La sicurezza di rete è una responsabilità condivisa
Indice dei contenuti
Che cos'è il modello di responsabilità condivisa?
Il modello di responsabilità condivisa è un quadro nel cloud computing che divide le responsabilità di sicurezza e conformità tra il fornitore di servizi cloud (CSP) e il cliente. Il modello assicura che le organizzazioni e i CSP contribuiscano attivamente alla sicurezza dell'infrastruttura cloud e al mantenimento della conformità. Secondo il modello di responsabilità condivisa:
- Il CSP è responsabile della sicurezza del cloud.
- Il cliente è responsabile della sicurezza nel cloud.
Il modello di responsabilità condivisa spiegato
Il modello di responsabilità condivisa assicura che le organizzazioni e i CSP contribuiscano attivamente alla sicurezza dell'infrastruttura cloud e al mantenimento della conformità. Comprendendo e aderendo al modello di responsabilità condivisa, sia il CSP che il cliente possono collaborare per creare un ambiente cloud sicuro, mitigando efficacemente i rischi e garantendo la conformità alle normative e alle best practice del settore.
Secondo questo modello, il CSP è responsabile della sicurezza del cloud, che include la sicurezza dell'infrastruttura fisica, della rete e dell'hardware. Assicurano che i servizi cloud sottostanti, come calcolo, archiviazione e database, siano protetti dalle minacce e mantengano un ambiente sicuro e affidabile per i loro clienti. Il CSP fornisce anche strumenti e funzioni che consentono ai clienti di gestire le loro configurazioni di sicurezza.
Dall'altro lato del rapporto, il cliente è responsabile della sicurezza nel cloud, che comporta la protezione dei dati, delle applicazioni e dei carichi di lavoro che distribuisce nell'ambiente cloud. Questo include attività come la crittografia dei dati, la gestione degli accessi, il patching e l'aggiornamento software, e la configurazione delle impostazioni di sicurezza in base alle loro esigenze specifiche e ai requisiti di conformità.
Le specifiche del modello di responsabilità condivisa possono variare a seconda del modello di servizio cloud in uso, come infrastruttura come servizio (IaaS), piattaforma come servizio (PaaS), o software come servizio (SaaS). In un modello IaaS, il cliente si assume maggiori responsabilità in materia di sicurezza, come la gestione del sistema operativo e delle applicazioni. Al contrario, il CSP gestisce più responsabilità in un modello SaaS, compresa la sicurezza a livello di applicazione.
Le preoccupazioni sull'esposizione dei dati hanno reso la sicurezza del cloud una priorità. La sfida consiste nel bilanciare l'esigenza di agilità di un'organizzazione con la necessità di migliorare la sicurezza delle applicazioni e dei dati nel passaggio tra i vari cloud. Ottenere visibilità e combattere i tentativi di esfiltrazione dei dati - sia da sedi esterne che attraverso attacchi laterali - è imperativo in tutte le sedi in cui risiedono applicazioni e dati.
Diversi team all'interno di un'organizzazione potrebbero essere responsabili della sicurezza del cloud: il team di rete, il team addetti alla sicurezza, il team delle applicazioni, il team della conformità o il team dell'infrastruttura. Tuttavia, la sicurezza del cloud è anche una responsabilità condivisa tra l'organizzazione più ampia e il suo fornitore di cloud. Il modo esatto in cui questo si rompe varia a seconda della natura dell'offerta cloud:
- Cloud privato: Le organizzazioni sono responsabili di tutti gli aspetti della sicurezza di un cloud privato, perché è ospitato nel centro dati dell'organizzazione stessa. Questo include la rete fisica, l'infrastruttura, l'hypervisor, la rete virtuale, i sistemi operativi, i firewall, la configurazione dei servizi, la gestione delle identità e degli accessi, ecc. L'organizzazione è anche proprietaria dei dati e della loro sicurezza.
- Pubblico: Nei cloud pubblici, come Amazon Web Services ( AWS®) o Microsoft Azure®, il fornitore di cloud possiede l'infrastruttura, la rete fisica e l'hypervisor. Il cliente è ancora proprietario del carico di lavoro OS, delle applicazioni, della rete virtuale, dell'accesso al proprio ambiente/account tenant e dei dati.
- SaaS: I fornitori di SaaS sono i principali responsabili della sicurezza della loro piattaforma, compresa la sicurezza fisica, dell'infrastruttura e delle applicazioni. Questi fornitori non possiedono i dati dei clienti e non si assumono la responsabilità di come i clienti utilizzano le applicazioni. In quanto tale, il cliente è responsabile di prevenire o ridurre al minimo il rischio di esfiltrazione dei dati, esposizione accidentale o inserimento di malware.
Quando le organizzazioni passano dai cloud privati ai cloud pubblici o alle applicazioni SaaS, possono affidarsi ai loro fornitori per proteggere i dati, le applicazioni e l'infrastruttura. Indipendentemente dalle misure di sicurezza della piattaforma, l'organizzazione mantiene la responsabilità della sicurezza dei propri dati.
Sicurezza nel cloud
Per abilitare le applicazioni in modo sicuro, la sicurezza IT deve essere certa che i fornitori di cloud abbiano implementato le misure di sicurezza appropriate per mantenere le applicazioni e i dati al sicuro. Per compensare le carenze dei fornitori cloud in termini di sicurezza, le organizzazioni devono anche disporre degli strumenti giusti per gestire e proteggere i rischi in modo efficace. Questi strumenti devono fornire:
- Visibilità dell'attività all'interno delle applicazioni SaaS
- Analisi dettagliate sull'utilizzo per prevenire rischi di dati e violazioni della conformità.
- Controlli dei criteri consapevoli del contesto per guidare l'applicazione e la quarantena in caso di violazioni.
- Intelligence sulle minacce in tempo reale sulle minacce conosciute e rilevamento di minacce sconosciute per prevenire nuovi punti di inserimento di malware.
FAQ sulla responsabilità condivisa
La responsabilità condivisa si riferisce all'approccio collaborativo tra il CSP e il cliente per mantenere un ambiente cloud sicuro e conforme. Ogni parte si assume responsabilità specifiche in materia di sicurezza, a seconda del modello di servizio cloud (IaaS, PaaS o SaaS), per mitigare i rischi, proteggere i dati e aderire alle normative del settore.
I principi della responsabilità condivisa prevedono una chiara comprensione dei doveri di ciascuna parte, una collaborazione attiva e una comunicazione continua. Il CSP protegge l'infrastruttura, la rete e l'hardware sottostanti, mentre il cliente protegge i dati, le applicazioni e i carichi di lavoro distribuiti nel cloud. L'adesione a questi principi assicura una solida postura di sicurezza e aiuta a prevenire potenziali vulnerabilità negli ambienti cloud.
L'obiettivo principale della responsabilità condivisa è stabilire un approccio collaborativo e completo alla sicurezza del cloud, sfruttando le competenze e le risorse sia del CSP che del cliente. Distribuendo le responsabilità in materia di sicurezza, la responsabilità condivisa mira a migliorare la postura complessiva della sicurezza, a ridurre al minimo le vulnerabilità e a garantire la conformità alle normative di settore.
La comprensione del modello di responsabilità condivisa è fondamentale per proteggere efficacemente gli ambienti cloud e mantenere la conformità. Aiuta le organizzazioni a identificare i loro compiti specifici in materia di sicurezza, ad allocare le risorse in modo efficiente e a implementare controlli di sicurezza adeguati. Una chiara comprensione del modello favorisce la collaborazione tra il CSP e il cliente, assicurando che entrambe le parti lavorino insieme per creare un ambiente cloud sicuro e conforme, mitigando i rischi e affrontando le potenziali minacce.
