Come funziona il modello di responsabilità condivisa
In ambienti cloud , il fornitore di cloud e il cliente condividono la responsabilità dello stack IT di Infrastruttura. Il fornitore di servizi cloud è sempre responsabile dell'infrastruttura fisica e il cliente del cloud è sempre responsabile dei propri dati.
Tutto il resto dipende dal modello di servizio cloud in uso.
Il controllo della rete su una parte dello stack dell'infrastruttura comporta la responsabilità di proteggerlo. Ad esempio, se un cliente cloud può distribuire macchine virtuali (VM) in un ambiente cloud , è responsabile dell'utilizzo di immagini VM sicure e della loro corretta configurazione per proteggerle da potenziali attacchi.
Il modello di responsabilità condivisa nel cloud stabilisce quali aree di sicurezza sono di esclusiva responsabilità del fornitore di servizi cloud o del cliente e quali condividono. Nel momento in cui la responsabilità passa da uno all'altro, il provider cloud può avere una certa responsabilità, ma richiedere al cliente cloud di configurare anche determinate impostazioni.
Perché il modello di responsabilità condivisa è importante?
Il modello di responsabilità condivisa cloud è una parte vitale per garantire che i dati e le applicazioni cloud siano protetti dagli attacchi. Il modello di responsabilità condivisa di ciascun fornitore di servizi cloud delinea:
- Quali compiti di sicurezza sono di loro responsabilità.
- Quali sono quelli del cliente.
I clienti cloud devono comprendere il modello di responsabilità condivisa cloud per conoscere il loro ruolo nella protezione della loro infrastruttura cloud dagli attacchi.
Esempi di modelli di responsabilità condivisa
Ogni fornitore di servizi cloud ha un proprio modello di responsabilità condivisa, che definisce la ripartizione delle responsabilità per ciascuno dei suoi modelli di servizio.
I tre principali modelli di responsabilità condivisa nel cloud includono:
Sfide nell'implementazione della responsabilità condivisa del cloud
La responsabilità della sicurezza del cloud è condivisa tra i fornitori di cloud e i loro clienti. Alcune sfide comuni che gli utenti del cloud devono affrontare quando cercano di fare la loro parte includono:
- Mancanza di comprensione: Il modello di responsabilità condivisa del cloud definisce la responsabilità del cliente cloud per la propria sicurezza. Se un'organizzazione non comprende il modello di responsabilità condivisa, non sarà in grado di proteggere efficacemente il proprio ambiente cloud.
- Ambienti multi-cloud: La maggior parte delle organizzazioni dispone di più ambienti cloud e può sfruttare servizi diversi all'interno di tali ambienti. Ciò significa che i team di sicurezza devono comprendere e rispettare una varietà di modelli di responsabilità condivisa.
- Visibilità e controllo limitati: i clienti cloud hanno visibilità e controllo limitati o nulli nei livelli inferiori della loro infrastruttura IT, ma sono responsabili della gestione della sicurezza dei livelli superiori. Questa visibilità e controllo limitati possono rendere difficile l'implementazione di soluzioni di sicurezza in grado di soddisfare le responsabilità di un'organizzazione.
- Configurazioni errate della sicurezza: Adempiere alle responsabilità di sicurezza nell'ambito del modello di responsabilità condivisa spesso significa configurare le impostazioni e le configurazioni di sicurezza fornite dal fornitore. Le configurazioni errate sono una delle principali cause di violazioni dei dati nel cloud e di altri incidenti di sicurezza.
- Conformità normativa: Le organizzazioni sono ancora soggette ai requisiti normativi di conformità in cloud, ma la responsabilità condivisa può rendere questo processo più complesso. Invece di gestire direttamente la propria sicurezza, un'azienda potrebbe dover fare affidamento sull'attestazione di conformitàcloud di un fornitore.
- Gestione degli accessi: La gestione delle identità e degli accessi (IAM) è essenziale nel cloud, ma l'integrazione della gestione degli accessi può essere difficile su più piattaforme cloud. Questa complessità è aggravata se la responsabilità condivisa significa che un'organizzazione non può utilizzare la stessa soluzione in ogni ambiente o è costretta a utilizzare la soluzione del provider cloud.
Best practice per il modello di responsabilità condivisa
Alcune best practice per garantire la sicurezza del cloud nell'ambito del modello di responsabilità condivisa includono:
- Comprendere il modello di responsabilità condivisa: Il modello di responsabilità condivisa cloud descrive le responsabilità di Cloud Security di un'organizzazione. Comprenderlo è il primo passo per proteggere un ambiente cloud.
- Esecuzione delle valutazioni dei rischi: Le valutazioni dei rischi sono progettate per identificare i potenziali rischi per la sicurezza di un'organizzazione. Eseguirli regolarmente aiuta un'organizzazione a colmare rapidamente eventuali lacune di sicurezza prima che possano essere sfruttate da un utente malintenzionato.
- Implementazione dei controlli di sicurezza: Molte best practice di sicurezza sono applicabili sia on-premise che nel cloud. La crittografia dei dati, i controlli di accesso e soluzioni simili dovrebbero sempre far parte della strategia di sicurezza del cloud di un'organizzazione.
- Garantire la conformità: I requisiti di conformità normativa si applicano anche alla cloud. Verificare che l'organizzazione e il provider di cloud rispettino le responsabilità di conformità.
- Formazione dei dipendenti: I dipendenti possono inavvertitamente intraprendere azioni che minacciano la sicurezza del cloud. Fornire formazione sul modello di responsabilità condivisa del cloud e sulle best practice di sicurezza aiuta a proteggersi da questi rischi.
Modello di Responsabilità Condivisa con Check Point
Il modello di responsabilità condivisa è al centro di qualsiasi programma di Cloud Security. Per altre informazioni sul modello di responsabilità condivisa nel cloud e sulle responsabilità che ne derivano, consulta questo white paper sul modello di responsabilità condivisa. L'implementazione di un programma di Cloud Security efficace che soddisfi i requisiti di sicurezza del modello di responsabilità condivisa cloud richiede una chiara strategia di Cloud Security.
Per iniziare, consulta Check Pointil progetto di Cloud Security Check Point di e le soluzioni di sicurezza di AWS per .