Hogyan kezeljük a felhőbiztonságot, ha a szolgáltatók és az ügyfelek megosztják a felelősséget

Öt dolog, amit tudni kell a felhőbiztonságról A felhőtárolás biztonságának érdekében tudnia kell, hogyan működik. Íme öt alapvető kérdés, amelyet meg kell keresni.

Az adatok felhőben történő biztonságos védelme szempontjából fontos annak eldöntése, hogy ki felelős érte, miért nem lehet túlbecsülni. Jelenleg három választási lehetőség van: felhőszolgáltatási ügyfelek, felhőszolgáltatók vagy ügyfelek és szolgáltatók, akik megosztják a felelősséget.

A Ponemon Institute for Gemalto által készített, 2018. évi globális felhőalapú adatbiztonsági tanulmány ( A. ábra ) megállapította, hogy:

"2017-ben kevesebb válaszadó (a válaszadók 32 százaléka) mondja, hogy ez a megosztott felelősség a felhő szolgáltatója és a felhő felhasználója között. A válaszadók egyenletesen oszlanak meg a felhő szolgáltató vagy a felhő felhasználó által viselt felelősség között (mindkettő 34 százalék). "

A ábra

Kép: Ponemon Intézet és Gemalto

A megosztott felelősség modellje

Jenna Kersten, a KirkpatrickPrice tartalommarketing szakértője blogbejegyzésében Ki felel a felhő biztonságáért? a felmérés válaszadóival a megosztott felelősség mellett dönt. Kersten hozzászólásában egy lépéssel tovább megy, és megvitatja az egyik módszert, amellyel feloszthatja a felhőszolgáltatást igénybe vevők és a felhőszolgáltatókat a következő felhőszolgáltatási modellek között: Infrastruktúra mint szolgáltatás (IaaS), Platform mint szolgáltatás (PaaS) ) és a Szoftver mint szolgáltatás (SaaS).

  • IaaS megoldások : Az IaaS alkalmazásban a felhőszolgáltató kezeli a létesítményeket, adatközpontokat, hálózati interfészeket, feldolgozást és hipervizorokat. A felhőszolgáltatás-ügyfél felelős a virtuális hálózatért, a virtuális gépekért, az operációs rendszerekért, a köztes szoftverekért, az alkalmazásokért, az interfészekért és az adatokért.
  • PaaS megoldások : A PaaS modell segítségével a Kersten virtuális hálózatokat, virtuális gépeket, operációs rendszereket és köztes szoftvereket ad hozzá a felhőszolgáltató felelősségéhez. Az ügyfél továbbra is felelős az alkalmazások, interfészek és adatok biztonságáért és kezeléséért.
  • SaaS megoldások : A SaaS modell Kersten szerint az interfészek és az adatok kivételével mindenért a felelősséget a felhőszolgáltató felé viszi.

"A felhőszolgáltatók és a felhőszolgáltatások ügyfelei is felelősek az adatok védelme" - folytatja Kersten. "Fontos megjegyezni, hogy az egyes biztonsági menedzsment feladatok kiszervezhetők, de az elszámoltathatóság nem. A biztonsági követelmények teljesítésének ellenőrzése mindig az ügyfél felelőssége."

Amazon Web Services

Az Amazon Web Services (AWS) rendelkezésére álló hatáskörök egyetértenek a "32 százalékkal" és a Kerstennel. Az AWS weboldaláról a vállalat megosztott felelősségvállalásának elképzeléséről:

"Ez a megosztott modell segíthet enyhíteni az ügyfelek működési terheit, mivel az AWS működik, kezeli és ellenőrzi az összetevőket a gazda operációs rendszer és a virtualizációs réteg között egészen a létesítmények fizikai biztonságáig, amelyben a szolgáltatás működik. Az ügyfél vállalja a vendég felelősségét és irányítását. operációs rendszer (beleértve a frissítéseket és a biztonsági javításokat), egyéb kapcsolódó alkalmazásszoftverek, valamint az AWS által biztosított biztonsági csoport tűzfal konfigurációja. "

Fizikai biztonság

A felhőben lévő adatok továbbra is valahol fizikai eszközökön (azaz szerverek, merevlemezek és hasonlók) találhatók. Mivel a felelősség megoszlik, mind az ügyfeleknek, mind a szolgáltatóknak gondoskodniuk kell az épületek, a számítástechnikai berendezések és a fizikai infrastruktúra biztonságáról. A munkavállalók szintén fontos szempont, mivel a társadalmi mérnöki munka a siker miatt kiberbűnözők által előnyben részesített támadási módszer.

Hogyan kell kezelni a megosztott felelősségű kapcsolatot

Kersten azt vizsgálja, hogy a felhőszolgáltatásokért az ügyfél és a szolgáltató helyén felelős felek hogyan tudják a legjobban megosztani a felelősségviszonyt, kezdve a felhőszolgáltatókkal:

  • Az ügyfél szempontjából mérlegelje a kockázatokat, majd vezessen be olyan ellenőrzéseket, amelyek megmutatják, hogy mindent megtesznek a kockázatok csökkentése érdekében.
  • Dokumentálja a kockázatok kezelésére használt belső ellenőrzéseket.
  • Adjon meg dokumentációt arról, hogy az ügyfelek hogyan használhatják a biztosított biztonsági funkciókat. Kersten hozzáteszi: "Az AWS nagyszerű munkát végez oktatási programjain keresztül."
  • Készítsen egy felelősségvállalási mátrixot, amely meghatározza, hogy az Ön megoldása hogyan fog segíteni az ügyfeleknek a különféle megfelelési követelmények teljesítésében. Forduljon a CSA CAIQ-jához és CCM-hez, mint kiindulópont a megosztott felelősségvállalási modell kialakításához.

Ezután Kersten a felhőszolgáltatás ügyfelére összpontosít:

  • A felhőszolgáltató kiválasztása előtt határozza meg a felhőbiztonsági követelményeket. "Ha tudja, mit keres egy felhő szolgáltatónál, akkor jobban rangsorolhatja igényeit" - teszi hozzá Kersten.
  • Harmonizálja a vállalatirányítási programot a hagyományos és a felhőalapú IT-kézbesítés között. A rendszerek és alkalmazások migrációjára a felhőbe házirendet kell módosítani.
  • Hozzon létre szerződéses egyértelműséget az egyes felek szerepéről és felelősségéről, különös tekintettel a nyilvános felhőre, beleértve:
    * Ki felelős a felhő biztonságáért?
    * Meddig megy a felhő-szolgáltató?
  • Készítsen egy felelősségi mátrixot, amely meghatározza a biztonsági szerepeket és felelősségeket Ön és minden gyártó számára, beleértve a felhőszolgáltatókat is.

Szállítói menedzsment: Hogyan lehet hatékony kapcsolatokat építeni (ingyenes PDF) (TechRepublic)

Ne felejtsük el a megfelelést

A megfelelést és a felhőbiztonságot digitális szimbiotikus kapcsolatnak lehet tekinteni - az egyik nem létezhet a szabályozás felépítése nélkül. A Duane Tharp nem húz ütéseket, amikor a megfelelőségről és a biztonságról beszél:

"Az első ok a szabályozás. A vállalkozásoknak meg kell felelniük az állami, szövetségi vagy belső szabályozási rendszernek. A másik ok a félelem. A biztonságba történő nominális kiegészítő befektetés potenciálisan megakadályozhatja a rossz helyzet kialakulását a jövőben. pozitív nettó hozam. "

Kiberbiztonsági bennfentes hírlevél

Erősítse meg szervezetének informatikai biztonsági védelmét azáltal, hogy lépést tartson a legújabb kiberbiztonsági hírekkel, megoldásokkal és a bevált gyakorlatokkal. Keddenként és csütörtökön szállítva

Regisztrálj még ma

© Copyright 2020 | mobilegn.com