Czym jest model współdzielonej odpowiedzialności w chmurze obliczeniowej?

Model współdzielonej odpowiedzialności określa obowiązki związane z bezpieczeństwem, określając prawa i obowiązki zarówno dostawcy usług w chmurze, jak i klienta. W istocie wyjaśnia, kto jest odpowiedzialny za każdy aspekt bezpieczeństwa, aby zapewnić skuteczną ochronę środowiska chmury. Szczegóły tego podziału różnią się nieco w zależności od modelu usługi (SaaS, PaaS, IaaS).

Różnice między trzema modelami obejmują:

• SaaS (Oprogramowanie jako usługa): Dostawca obsługuje podstawową infrastrukturę, aplikację i dane, podczas gdy klient odpowiada za dostęp użytkowników i klasyfikację danych.
• PaaS (Platforma jako usługa): Dostawca odpowiada za system pomocniczy, w tym usługę internetową, system operacyjny itp., podczas gdy klient odpowiada za wszystkie aplikacje i dane.
• IaaS (Infrastruktura jako usługa): Dostawca kontroluje warstwę fizyczną, podczas gdy klient kontroluje aplikacje, systemy operacyjne i dane.

Oto szczegółowe obowiązki dostawców SaaS:

• Bezpieczeństwo fizyczne: Ochrona centrów danych i sprzętu.
• Bezpieczeństwo sieci: Ochrona przed zagrożeniami wynikającymi z nieautoryzowanego dostępu lub cyberataków.
• Bezpieczeństwo aplikacji: Aktualizacja oprogramowania w celu naprawienia luk w zabezpieczeniach lub błędów w celu zapobiegania naruszeniom
• Bezpieczeństwo danych: Szyfrowanie danych zarówno podczas ich przechowywania, jak i przesyłania oraz zapewnienie kopii zapasowych lub odzyskiwania po awarii.
• Bezpieczeństwo operacyjne: Wykrywanie zagrożeń i reagowanie na zdarzenia związane z bezpieczeństwem.

Klient SaaS powinien wziąć pod uwagę:

• Bezpieczeństwo urządzenia: Ochrona urządzenia, które jest używane do uzyskiwania dostępu do aplikacji SaaS.
• Zarządzanie dostępem: Zarządzanie odpowiednimi ograniczeniami użytkowników i ich możliwością dostępu do aplikacji, procedurami weryfikacji ich tożsamości oraz autoryzacją dostępu do aplikacji.
• Szkolenie z zakresu świadomości bezpieczeństwa: Szkolenie pracowników w zakresie środków bezpieczeństwa i ryzyka phishingu.
• Klasyfikacja danych: Identyfikacja poufnych danych i wdrożenie środków w celu ich ochrony.
• Reagowanie na incydenty: Posiadanie planu awaryjnego dotyczącego sposobu radzenia sobie z zagrożeniami bezpieczeństwa.

Organizacje i dostawcy oprogramowania jako usługi powinni:

1. Regularnie sprawdzaj dokumentację bezpieczeństwa i certyfikaty dostawcy SaaS: Dowiedz się o ich praktykach bezpieczeństwa i upewnij się, że spełniają standardy Twojej organizacji.
2. Ustal jasne kanały komunikacji: Utrzymuj jasną komunikację z dostawcą SaaS, aby omówić kwestie bezpieczeństwa, zgłaszać wszelkie problemy i być na bieżąco ze zmianami w zakresie bezpieczeństwa.
3. Uczestnicz w programach zwiększania świadomości bezpieczeństwa: Zachęcaj swoich pracowników do odbycia szkolenia z zakresu bezpieczeństwa, które jest dostarczane przez dostawcę SaaS.
4. Przeprowadzajcie wspólne oceny bezpieczeństwa: Współpracujcie, aby identyfikować i ograniczać ryzyko w ramach współdzielonego środowiska.
5. Ustalcie umowę o poziomie usług (SLA): Ustalcie wymagania i obowiązki dotyczące bezpieczeństwa w dokumencie umownym podpisanym przez obie strony.