Cos'è il modello di responsabilità condivisa?
Il modello di responsabilità condivisa descrive la suddivisione delle responsabilità di sicurezza di rete tra un fornitore di servizi cloud e il cliente cloud. I dettagli possono dipendere dal tipo di servizio cloud utilizzato e dal fornitore cloud specifico.
Come funziona il modello di responsabilità condivisa
Negli ambienti cloud , il fornitore cloud e il cliente condividono la responsabilità dello stack IT di Infrastruttura. Il fornitore del cloud è sempre responsabile dell'infrastruttura fisica, mentre il cliente del cloud è sempre responsabile dei propri dati.
Tutto ciò che sta nel mezzo dipende dal modello di servizio cloud in uso.
Con il controllo di rete su parte dello stack infrastrutturale arriva la responsabilità di metterlo in sicurezza. Ad esempio, se un cliente cloud può distribuire macchine virtuale (VM) in un ambiente cloud , è responsabile di utilizzare immagini sicure delle VM e configurarle correttamente per proteggerle da potenziali attacchi.
Il modello di responsabilità condivisa nel cloud stabilisce quali aree di sicurezza sono esclusivamente di responsabilità del fornitore o del cliente del servizio cloud e quali condividono. Nel momento in cui la responsabilità passa da una all'altra, il fornitore cloud può avere una certa responsabilità ma richiedere al cliente cloud di configurare anche alcune impostazioni.
Perché è importante il Modello di Responsabilità Condivisa?
Il modello di responsabilità condivisa cloud è un elemento essenziale per garantire che i dati cloud e l'Applicazione siano protetti dagli attacchi. Il modello di responsabilità condivisa di ogni fornitore cloud delinea:
- Quali compiti di sicurezza sono loro responsabili.
- Che sono del cliente.
I clienti cloud devono comprendere il modello di responsabilità condivisa cloud per conoscere il loro ruolo nella protezione della propria infrastruttura cloud dagli attacchi.
Esempi di modelli di responsabilità condivisa
Ogni fornitore cloud ha il proprio modello di responsabilità condivisa, che definisce la suddivisione delle responsabilità per ciascuno dei suoi modelli di servizio.
I tre principali modelli di responsabilità condivisa nel cloud includono:
Sfide nell'implementazione della responsabilità condivisa del cloud
La responsabilità della sicurezza del cloud è condivisa tra i provider cloud e i loro clienti. Ecco alcune delle sfide più comuni che gli utenti cloud devono affrontare quando cercano di fare la loro parte:
- Mancanza di comprensione: Il modello di responsabilità condivisa cloud definisce la responsabilità del cliente cloud per la propria sicurezza. Se un'organizzazione non comprende il modello di responsabilità condivisa, non sarà in grado di proteggere efficacemente il proprio ambiente cloud.
- Ambienti multi-cloud: la maggior parte delle organizzazioni dispone di più ambienti cloud e può sfruttare diversi servizi all'interno di tali ambienti. Ciò significa che i team di sicurezza devono comprendere e rispettare una varietà di modelli di responsabilità condivisa.
- Visibilità e controllo limitati: i clienti cloud hanno visibilità e controllo limitati o nulli nei livelli inferiori della loro infrastruttura IT, ma sono responsabili della gestione della sicurezza dei livelli superiori. Questa visibilità e questo controllo limitati possono rendere difficile l'implementazione di soluzioni di sicurezza in grado di soddisfare le responsabilità di un'organizzazione.
- Configurazioni Errate di Sicurezza: Adempiere alle responsabilità di sicurezza secondo il modello di responsabilità condivisa spesso significa configurare le impostazioni e le configurazioni di sicurezza fornite dal fornitore. Le configurazioni errate sono una delle principali cause di violazioni dei dati cloud e altri incidenti di sicurezza.
- Complianceregolatorie: Le organizzazioni sono ancora soggette a requisiti di conformità normativa nel cloud, ma la responsabilità condivisa può rendere tutto più complesso. Invece di gestire direttamente la propria sicurezza, un'azienda potrebbe dover fare affidamento sull'attestazione di cloud conformità del fornitore stesso.
- Gestione degli accessi: La gestione delle identità e degli accessi (IAM) è essenziale nel cloud, ma l'integrazione della gestione degli accessi su più piattaforme cloud può risultare difficoltosa. Questa complessità è aggravata se la responsabilità condivisa implica che un'organizzazione non può utilizzare la stessa soluzione in ogni ambiente o è costretta a utilizzare la soluzione del provider cloud.
Migliori pratiche per il modello di responsabilità condivisa
Alcune best practice per garantire la sicurezza cloud secondo il modello di responsabilità condivisa includono:
- Comprensione del modello di responsabilità condivisa: il modello di responsabilità condivisa cloud descrive le responsabilità di un'organizzazione in materia di sicurezza del cloud. Capirlo è il primo passo per proteggere un ambiente cloud.
- Esecuzione di valutazioni del rischio: le valutazioni del rischio sono progettate per identificare potenziali rischi per la sicurezza di un'organizzazione. Eseguendole regolarmente, un'organizzazione può rapidamente colmare eventuali lacune di sicurezza prima che possano essere sfruttate da un aggressore.
- Implementazione dei controlli di sicurezza: Molte best practice di sicurezza sono ugualmente applicabili on-premises che nel cloud. Data Crittografia, controlli di accesso e soluzioni simili dovrebbero sempre far parte della strategia di sicurezza cloud di un'organizzazione.
- Assicurare Compliance: Anche i requisiti di conformità normativa si applicano nel cloud. Verifica che la tua organizzazione e il tuo fornitore di cloud stiano adempiendo alle responsabilità di conformità.
- Formazione dei dipendenti: i dipendenti potrebbero inavvertitamente intraprendere azioni che minacciano la sicurezza del cloud. Fornire formazione sul modello di responsabilità condivisa del cloud e sulle migliori pratiche di sicurezza aiuta a proteggersi da questi rischi.
