O que é o Modelo de Responsabilidade Compartilhada?
O modelo de responsabilidade compartilhada descreve a divisão das responsabilidades de segurança de rede entre um provedor de serviços Nuvem e o cliente Nuvem. Os detalhes podem variar dependendo do tipo de serviço Nuvem utilizado e do provedor Nuvem específico.
Como funciona o modelo de responsabilidade compartilhada
Nos ambientes Nuvem, o fornecedor e o cliente da Nuvem compartilham a responsabilidade pela pilha de infraestrutura de TI. O provedor Nuvem é sempre responsável pela infraestrutura física, e o cliente Nuvem é sempre responsável pelos seus próprios dados.
Tudo o que estiver entre esses dois extremos depende do modelo de serviço Nuvem em uso.
Com o controle de rede sobre parte da infraestrutura, vem a responsabilidade de protegê-la. Por exemplo, se um cliente da Nuvem puder implantar máquinas virtuais (VMs) em um ambiente Nuvem, ele será responsável por usar imagens de VM seguras e configurá-las corretamente para protegê-las contra possíveis ataques.
O modelo de responsabilidade compartilhada da Nuvem define quais áreas de segurança são de responsabilidade exclusiva do provedor de serviços ou do cliente da Nuvem e quais são compartilhadas. No ponto em que a responsabilidade passa de uma entidade para outra, o provedor Nuvem pode assumir alguma responsabilidade, mas exigir que o cliente Nuvem também configure determinadas definições.
Por que o modelo de responsabilidade compartilhada é importante?
O modelo de responsabilidade compartilhada da Nuvem é fundamental para garantir que os dados e o aplicativo da Nuvem estejam protegidos contra ataques. O modelo de responsabilidade compartilhada de cada provedor de Nuvem descreve:
- Quais são as tarefas de segurança de sua responsabilidade?
- Quais são os clientes?
Os clientes da Nuvem precisam entender o modelo de responsabilidade compartilhada da Nuvem para saber qual é o seu papel na proteção da sua infraestrutura Nuvem contra ataques.
Exemplos de Modelos de Responsabilidade Compartilhada
Cada provedor de Nuvem possui seu próprio modelo de responsabilidade compartilhada, que define a divisão de responsabilidades para cada um de seus modelos de serviço.
Os três principais modelos de responsabilidade compartilhada da Nuvem incluem:
Desafios na implementação da responsabilidade compartilhada na nuvem
A responsabilidade pela Segurança de nuvem é compartilhada entre os provedores da Nuvem e seus clientes. Alguns desafios comuns que os usuários do Nuvem enfrentam ao tentar fazer sua parte incluem:
- Falta de compreensão: O modelo de responsabilidade compartilhada da Nuvem define a responsabilidade do cliente da Nuvem pela sua própria segurança. Se uma organização não compreender o modelo de responsabilidade compartilhada, não conseguirá proteger eficazmente seu ambiente Nuvem.
- Ambientes Multi-Nuvem: A maioria das organizações possui múltiplos ambientes Nuvem e pode aproveitar diferentes serviços dentro desses ambientes. Isso significa que as equipes de segurança devem compreender e cumprir uma variedade de modelos de responsabilidade compartilhada.
- Visibilidade e controle limitados: os clientes da Nuvem têm visibilidade e controle limitados ou inexistentes nas camadas inferiores de sua Infraestrutura de TI, mas são responsáveis por gerenciar a segurança das camadas superiores. Essa visibilidade e controle limitados podem dificultar a implementação de soluções de segurança capazes de atender às responsabilidades de uma organização.
- Configurações de segurança incorretas: Cumprir as responsabilidades de segurança no âmbito do modelo de responsabilidade compartilhada geralmente significa configurar as definições e as configurações de segurança fornecidas pelo fornecedor. Configurações incorretas são uma das principais causas de violações de dados na Nuvem e outros incidentes de segurança.
- Conformidade regulatória: As organizações ainda estão sujeitas aos requisitos de conformidade regulatória na Nuvem, mas a responsabilidade compartilhada pode tornar isso mais complexo. Em vez de gerenciar diretamente sua segurança, uma empresa pode precisar confiar na atestação de Nuvem Conformidade fornecida pelo próprio fornecedor.
- Gerenciamento de acesso: A gestão de identidade e acesso (IAM) é essencial na Nuvem, mas a integração da gestão de acesso pode ser difícil em várias plataformas Nuvem. Essa complexidade se agrava se a responsabilidade compartilhada significar que uma organização não pode usar a mesma solução em todos os ambientes ou é obrigada a usar a solução do provedor de nuvem.
Melhores práticas para o modelo de responsabilidade compartilhada
Algumas práticas recomendadas para garantir a Segurança da nuvem no modelo de responsabilidade compartilhada incluem:
- Entendendo o Modelo de Responsabilidade Compartilhada: O modelo de responsabilidade compartilhada da Nuvem descreve as responsabilidades de uma organização em relação à Segurança da Nuvem. Compreendê-lo é o primeiro passo para proteger um ambiente Nuvem.
- Realização de Avaliações de Risco: As avaliações de risco são elaboradas para identificar potenciais riscos de segurança para uma organização. Realizá-las regularmente ajuda uma organização a resolver rapidamente qualquer problema de segurança de API antes que ele possa ser explorado por um invasor.
- Implementando controles de segurança: Muitas das melhores práticas de segurança são igualmente aplicáveis em ambientes locais e na Nuvem. A criptografia de dados, os controles de acesso e soluções similares devem sempre fazer parte da estratégia de segurança em nuvem de uma organização.
- Garantindo a Conformidade: Os requisitos de Conformidade Regulatória também se aplicam na Nuvem. Verifique se sua organização e seu provedor de nuvem estão cumprindo as responsabilidades de conformidade.
- Treinamento de funcionários: Os funcionários podem, inadvertidamente, tomar medidas que ameacem a segurança em nuvem. Oferecer treinamento sobre o modelo de responsabilidade compartilhada da Nuvem e as melhores práticas de segurança ajuda a proteger contra esses riscos.
