Wat is het gedeelde verantwoordelijkheidsmodel in cloud computing?

Het gedeelde verantwoordelijkheidsmodel schetst de beveiligingstaken door de rechten en verantwoordelijkheden van zowel de cloud serviceprovider als de klant te specificeren. In essentie verduidelijkt het wie verantwoordelijk is voor elk aspect van de beveiliging om een effectieve bescherming van de cloudomgeving te garanderen. De details van deze verdeling zijn enigszins verschillend, afhankelijk van het servicemodel (SaaS, PaaS, IaaS).

De verschillen tussen de drie modellen zijn:

• SaaS (Software-as-a-Service): De provider beheert de onderliggende infrastructuur, de applicatie en de data, terwijl de klant verantwoordelijk is voor de gebruikersrechten en de classificatie van de data.
• PaaS (Platform-as-a-Service): De provider is verantwoordelijk voor het ondersteunende systeem, inclusief webdiensten, besturingssysteem, enz., terwijl de klant verantwoordelijk is voor alle applicaties en data.
• IaaS (Infrastructure-as-a-Service): De provider beheert de fysieke laag terwijl de klant de applicaties, besturingssystemen en gegevens beheert.

Hier zijn de gedetailleerde verantwoordelijkheden van SaaS-providers:

• Fysieke beveiliging: Beveilig datacenters en hardware.
• Netwerkbeveiliging: Bescherming tegen de bedreigingen van onbevoegde toegang of cyberaanvallen.
• Toepassingsbeveiliging: Software bijwerken om beveiligingslekken of bugs te verhelpen en inbreuken te voorkomen
• Gegevensbeveiliging: Gegevens versleutelen wanneer ze worden opgeslagen en tijdens verzending, en ervoor zorgen dat er back-ups of noodherstel zijn.
• Operationele beveiliging: Bedreigingen detecteren en reageren op beveiligingsincidenten.

De SaaS-klant moet rekening houden met:

• Apparaatbeveiliging: Het apparaat beschermen dat wordt gebruikt voor toegang tot de SaaS-applicatie.
• Toegangsbeheer: De juiste beperkingen beheren van de gebruikers en hun mogelijkheid om toegang te krijgen tot een applicatie, de procedures om hun identiteit te verifiëren en de autorisatie om toegang te krijgen tot de applicatie.
• Training in beveiligingsbewustzijn: Training van de werknemers over beveiligingsmaatregelen en phishingrisico's.
• Dataclassificatie: Gevoelige gegevens identificeren en maatregelen treffen om deze te beschermen.
• Incidentrespons: Een noodplan hebben voor de manier waarop de beveiligingsdreigingen kunnen worden aangepakt.

Organisaties en Software as a Service-providers en -leveranciers moeten:

1. Controleer regelmatig de SaaS-provider beveiligingsdocumentatie en -certificeringen: Meer te weten komen over hun beveiligingspraktijken en ervoor zorgen dat deze voldoen aan de normen van uw organisatie.
2. Stel duidelijke communicatiekanalen in: Onderhoud duidelijke communicatie met uw SaaS-provider om beveiligingskwesties te bespreken, problemen te melden en op de hoogte te blijven van beveiligingswijzigingen.
3. Neem deel aan bewustwordingsprogramma's over beveiliging: Moedig uw werknemers aan om de beveiligingstraining te volgen die door de SaaS-provider wordt aangeboden.
4. Voer gezamenlijke beveiligingsbeoordelingen uit: Samenwerken om risico's in de gedeelde omgeving te identificeren en te verminderen.
5. Een Service Level Agreement (SLA) opstellen: De beveiligingsvereisten en -taken vastleggen in een contractdocument dat door beide partijen wordt ondertekend.