O que é o modelo de responsabilidade compartilhada na computação em nuvem?

O modelo de responsabilidade compartilhada descreve as obrigações de segurança ao especificar os direitos e responsabilidades tanto do provedor de serviços em nuvem quanto do cliente. Em essência, ele esclarece quem é responsável por cada aspecto da segurança para garantir a proteção eficaz do ambiente de nuvem. As especificidades dessa divisão são um pouco diferentes dependendo do modelo de serviço (SaaS, PaaS, IaaS).

As diferenças entre os três modelos incluem:

• SaaS (Software como Serviço): O provedor lida com a infraestrutura subjacente, o aplicativo e os dados, enquanto o cliente é responsável pelo acesso do usuário e pela classificação dos dados.
• PaaS (Plataforma como Serviço): O provedor é responsável pelo sistema de suporte, incluindo serviço Web, sistema operacional, etc., enquanto o cliente é responsável por todos os aplicativos e dados.
• IaaS (Infraestrutura como serviço): O provedor controla a camada física enquanto o cliente controla os aplicativos, sistemas operacionais e dados.

Aqui estão as responsabilidades detalhadas dos provedores de SaaS:

• Segurança física: Proteja os data centers e o hardware.
• Segurança de rede: Proteção contra as ameaças representadas por acesso não autorizado ou ataques cibernéticos.
• Segurança do aplicativo: Atualização de software para corrigir vulnerabilidades de segurança ou bugs para evitar violações
• Segurança de dados: Criptografar dados durante o armazenamento e a transmissão, e garantir que haja backups ou recuperação de desastres.
• Segurança operacional: Detectar ameaças e responder a ocorrências de segurança.

O cliente SaaS deve considerar:

• Segurança do dispositivo: Proteger o dispositivo que está sendo usado para acessar o aplicativo SaaS.
• Gerenciamento de acesso: Gerenciar as limitações corretas dos usuários e sua capacidade de acessar um aplicativo, os procedimentos para verificar sua identidade e a autorização para acessar o aplicativo.
• Treinamento de conscientização sobre segurança: Treinamento dos funcionários sobre medidas de segurança e riscos de phishing.
• Classificação de dados: Identificar dados confidenciais e implementar medidas para protegê-los.
• Resposta a incidentes: Ter um plano de contingência sobre como as ameaças à segurança podem ser tratadas.

Organizações e provedores e fornecedores de Software como Serviço devem:

1. Revise regularmente a documentação e as certificações de segurança do provedor de SaaS documentação e certificações de segurança: Conheça as práticas de segurança deles e certifique-se de que elas atendem aos padrões da sua organização.
2. Estabeleça canais de comunicação claros: Mantenha uma comunicação clara com seu provedor de SaaS para discutir preocupações de segurança, relatar quaisquer problemas e se manter atualizado sobre as mudanças de segurança.
3. Participe de programas de conscientização sobre segurança: Incentive seus funcionários a fazerem o treinamento de segurança fornecido pelo provedor de SaaS.
4. Realizar avaliações conjuntas de segurança: Colaborar para identificar e reduzir riscos no ambiente compartilhado.
5. Estabelecer um Acordo de Nível de Serviço (SLA): Estabelecer os requisitos e deveres de segurança em um documento contratual assinado por ambas as partes.