Connect with us

Ajatusjohtajat

Kamppailetko pilviturvallisuuden kanssa? Miten jaettu vastuumalli voi auttaa

mm
Published
Updated

Siirtymällä toiminnan osa-alueet pilveen voidaan tehdä suuri askel eteenpäin liiketoiminnassa. Se mahdollistaa sovellusten ja palvelujen nopean skaalauksen ja pitää organisaation joustavan markkinoiden muuttuvien vaatimusten mukaisesti.

Pilvipalvelujen lisääntyneen käytön myötä voi kuitenkin lisääntyä myös sekaannusta siitä, kuka on vastuussa tietoturvan hallinnasta. Valitettavasti monet yritykset olettavat, että kun asiakastiedot ovat heidän käsistään, he eivät ole vastuussa siitä, onko niitä suojattu. Tämä on kuitenkin vaarallinen oletus.

Jaettu vastuumalli (SRM) otettiin käyttöön auttamaan yrityksiä ja pilvipalveluntarjoajia piirtämään tarkemmat rajat turvallisuuden vastuulla digitaalisissa ympäristöissä. Alla selitetään, miten tämä malli on rakennettu ja miten se voi auttaa yrityksiä vahvistamaan turvallisuusasemaa.

Mikä on jaettu vastuumalli (SRM)?

On monia syitä, miksi yritykset päättävät siirtää osan tai koko liiketoimintansa pilveen. Palvelimien ja tietokantojen sekä muiden infrastruktuurielementtien manuaalinen konfigurointi voi auttaa yrityksiä vähentämään kustannuksia ja vähentämään kuormitusta sisäisillä tiimeillä. Yritykset kuitenkin usein unohtavat, että “hallinnan” siirtäminen tälle infrastruktuurille ei tarkoita “vastuun” siirtämistä tallennettujen tietojen turvallisuudesta.

SRM jakaa vastuun pilvipalveluntarjoajan (CSP) ja sen asiakkaiden välillä. Se määrittelee, mitkä turvallisuuden osa-alueet kuuluvat kullekin osapuolelle ja miten turvallisuustoimenpiteitä tulisi hallinnoida ja toteuttaa kummallakin puolella suhdetta.

Ymmärtäminen “pilvestä” vs. “pilveen”

SRM perustuu säännöksiin, jotka liittyvät kahteen tärkeään termeen: pilvestä ja pilveen.

Kun puhumme pilvestä, puhumme siitä, mitä CSP:t omistavat. Tässä tapauksessa voidaan ajatella CSP: tä vuokranantajana asuinrakennuksessa. He vastaavat koko rakennuksen turvallisuudesta, mukaan lukien erilaiset turvallisuusvarustukset, turvalliset portit ja sisäänkäyntiprotokollat sekä varmistavat, että avainpalvelut toimivat oikein, kuten vesijohto- ja sähköjärjestelmät.

Pilviympäristöissä tämä tarkoittaa verkkolaitteiden asentamista ja ylläpitämistä sekä perusservauksen tarpeiden hoitamista, jotta ympäristöt toimivat sujuvasti.

Pilvi-asiakkaana olet vastuussa pilveen liittyvistä elementeistä. Esimerkiksi, jos olisit vuokralainen rakennuksessa ja unohtaisit lukituksen oven auki, ja joku varastaisi henkilökohtaisia tavaroita, vuokranantaja ei välttämättä olisi vastuussa.

Jos tallennat tietoja pilveen, sinulla on aina jokin vastuu niiden turvallisuudesta. Vaikka tämä ei välttämättä tarkoita, että KAikki vastuu on sinun turvata niitä, sinä olet vastuussa asioista, kuten Identiteetin ja pääsyoikeuksien hallinta (IAM), sovellusturvallisuus ja verkon kovennus.

Liukuvan asteikon vastuu

Pilviympäristöjen dynaamisen luonteen ja niiden suhteiden vuoksi CSP: n kanssa SRM toimii liukuvalla asteikolla, jonka mukaan vastuut muuttuvat jonkin verran riippuen käytössä olevasta työsuhteesta. Alla on kolme yleistä pilvimallia ja miten ne eroavat toisistaan:

  • Infrastruktuuripalvelu (IaaS): Tämä malli jättää CSP: n vastuulle tietyn perustavanlaatuisten pilvikomponenttien turvallisuuden. Tähän kuuluvat fyysiset tietokeskukset, palvelimet, tallennuslaitteet ja virtualisointikerros. Pilvi-asiakkaat ovat vastuussa kaikista muista, mukaan lukien vieraan käyttöjärjestelmän (OS) turvallisuuden, kaiken välikäden ja suoritusaikojen hallinnan sekä sovelluskohtaisen koodin ja siinä olevien tietojen suojauksen.
  • Alustapalvelu (PaaS): Tämä malli laajentaa CSP: n vastuuta, joka ottaa haltuun käyttöjärjestelmien, tietokantajärjestelmien tai suoritusaikojen hallinnan. He myös huolehtivat alustan ylläpidosta. Yrityksille tämä voi vähentää merkittävästi infrastruktuurin hallinnan taakkaa ja mahdollistaa keskittymisen sovellusten hallintaan ja turvallisuuteen.
  • Ohjelmistopalvelu (SaaS): Tämä malli on pilvikäyttäjille kätevin, koska se siirtää koko infrastruktuurin vastuun CSP: lle. Tämä ei kuitenkaan tarkoita, että turvallisuuden vastuu siirtyy kokonaan. Pilvikäyttäjät ovat edelleen vastuussa käyttäjien pääsyoikeuksien, lupien ja turvallisuusasetusten hallinnasta järjestelmänvalvojatasolla.

Miksi jaetun vastuumallin ymmärtäminen on tärkeää

Epoistamalla epäselvyyden

Vaikka monet organisaatiot pelkäävät, että heidän suurin uhka pilviturvallisuudelle on kyberhyökkäys, viestintävirheet ja väärät oletukset pilvisuhteissa ovat myös huolenaihe.

Related Topics:
mm

n presidentti ja COO, joka on johtava kyberTurvallisuuden konsultointi. Hän on omistautunut uransa luomiseen turvallisempaa liiketoimintaa ja online-ympäristöä organisaatioille ympäri maata ja maailmaa. Hän on intohimoinen palvelemaan yhteisöään ja toimii paikallisen voittoa tavoittelemattoman organisaation hallituksen jäsenenä.