Naršymas bendrosios atsakomybės modelyje
Organizacijoms vis dažniau taikant debesų technologiją, ji greitai tapo nauja standartine veiklos procedūra visame pasaulyje, formuojančia jų procesus. Tačiau šį perėjimą prie debesijos paslaugų lydi skirtingi kibernetinio saugumo iššūkiai, į kuriuos reikia atkreipti ypatingą dėmesį.
Pagrindinis elementas sprendžiant šiuos iššūkius yra bendros atsakomybės modelis. Šis modelis apibrėžia saugos vaidmenų pasiskirstymą tarp debesijos paslaugų teikėjo ir jo vartotojų, garantuojantį vieningą požiūrį į apsaugą nuo kibernetinių grėsmių.
Kas yra bendros atsakomybės modelis?
Pasidalintos atsakomybės modelis sudaro pagrindą bendrai debesų kompiuterijos saugumo strategijai.
Siekdamas sustiprinti debesų aplinkos saugumą, bendros atsakomybės modelis pasisako už partnerystę visose saugumo srityse. Jame nustatyta, kad saugi debesų infrastruktūra yra „abipusės atskaitomybės“ rezultatas, kai abi šalys atlieka neatskiriamą vaidmenį saugumo procese.
Tai padeda pabrėžti sinergetinių santykių svarbą kibernetinio saugumo pastangose, paskirstant atskiras pareigas CPT ir jų klientams siekiant užtikrinti visišką apsaugą. Saugumo supratimas ir šių gairių laikymasis yra labai svarbūs siekiant saugios ir patikimos debesies saugos geriausios praktikos.
Naudinga analogija yra galvoti apie buto nuomą. Nuomotojas (CSP) yra atsakingas už:
- Pastato konstrukcinio vientisumo išlaikymas
- Bendrųjų patalpų apsauga
- Bendros infrastruktūros valdymas
Tuo tarpu nuomininkas (debesų klientas) yra atsakingas už savo skaitmeninės erdvės apsaugą debesų aplinkoje. Tai apima:
- Naudotojų prieigos ir leidimų valdymas
- Savo programų ir duomenų apsauga
- Prireikus papildomų saugumo priemonių įgyvendinimas.
Kaip nuomininkas valdo, kas įeina į jo butą, debesies klientas taip pat kontroliuoja prieigą prie savo debesies išteklių. Tai apima kruopštų vartotojo aprūpinimą, veiklos stebėjimą ir saugią slaptažodžių politiką.
Abiem atvejais nuomotojas ir nuomininkas turi dirbti kartu, kad užtikrintų saugumą ir saugumą. Tas pats pasakytina ir apie bendros atsakomybės modelį debesyje.
CSP lygties pusė
Pagal pasidalijimo atsakomybės modelį CSP tenka didelė dalis saugos darbo krūvio. Pagrindinės jų užduotys yra pagrindinės infrastruktūros, kuria grindžiama debesų aplinka, apsauga. Konkrečiai, jų pareigos apima:
Fizinis saugumas
Sertifikavimo paslaugų teikėjai daug investuoja kurdami daugiasluoksnį saugumo metodą, kad apsaugotų savo duomenų centrus nuo daugybės galimų grėsmių, įskaitant neteisėtą fizinę prieigą, vagystes, stichines nelaimes ir elektros energijos tiekimo nutraukimus.
Ši visapusiška strategija apima griežtų perimetro apsaugos priemonių, tokių kaip tvoros, apsauginiai vartai ar stebėjimo kameros, palaikymą, apribojant prieigą tik įgaliotiems darbuotojams.
Tinklo sauga
Debesijos paslaugų teikėjai yra atsakingi už saugios tinklo aplinkos, kuri efektyviai skaido klientų duomenis, kūrimą ir taiko griežtas duomenų apsaugos priemones tiek perdavimo metu, tiek stacionariai.
Pagrindiniai jų saugumo arsenalo komponentai yra ugniasienės, įsibrovimų aptikimo ir prevencijos sistemos (IDS/IPS) ir visapusiški duomenų šifravimo būdai.
Saugus aparatūra ir virtualizavimas
Debesijos paslaugų teikėjai imasi itin svarbios užduoties – užtikrinti aparatinės įrangos pagrindą debesyje, įskaitant fizinius serverius, saugojimo sprendimus ir tinklo infrastruktūrą.
Siekdami apsaugoti šiuos gyvybiškai svarbius komponentus, CSP laikosi griežtų pataisymo ir atnaujinimo procedūrų, kad sumažintų operacinių sistemų pažeidžiamumą. Jie taip pat taiko geriausią praktiką visų aparatinės įrangos elementų saugos konfigūracijose, efektyviai sumažindami galimus išnaudojimo taškus.
Atsakomybės skirtumai pagal paslaugų modelį
Konkreti CSP pareigų apimtis gali šiek tiek skirtis priklausomai nuo pasirinkto debesies paslaugos modelio:
- Infrastruktūra kaip paslauga (IaaS): Infrastruktūros kaip paslaugos (IaaS) formatuose debesijos paslaugų teikėjai prisiima didelę įtaką esminiams infrastruktūros komponentams, pvz., fiziniams duomenų centrams, tinklo sistemoms ir aparatūros vienetams. Ši išplėstinė priežiūra reiškia didesnius saugumo įgaliojimus, reikalaujančius, kad CSP įgyvendintų griežtas fizinio saugumo, tinklo apsaugos ir aparatinės įrangos bei virtualizacijos išteklių apsaugos priemones.
- Platforma kaip paslauga (PaaS): Naudojant platformą kaip paslaugą, atsakomybė už saugumą yra šiek tiek padalinta. Klientai gali savarankiškai valdyti savo programas, įskaitant jų apsaugą. Tuo tarpu paslaugos teikėjas yra atsakingas už platformos ir pagrindinės infrastruktūros apsaugą.
- Programinė įranga kaip paslauga (SaaS): Taikant programinės įrangos kaip paslaugos metodą dauguma saugos pareigų paskiriama debesų paslaugų teikėjui dėl riboto kliento infrastruktūros ir programų kodavimo valdymo. CSP turi užtikrinti infrastruktūros, platformos ir visos SaaS programos saugumą.
Organizacijos, kaip debesies kliento, atsakomybė
Nors CSP vaidina gyvybiškai svarbų vaidmenį debesų saugoje, bendros atsakomybės modelis klientui vis tiek kelia didelių įsipareigojimų.
Pagrindinės debesijos klientų atsakomybės sritys yra šios:
Duomenų saugumas
Labai svarbu užtikrinti jūsų neskelbtinos informacijos saugumą. Kad išvengtumėte neteisėtos prieigos, naudokite stiprius duomenų šifravimo metodus, nesvarbu, ar jie perduodami, ar saugomi. Suskirstydami duomenis į kategorijas pagal jų jautrumą pagal klasifikavimo politiką, galite veiksmingai pritaikyti savo saugos priemones.
Be to, norint apsaugoti duomenis nuo pažeidimų ar praradimų, labai svarbu reguliariai kurti atsargines kopijas ir atlikti pratimus ant stalo. Nors CPT gali teikti atsarginius sprendimus, pagrindinė pareiga apsaugoti neskelbtinus duomenis paprastai tenka debesijos paslaugų klientui.
Tapatybės ir prieigos valdymas (IAM)
Labai svarbu valdyti, kas turi prieigą prie debesies paslaugų sprendimų. Įdiekite griežtus slaptažodžio reikalavimus, reikalaukite kelių veiksnių autentifikavimo (MFA) ir laikykitės mažiausių privilegijų principo. Šis principas užtikrina, kad vartotojai gautų tik jų pareigoms būtinas prieigos teises.
Periodiškai iš naujo įvertinkite ir atimkite prieigą iš naudotojų, kurie nebėra organizacijos arba tų, kurie pakeitė vaidmenis, kad sumažintumėte galimas grėsmes.
Programos sauga
Debesyje priglobtoms programoms saugių kodavimo metodų taikymas yra nediskutuotinas. Apsaugokite savo programas nuo įprastų saugos grėsmių, pvz., SQL injekcijos ir scenarijų įvairiose svetainėse, įterpdami saugaus kodavimo praktiką ir atlikdami įprastinius saugos nuskaitymus.
Taip pat labai svarbu nedelsiant atnaujinti programas ir jų pagrindines operacines sistemas, kad būtų pašalintos visos spragos, kurios galėtų būti įsilaužėlių įėjimo taškai.
Operacinės sistemos konfigūracija
IaaS modelyje arba situacijose, kai galite valdyti operacines sistemas, veikiančias debesyje esančiose virtualiose mašinose, atsakomybė už saugią operacinės sistemos konfigūraciją dažnai tenka klientui. Sustiprinkite operacines sistemas išjungdami nereikalingas paslaugas, pašalindami numatytąsias konfigūracijas ir laikydamiesi pramonės standartų, kad sumažintumėte atakų paviršių.
Atitiktis
Už tai, kad būtų laikomasi konkrečios pramonės šakos ar reguliavimo atitikties standartų (pvz., PCI DSS mokėjimo kortelių duomenims, HIPAA sveikatos priežiūros duomenims, GDPR asmens duomenims) išlieka organizacijos, kaip debesijos klientų, pareiga.
Priklausomai nuo organizacijos ir pramonės, poreikis įrodyti atitiktį gali apimti ISO auditą arba SOC auditą, kuris padeda patvirtinti, kad buvo įdiegtas tinkamas saugos lygis. Supraskite su jūsų organizacija susijusius atitikties reikalavimus ir atitinkamai suderinkite debesies diegimą.
Partnerystės ir bendradarbiavimo svarba
Svarbiausias debesų saugos veiksmingumo veiksnys yra bendradarbiavimo ryšys tarp debesijos paslaugų teikėjų ir jų klientų. Atskiromis pastangomis nepavyksta veiksmingai apsaugoti debesų aplinkos. Štai kodėl atviras bendravimas ir aiškus skaidrumas yra labai svarbūs, kad abi šalys aiškiai suprastų savo specifinius vaidmenis ir atsakomybę.
Ši bendradarbiavimo pozicija, kartu su aktyviu dalijimusi įžvalgomis apie saugumo riziką, pažeidžiamumą ir incidentus, žymiai pagerina kolektyvinį pajėgumą tobulinti debesies saugos sistemą.
Sertifikavimo paslaugų teikėjai paprastai teikia išsamią dokumentaciją, saugos vadovus ir geriausią praktiką, kad palaikytų savo klientus. Pasinaudokite šiais ištekliais, kad sužinotumėte apie savo CSP saugos praktiką ir integruotumėte saugos priemones pagal jų nurodymus. Puoselėdami bendradarbiavimo partnerystę ir aktyvų įsitraukimą, jūs ir jūsų CSP galite padidinti debesų saugumą besikeičiančioje kibernetinės grėsmės aplinkoje.
Pradėkite kurti saugesnę debesų aplinką
Bendrosios atsakomybės modelis yra svarbus vadovas, padedantis efektyviai apsaugoti jūsų duomenis debesyje. Labai svarbu suprasti jūsų ir jūsų CSP pareigų apibrėžimą, kad būtų galima sukurti atsparaus saugumo metodo pagrindus.
Atminkite, kad debesų saugos užtikrinimas yra nuolatinės pastangos, todėl reikia išlikti budriems dėl nuolat besikeičiančios grėsmės ir atitinkamai pritaikyti saugos protokolus. Laikydamiesi rekomenduojamos praktikos, nurodytos jūsų CSP, ir prireikus integruodami papildomas saugos priemones, galite sukurti saugesnę debesų aplinką tiek savo organizacijai, tiek jos klientams.
Apie Autorius
Nazy Fouladirad yra „Tevora“, pasaulinės pirmaujančios kibernetinio saugumo konsultacinės įmonės, prezidentas ir COO. Savo karjerą ji paskyrė saugesnės verslo ir internetinės aplinkos kūrimui organizacijoms visoje šalyje ir pasaulyje. Ji aistringai tarnauja savo bendruomenei ir yra vietinės ne pelno organizacijos valdybos narė.