30 novembre 2023
Di Claire Hatcher - Direttore regionale delle vendite, Regno Unito, Skyhigh Security
La responsabilità condivisa è un concetto che tutti intuiamo, ma che molte organizzazioni non comprendono appieno quando si tratta di proteggere il cloud. O le strutture che lo spiegano sono relativamente nuove o le aspettative non sono state chiarite abbastanza. Molte organizzazioni, purtroppo, stanno perdendo la palla al balzo, non comprendendo appieno i propri ruoli e le proprie responsabilità, con il risultato finale di lacune e violazioni della sicurezza.
Dato che il 90% dei professionisti IT ha subito una violazione della cybersecurity, il cloud computing, come tutte le tecnologie, non è infallibile. Sebbene i fornitori di servizi cloud (CSP) forniscano alcuni strumenti e servizi di sicurezza avanzati, è chiaro che ci sono dei malintesi da parte dei clienti su ciò che i CSP effettivamente proteggono. Forse un'analogia può aiutare a chiarire chi fa cosa e a dissipare alcuni miti e confusioni.
Come il giusto quadro mentale può prevenire un disastro
Prendiamo in considerazione l'affitto di una proprietà per le vacanze da un mercato online. Il mercato online fornisce l'infrastruttura di base per facilitare la transazione. Lei si mette in contatto con il proprietario dell'immobile attraverso la piattaforma. Il mercato online è responsabile di fornire una piattaforma sicura per condurre la transazione. Il proprietario è responsabile della proprietà stessa. Ad esempio, è tenuto ad installare le serrature alle porte e alle finestre dell'appartamento in affitto - e lei è responsabile dell'utilizzo delle serrature. Non può aspettarsi che il mercato online sia responsabile di garantire che lei non venga derubato durante il soggiorno in una proprietà, soprattutto se non utilizza i meccanismi forniti - in questo caso le serrature - per proteggere la proprietà e i suoi effetti personali.
Un'altra analogia è l'acquisto o il noleggio di attrezzi dal ferramenta. Il venditore potrebbe avere una certa responsabilità se l'utensile si rompe o non funziona, ma spetta sempre a lei indossare una protezione per gli occhi, garantire un ambiente di lavoro sicuro e utilizzare gli strumenti in modo responsabile.
Le organizzazioni devono capire che non è così diverso per loro per quanto riguarda le piattaforme di servizi cloud che utilizzano. I CSP non sono responsabili di ogni violazione della sicurezza. Il cliente ha un ruolo importante da svolgere e condivide la responsabilità di proteggere il proprio ambiente di cloud pubblico.
Entrare nel modello di responsabilità condivisa
I CSP hanno definito chiaramente le loro responsabilità in materia di sicurezza. Amazon Web Services (AWS) e Microsoft Azure hanno entrambi pubblicato i Modelli di Responsabilità Condivisa per la Sicurezza del Cloud per delineare chi è responsabile di cosa. Sebbene i dettagli dipendano dal fatto che il modello sia software-as-a-service (SaaS), infrastructure-as-a-service (IaaS) o platform-as-a-service (PaaS), in genere il cliente aziendale è responsabile di questi aspetti della sicurezza del cloud:
- Sicurezza degli endpoint
- Sicurezza della rete
- Configurazioni
- Gestione dell'identità e dell'accesso (IAM)
- Classificazione dei dati e responsabilità
- Controllo della collaborazione dei dati
- Macchine virtuali
- Sicurezza dei carichi di lavoro e dei container
Il fornitore di servizi cloud, invece, è responsabile di:
- Sicurezza fisica e manutenzione delle proprie strutture, compresa l'alimentazione e la connettività a Internet.
- Infrastruttura host informatica, inclusi server, sistemi operativi, patch, bilanciamento del carico, scalabilità, archiviazione e configurazione dei servizi della piattaforma.
- Controlli di rete e servizi di provider
Tornando alla nostra analogia con le serrature delle porte e delle finestre della casa vacanze, i CSP hanno diverse difese di sicurezza integrate nei loro servizi, ma spetta al cliente implementarle per proteggere le proprie reti, i propri utenti, i propri dati vitali e le proprie applicazioni.
Per comprendere appieno i suoi ruoli e le sue responsabilità come cliente di qualsiasi servizio cloud, è importante esaminare attentamente l'accordo sul livello di servizio (SLA). Non faccia supposizioni. Lo SLA chiarirà esattamente quali sono gli aspetti della sicurezza di cui lei è responsabile e quali sono le funzioni e le politiche che deve configurare correttamente all'inizio per ottenere tutti i vantaggi della piattaforma. In un mondo multi-cloud complesso, questo può essere impegnativo dal punto di vista amministrativo, ma affrontare le sue responsabilità in anticipo per garantire la sicurezza dei suoi dati nel cloud vale pienamente il tempo e l'impegno che richiede.
La sicurezza del cloud è uno sport di squadra e tutti devono portare la palla quando è il loro turno. I modelli di responsabilità condivisa forniscono un quadro per aiutarla a comprendere le regole del gioco.
Per sapere come Skyhigh Security può aiutarla ad adempiere alle sue responsabilità e a proteggere i suoi dati sulle piattaforme cloud pubbliche, visiti il nostro sito web.
Torna ai blog