwortlich für die Zugangskontrolle auf allen Plattformservern, VMs und Unterstützungssystemen.
Asset-, Konfigurations- & Änderungsmanagement
Warum das wichtig ist
Dispel sichert die Konnektivität; Sie kontrollieren die dahinter verbundenen Assets (PLCs, Firewalls, HMIs, Server).
Verantwortlichkeiten des Kunden
SaaS-Bereitstellung
Führen Sie ein Inventar der Assets hinter Dispel-Mikrosegmenten.
Pflegen Sie sichere Konfigurationen von OT-/ICS-/IT-Assets, die mit Dispel verbunden sind.
Stellen Sie sicher, dass nur autorisierte Assets in Dispel-Segmenten vorhanden sind.
Befolgen Sie Änderungssteuerungsprozesse für Systeme, die in Dispel integriert sind.
On-Prem / Kunden-Cloud-Bereitstellung
Alle SaaS-Verantwortlichkeiten plus:
Sie betreiben und patchen die virtuellen Maschinen, Server, Speicher-, Netzwerk- und OS-Schichten, die die Dispel-Plattform hosten.
Sie pflegen Konfigurationsbaselines und Änderungssteuerung für Dispel-Plattformknoten, Load-Balancer, Datenbanken und Endpunktdienste.
Sie müssen eine sichere Installation, Konfiguration und Abhängigkeitsverwaltung für alle Plattformkomponenten sicherstellen.
Protokollierung, Überwachung & Vorfallreaktion
Warum das wichtig ist
Dispel protokolliert Plattformaktivitäten. Kunden protokollieren ihre interne Umgebung.
Verantwortlichkeiten des Kunden
SaaS-Bereitstellung
Überwachen Sie Protokolle für Systeme, die nicht von Dispel gehostet werden (lokale OT/IT-Netzwerke).
Pflegen und führen Sie Ihren internen IR-Plan aus.
Betreiben Sie bei Bedarf ein SIEM/SOC.
Benennen Sie Sicherheitskontakte zur Koordination mit Dispel.
Führen Sie lokale Eindämmungsmaßnahmen durch (z. B. Isolieren von Werksnetzwerken).
On-Prem / Kunden-Cloud-Bereitstellung
Alle SaaS-Verantwortlichkeiten plus:
Sie müssen Protokolle sammeln, speichern, schützen und überwachen, die von der Dispel-Plattforminfrastruktur selbst erzeugt werden.
Sie sind verantwortlich für die Aufrechterhaltung der Verfügbarkeit von Überwachungssystemen (SIEM, Log-Collector).
Sie müssen Plattformprotokolle in Ihren IR-Workflow integrieren und bei Bedarf forensische Sicherungsmaßnahmen durchführen.
Sie besitzen das Patchen und den Sicherheitslebenszyklus von Überwachungsagenten auf Plattformknoten.
Physische & Umgebungs-Sicherheit
Warum das wichtig ist
Physischer Zugang umgeht digitale Kontrollen.
Verantwortlichkeiten des Kunden
SaaS-Bereitstellung
Sichern Sie alle lokalen OT/ICS-Assets und Arbeitsstationen.
Schützen Sie Engineering-Laptops, die zum Zugriff auf Dispel verwendet werden.
Erhalten Sie Umweltschutzmaßnahmen für lokale Systeme.
On-Prem / Kunden-Cloud-Bereitstellung
Alle SaaS-Verantwortlichkeiten plus:
Sie müssen die physischen Server, Racks, Rechenzentren und Cloud-Ressourcen sichern, die die Dispel-Plattform hosten.
Sie müssen Umweltkontrollen (Strom, Kühlung, Luftfeuchtigkeit) für alle Plattformknoten gewährleisten.
Sie müssen physischen Zugang zu Administrationskonsolen und Hardware, die von der Plattform verwendet wird, einschränken.
Netzwerksicherheit & Kommunikationsintegrität
Warum das wichtig ist
Dispel stellt sicheren Transport und Mikrosegmentierung bereit. Kunden kontrollieren die umgebenden Netzwerke.
Verantwortlichkeiten des Kunden
SaaS-Bereitstellung
Pflegen Sie Segmentierungs- und Firewall-Regeln an Ihrer Netzgrenze.
Patchen und sichern Sie Ihre lokale Netzwerkausrüstung (Firewalls, Router, Proxies).
Härten Sie ICS-Protokolle hinter Ihrem Netzwerk.
Validieren Sie den Zugriff von Auftragnehmern, bevor Sie Anmeldeinformationen ausgeben.
On-Prem / Kunden-Cloud-Bereitstellung
Alle SaaS-Verantwortlichkeiten plus:
Sie sichern und betreiben das Netzwerk, das die Dispel-Plattform hostet, einschließlich VLANs, Subnetzen, Cloud-VPCs und Routing-Kontrollen.
Sie müssen sichere Ingress-/Egress-Regeln für Plattformkomponenten konfigurieren.
Sie sind verantwortlich für die Sicherung lokaler Load-Balancer, API-Gateways, VPN-Brücken und HA-Paare, die von der Plattform verwendet werden.
Sie müssen Plattform-Managementschnittstellen schützen und isolieren.
Datenverwaltung & Wiederherstellung
Warum das wichtig ist
Kunden besitzen ihre Daten und müssen die Governance darüber aufrechterhalten, wie diese gespeichert, übertragen und gesichert werden.
Verantwortlichkeiten des Kunden
SaaS-Bereitstellung
Führen Sie Backups aller Daten, die außerhalb der Cloud von Dispel gespeichert sind.
Klassifizieren und behandeln Sie Daten gemäß Ihren internen Richtlinien.
Verwalten Sie kundeneigene Materialien, die in Integrationen verwendet werden.
On-Prem / Kunden-Cloud-Bereitstellung
Alle SaaS-Verantwortlichkeiten plus:
Sie müssen die Dispel-Plattforminfrastruktur (Datenbanken, Konfigurationen, Plattformknoten usw.) sichern und wiederherstellen können.
Sie müssen sichere Speicherung, Rotation und Schutz aller vom Plattform verwendeten Verschlüsselungsschlüssel sicherstellen.
Sie sind verantwortlich für den Schutz von Backup-Medien und für Disaster-Recovery-Prozesse für die gesamte Bereitstellung.
Endpunktsicherheit
Warum das wichtig ist
Kompromittierte Endpunkte untergraben die Sicherheit des Remote-Zugriffs ungeachtet der Plattformmaßnahmen.
Verantwortlichkeiten des Kunden
SaaS-Bereitstellung
Härten und überwachen Sie Endpunkte, die auf Dispel zugreifen (Antivirus/EDR, sichere Konfiguration, Patching).
Sichern Sie Ziel-Jump-Hosts oder HMIs, die über Dispel verbunden sind.
On-Prem / Kunden-Cloud-Bereitstellung
Alle SaaS-Verantwortlichkeiten plus:
Sie müssen die Endpunkte sichern, die Dispel-Plattformdienste hosten:
Admin-Konsolen
Deployment-Server
Orchestrierungsserver
Alle zugrundeliegenden Betriebssysteme
Sie müssen Patch-Management, Schwachstellenscans und Malware-Schutz für alle Plattformknoten aufrechterhalten.
Zuletzt aktualisiert