O que é o modelo de responsabilidade compartilhada na computação em nuvem?

O modelo de responsabilidade compartilhada descreve as funções de segurança especificando os direitos e responsabilidades do provedor de serviços em nuvem e do cliente. Em essência, ele esclarece quem é responsável por cada aspecto da segurança para garantir a proteção eficaz do ambiente de nuvem. As especificidades dessa divisão são um pouco diferentes dependendo do modelo de serviço (SaaS, PaaS, IaaS).

As diferenças entre os três modelos incluem:

• SaaS (Software como Serviço): O provedor lida com a infraestrutura subjacente, o aplicativo e os dados, enquanto o cliente é responsável pelo acesso do usuário e pela classificação dos dados.
• PaaS (Plataforma como Serviço): O provedor é responsável pelo sistema de suporte, incluindo serviço Web, sistema operacional, etc., enquanto o cliente é responsável por todos os aplicativos e dados.
• IaaS (Infraestrutura como serviço): O provedor controla a camada física enquanto o cliente controla os aplicativos, sistemas operacionais e dados.

Aqui estão as responsabilidades detalhadas dos provedores de SaaS:

• Segurança física: Proteger data centers e hardware.
• Network security: Protection against the threats posed by unauthorized access or cyber-attacks.
• Application security: Updating software to fix security weaknesses or bugs to prevent breaches
• Segurança de dados: Encrypting data both when it’s stored and during transmission, and making sure there are backups or disaster recovery.
• Operational security: Detecting threats and responding to security occurrences.

The SaaS customer should consider:

• Segurança do dispositivo: Protegendo o dispositivo que está sendo usado para acessar o aplicativo SaaS.
• Gerenciamento de acesso: Gerenciando as limitações corretas dos usuários e sua capacidade de acessar um aplicativo, os procedimentos para verificar sua identidade e a autorização para acessar o aplicativo.
• Treinamento de Conscientização sobre Segurança: Treinamento dos funcionários sobre medidas de segurança e riscos de phishing.
• Classificação de dados: Identificar dados confidenciais e implementar medidas para protegê-los.
• Resposta a incidentes: Ter um plano de contingência sobre como as ameaças à segurança podem ser tratadas.

Organizações e provedores e fornecedores de Software como Serviço devem:

1. Regularly review the SaaS provider’s security documentation and certifications: Learn about their security practices and make sure that they meet your organization’s standards.
2. Estabeleça canais de comunicação claros: Mantenha uma comunicação clara com seu provedor de SaaS para discutir preocupações de segurança, relatar quaisquer problemas e se manter atualizado sobre as mudanças de segurança.
3. Participe de programas de conscientização de segurança: Incentive seus funcionários a fazerem o treinamento de segurança fornecido pelo provedor de SaaS.
4. Conduza avaliações conjuntas de segurança: Colabore para identificar e reduzir riscos no ambiente compartilhado.
5. Estabeleça um Acordo de Nível de Serviço (SLA): Estabeleça os requisitos e deveres de segurança em um documento contratual assinado por ambas as partes.