Qu'est-ce que le modèle de responsabilité partagée ?

Le modèle de responsabilité partagée décrit la répartition des responsabilités en matière de sécurité du réseau entre un fournisseur de services d'informatique dématérialisée et le client de l'informatique dématérialisée. Les détails peuvent dépendre du type de service en nuage utilisé et du fournisseur de nuage spécifique.

Évaluation de la sécurité du cloud En savoir plus

Qu'est-ce que le modèle de responsabilité partagée ?

Fonctionnement du modèle de responsabilité partagée

Dans les environnements en nuage, le fournisseur de nuage et le client partagent la responsabilité de la pile d'infrastructure informatique. Le fournisseur d'informatique en nuage est toujours responsable de l'infrastructure physique, et le client de l'informatique en nuage est toujours responsable de ses propres données.

Tout ce qui se situe entre les deux dépend du modèle de service en nuage utilisé.

Le contrôle par le réseau d'une partie de la pile d'infrastructure s'accompagne de la responsabilité de la sécuriser. Par exemple, si un client de l'informatique en nuage peut déployer des machines virtuelles (VM) dans un environnement en nuage, il est responsable de l'utilisation d'images VM sécurisées et de leur configuration correcte afin de les protéger contre les attaques potentielles.

Le modèle de responsabilité partagée de l'informatique en nuage définit les domaines de sécurité qui relèvent uniquement de la responsabilité du fournisseur de services d'informatique en nuage ou du client et ceux qu'ils partagent. Au moment où la responsabilité passe de l'un à l'autre, le fournisseur d'informatique en nuage peut avoir une part de responsabilité mais exiger que le client de l'informatique en nuage configure également certains paramètres.

Pourquoi le modèle de responsabilité partagée est-il important ?

Le modèle de responsabilité partagée de l'informatique en nuage est un élément essentiel pour garantir que les données et les applications de l'informatique en nuage sont protégées contre les attaques. Le modèle de responsabilité partagée de chaque fournisseur d'informatique en nuage décrit :

  • Quelles sont les tâches de sécurité qui relèvent de leur responsabilité.
  • Lesquels sont ceux du client.

Cloud les clients doivent comprendre le modèle de responsabilité partagée de l'informatique en nuage pour connaître leur rôle dans la sécurisation de leur infrastructure en nuage contre les attaques.

Exemples de modèles de responsabilité partagée

Chaque fournisseur de services en nuage a son propre modèle de responsabilité partagée, qui définit la répartition des responsabilités pour chacun de ses modèles de service.

Les trois principaux modèles de responsabilité partagée du cloud sont les suivants

Défis liés à la mise en œuvre de la responsabilité partagée Cloud

La responsabilité de la sécurité du cloud est partagée entre les fournisseurs de cloud et leurs clients. Les utilisateurs de l'informatique en nuage sont souvent confrontés à des difficultés lorsqu'ils essaient de jouer leur rôle :

  • Manque de compréhension : Le modèle de responsabilité partagée de l'informatique en nuage établit la responsabilité du client de l'informatique en nuage pour sa propre sécurité. Si une organisation ne comprend pas le modèle de responsabilité partagée, elle ne sera pas en mesure de sécuriser efficacement son environnement Cloud.
  • Environnements multi-Cloud: La plupart des organisations disposent de plusieurs environnements en nuage et peuvent tirer parti de différents services au sein de ces environnements. Cela signifie que les équipes de sécurité doivent comprendre et respecter divers modèles de responsabilité partagée.
  • Visibilité et contrôle limités : les clients de Cloud ont une visibilité et un contrôle limités, voire inexistants, sur les couches inférieures de leur infrastructure informatique, mais sont responsables de la gestion de la sécurité des couches supérieures. Cette visibilité et ce contrôle limités peuvent rendre difficile le déploiement de solutions de sécurité capables de répondre aux responsabilités d'une organisation.
  • Mauvaises configurations de sécurité : Pour s'acquitter de ses responsabilités en matière de sécurité dans le cadre du modèle de responsabilité partagée, il faut souvent configurer les paramètres et les configurations de sécurité fournis par le fournisseur. Les erreurs de configuration sont l'une des principales causes des violations de données dans l'informatique dématérialisée et d'autres incidents de sécurité.
  • Conformité réglementaire : les organisations sont toujours soumises à des exigences de conformité réglementaire dans le nuage, mais le partage des responsabilités peut rendre la situation plus complexe. Au lieu de gérer directement sa sécurité, une entreprise peut être amenée à s'appuyer sur l'attestation de conformité au nuage d'un fournisseur.
  • Gestion de l'accès :La gestion des identités et des accès (IAM) est essentielle dans le Cloud, mais l'intégration de la gestion des accès peut s'avérer difficile sur plusieurs plateformes Cloud. Cette complexité est exacerbée si le partage des responsabilités signifie qu'une organisation ne peut pas utiliser la même solution dans chaque environnement ou qu'elle est obligée d'utiliser la solution du fournisseur d'informatique en nuage.

Bonnes pratiques pour le modèle de responsabilité partagée

Voici quelques bonnes pratiques pour garantir la sécurité du cloud dans le cadre du modèle de responsabilité partagée :

  • Comprendre le modèle de responsabilité partagée : Le modèle de responsabilité partagée du cloud décrit les responsabilités d'une organisation en matière de sécurité du cloud. Le comprendre est la première étape de la sécurisation d'un environnement en nuage.
  • Effectuer des évaluations des risques : Les évaluations des risques sont conçues pour identifier les risques potentiels pour la sécurité d'une organisation. Le fait de les effectuer régulièrement permet à une organisation de remédier rapidement à tout manque de sécurité avant qu'il ne puisse être exploité par un attaquant.
  • Mettre en œuvre des contrôles de sécurité : De nombreuses bonnes pratiques en matière de sécurité s'appliquent aussi bien sur place que dans le nuage. Le chiffrement des données, les contrôles d'accès et les solutions similaires doivent toujours faire partie de la stratégie de sécurité du cloud d'une organisation.
  • Garantir la conformité : les exigences réglementaires en matière de conformité s'appliquent également à l'informatique dématérialisée. Vérifiez que votre organisation et votre fournisseur d'informatique en nuage s'acquittent de leurs responsabilités en matière de conformité.
  • Formation des employés : Les employés peuvent, par inadvertance, prendre des mesures qui menacent la sécurité du cloud. La formation au modèle de responsabilité partagée du cloud et aux meilleures pratiques en matière de sécurité permet de se prémunir contre ces risques.

Modèle de responsabilité partagée avec Check Point

Le modèle de responsabilité partagée est au cœur de tout programme de Sécurité du cloud. Pour en savoir plus sur le modèle de responsabilité partagée du cloud et sur les responsabilités qui vous incombent, consultez ce livre blanc sur le modèle de responsabilité partagée. La mise en œuvre d'un programme efficace de sécurité du cloud qui répond aux exigences de sécurité du modèle de responsabilité partagée du cloud nécessite une stratégie claire en matière de sécurité du cloud.

Pour commencer, consultez Check Pointle plan de sécurité du cloud Check Point de et les solutions de sécurité de AWS pour.