Що таке модель розподіленої відповідальності в хмарних обчисленнях?

Модель розподіленої відповідальності визначає обов'язки з безпеки, вказуючи права та обов'язки як постачальника хмарних послуг, так і клієнта. По суті, вона уточнює, хто відповідає за кожен аспект безпеки, щоб забезпечити ефективний захист хмарного середовища. Специфіка цього розподілу трохи відрізняється залежно від моделі обслуговування (SaaS, PaaS, IaaS).

Відмінності між трьома моделями включають:

• SaaS (Програмне забезпечення як послуга): Постачальник обробляє базову інфраструктуру, програму та дані, тоді як клієнт відповідає за доступ користувачів і класифікацію даних.
• PaaS (Платформа як послуга): Постачальник відповідає за підтримку системи, включаючи веб-сервіс, операційну систему тощо, тоді як клієнт відповідає за всі програми та дані.
• IaaS (Інфраструктура як послуга): Постачальник контролює фізичний рівень, тоді як клієнт контролює програми, операційні системи та дані.

Ось детальний перелік обов'язків постачальників SaaS:

• Фізична безпека: Захист центрів обробки даних та обладнання.
• Безпека мережі: Захист від загроз, що виникають через несанкціонований доступ або кібератаки.
• Безпека додатків: Оновлення програмного забезпечення для усунення вразливостей безпеки або помилок для запобігання порушенням
• Безпека даних: Шифрування даних як під час зберігання, так і під час передавання, а також забезпечення наявності резервних копій або відновлення після аварій.
• Операційна безпека: Виявлення загроз і реагування на випадки порушення безпеки.

Клієнт SaaS повинен враховувати:

• Безпека пристрою: Захист пристрою, який використовується для доступу до програми SaaS.
• Управління доступом: Управління належними обмеженнями користувачів та їхньою можливістю отримувати доступ до програми, процедурами перевірки їхньої особи та дозволом на доступ до програми.
• Навчання з обізнаності щодо безпеки: Навчання співробітників щодо заходів безпеки та ризиків фішингу.
• Класифікація даних: Виявлення конфіденційних даних та вжиття заходів для їх захисту.
• Реагування на інциденти: Мати план дій на випадок, як можна впоратися з загрозами безпеці.

Організації та постачальники послуг програмного забезпечення як послуга повинні:

1. Регулярно переглядайте документація та сертифікати безпеки: Дізнайтеся про їхні практики безпеки та переконайтеся, що вони відповідають стандартам вашої організації.
2. Встановіть чіткі канали зв'язку: Підтримуйте чітке спілкування з вашим постачальником SaaS, щоб обговорити проблеми безпеки, повідомляти про будь-які проблеми та залишатися в курсі змін безпеки.
3. Беріть участь у програмах підвищення обізнаності про безпеку: Заохочуйте своїх співробітників проходити навчання з безпеки, яке надається постачальником SaaS.
4. Проводьте спільні оцінки безпеки: Співпрацюйте, щоб виявити та зменшити ризики у спільному середовищі.
5. Укладіть угоду про рівень обслуговування (SLA): Встановіть вимоги та обов’язки щодо безпеки у контрактному документі, підписаному обома сторонами.