Struggling with Cloud Security? How the Shared Responsibility Model Can Help

Overgangen av operative elementer til skyen kan være et stort skritt fremover for bedrifter. Dette gjør det mulig for dem å raskt skalerer sine applikasjoner og tjenester samtidig som de holder organisasjonen smidig i respons til skiftende markedskrav.

Men økt skytjeneste kan også føre til en viss forvirring når det gjelder hvem som er ansvarlig for å håndtere datasikkerhet. Dessverre antar mange bedrifter at når kundedata er utenfor deres hender, er de ikke ansvarlige for om det er beskyttet eller ikke. Men dette er en farlig antagelse å gjøre.

Den Shared Responsibility Model (SRM) ble introdusert for å hjelpe bedrifter og deres skytjenesteleverandører å tegne mer presise linjer når det gjelder sikkerhetsansvar over digitale miljøer. Underneath vil vi gi en tydeligere bilde av hvordan denne modellen er konstruert og hvordan den kan hjelpe deg å styrke sikkerhetsposturen til bedriftene dine.

Hva er Shared Responsibility Model (SRM)?

Det finnes mange grunner til at bedrifter bestemmer seg for å flytte deler eller hele sine forretningsoperasjoner til skyen. Ikke å måtte konfigurere servere og databaser eller andre infrastrukturkomponenter manuelt kan hjelpe selskaper å redusere sine omkostninger og lettet belastningen på deres interne team. Men bedrifter glemmer av og til at å laste av “håndtering” av denne infrastrukturen ikke betyr å laste av “ansvar” bak dataene som lagres der.

SRM skiller ansvar mellom en skytjenesteleverandør (CSP) og bedriftene de samarbeider med. Den omfatter i hovedsak hvilke aspekter av sikkerhet som tilhører hver part og hvordan sikkerhetstiltak skal håndteres og implementeres på hver side av forholdet.

Forstå “Av skyen” vs. “I skyen”

SRM er bygget rundt bestemmelser omkring to nøkkelbegreper: AV skyen og I skyen.

Når vi snakker om krav AV skyen, snakker vi om hva CSP-er tar eierskap over. Her kan du tenke på en CSP som en eiendomsforvalter i en leiegård. De er ansvarlige for den overordnede sikkerheten til bygningene, som inkluderer forskjellige sikkerhetstiltak, sikre innganger og inn-/utgangsprotokoller, og sikre at nøkkeltillegg fungerer som de skal, som vann og elektriske systemer.

I skyemiljøer betyr dette å installere og vedlikeholde all nettverksutstyr og å håndtere underliggende servicetiltak for å holde miljøene i gang.

Som en skykunde er du ansvarlig for elementene I skyen. For eksempel, hvis du var en leietager i en bygning og uforvarende lot døren stå åpen, og noen stjal personlige gjenstander, ville eiendomsforvalteren ikke nødvendigvis være ansvarlig.

Hvis du lagrer informasjon i skyen, har du alltid et visst ansvar for å holde den sikker. Selv om dette ikke nødvendigvis betyr at ALLE ansvar hviler på deg for å holde den trygg, er du likevel ansvarlig for ting som Identitet- og tilgangshåndtering (IAM), applikasjonssikkerhet og nettverksharding.

Det glidende ansvarsskalaen

På grunn av den dynamiske naturen til de fleste skyemiljøer og deres forhold til CSP-er, opererer SRM på en glidende skala, med ansvar som skifter i noen grad basert på type samarbeidsforhold som er på plass. Under er de tre vanlige skymodellene og hvordan de forskjeller seg fra hverandre:

• Infrastructure as a Service (IaaS): Denne modellen lar CSP-er være ansvarlige for å sikre visse grunnleggende skykomponenter. Dette inkluderer fysiske datacenter, servere, lagringsutstyr og virtualiseringssjiktet. Skykunder er ansvarlige for alt over dette, som inkluderer å sikre gjestoperatingssystemet (OS), håndtering av all middleware og kjøretid og beskytte applikasjonskoden og dataene som er inneholdt i den.
• Platform as a Service (PaaS): Denne modellen utvider flere ansvar til CSP-en, som tar over håndtering av operativsystemer, databasesystemer eller kjøretidsmiljøer. De vil også ta vare på vedlikehold av plattformen selv. For bedrifter kan dette betydelig redusere byrden av infrastrukturhåndtering samtidig som de kan fokusere mer på å håndtere og sikre applikasjoner.
• Software as a Service (SaaS): Denne modellen er den mest hånd-av-formatet for skybrukere, da den overfører fullt ansvar for infrastruktur til CSP-en. Men dette betyr ikke at sikkerhetsansvaret fullstendig overføres. Skybrukere er fortsatt ansvarlige for å håndtere brukertilgang, tillatelser og sikkerhetinnstillinger på administratornivå.

Hvorfor forstå SRM er viktig

Eliminerer tvetydighet

Selv om mange organisasjoner er bekymret for at deres største trussel mot skytjenestesikkerhet er en cyberangriper, er misforståelser og misforståelser i skyforhold også en bekymring.

Hvis CSP-er og deres kunder feilaktig antar at den andre håndterer visse sikkerhetstiltak, kan det føre til alvorlige sårbarheter for kundedata. Forståelse av SRM hjelper til å eliminere denne tvetydigheten, og gir begge parter mer transparens når de lager servicenivåavtaler (SLA-er) og følger gjennom med gjensidige krav.

Unngår over-delegering

Mange bedrifter som er nye i skyemiljøer misforstår hvordan ansvar fungerer i skyen. Fordi de betaler for en “tjeneste”, kan det ofte antas at en CSP håndterer alt på vegne av bedriften.

Men når det gjelder skytjenestesikkerhet, ønsker du ikke å falle i fellen med over-delegering, spesielt når det gjelder administrative sikkerhetskontroller som CSP-en har satt opp. SRM hjelper til å holde disse ansvar i perspektiv og holde bedrifter aktivt engasjert i å håndheve datavernpolitikker.

Fyller kompatibilitetsgap

Forståelse av sikkerhetsstandarder for overholdelse kan noen ganger bli uklare for bedrifter som går inn i skyemiljøer. Selv om alle CSP-er har ansvar når det gjelder å følge bestemte overholdelsesrammer, har også skybrukerne ansvar i dette området.

SRM omfatter ansvar som CSP-er har når det gjelder infrastrukturhåndtering, samtidig som det holder skybrukerne ansvarlige for hvordan applikasjoner og tjenester bygges og kjøres, særlig når det gjelder lagring og tilgang til kundedata.

Hvordan Shared Responsibility Model kan hjelpe til å forbedre sikkerhetsposturen din

Klarer eierskap og forebygger misforståelser

Hver sikkerhetstiltak i både dine på- og utenfor-premisemiljøer bør ha spesifikt sikkerhetsansvar tydelig etablert. SRM gjør det mye enklere å fjerne eventuelle gråsoner rundt hvem som håndterer hvilket ansvar og lar deg utvikle konsistente styre- og kontrollmekanismer internt og med CSP-er.

Å ha formell dokumentasjon rundt sikkerhetsforberedhet hjelper til å redusere antallet sårbarheter som kan utnyttes over koblete applikasjoner og tjenester, og eliminerer antakelsesbasert sikkerhetsplanlegging.

Optimerer interne sikkerhetsresurser

Forståelsen av rollen som skytjenesteleverandører spiller i sikkerhetsinfrastrukturhåndtering gjør det enklere å holde dine sikkerhetsteam fokusert på områdene som betyr mest for bedriften.

Dette lar deg overføre ressurskrevende prosesser som serveroppdatering eller databasehåndtering til din CSP, og lar dine team fokusere mer på å sikre applikasjonskoding, designe og implementere nye brukertilgangspolitikker.

Påtvinger datasentrering og identitetssentrering

Skyinfrastrukturkomponenter kan alltid erstattes under en datatyveri, men din finansielle stabilitet og bedriftsrykte kan ta uopprettelige skader under samme hendelse.

Å anvende SRM hjelper bedriften å plassere mindre avhengighet av en CSP til å holde ting trygge og mer tid på å utvikle viktige sikkerhetsprinsipper som kan anvendes på administratorer og andre nøkkelstakeholdere i organisasjonen.

Påtvinger sikkerhetsbasert konfigurasjon

De fleste nye skytjenester tilbyr flere konfigurasjonsinnstillinger for skytjenestesikkerhet. Men manglende kunnskap om skykonfigurasjonssårbarheter kan føre til betydelige sikkerhetsrisiko i fremtiden.

SRM hjelper bedriften å fokusere på sikkerhetsbasert konfigurasjon, prioriterer bransjeoverholdelse over hastighet og praktiskhet. Mange sikkerhetsrammer er nå bygget rundt SRM-politikker, og sikrer at nye virtuelle maskiner eller databasekonfigurasjoner møter strenge krav før distribusjon.

I tillegg er eksterne penetreringstesttjenester designet for å forstå kravene til SRM samtidig som de kjører aktive sårbarhetstester for å se hvordan bedriften møter sine tilhørende ansvar. Å anvende disse tjenestene kan hjelpe organisasjoner å stressteste sine sikkerhetsgrupper, IAM-politikker og datakrypteringsmetoder for å sikre at de møter beste bransjestandarder.

Øker synlighet gjennom auditlogging

Fordi SRM vanligvis innebærer samarbeid og transparens mellom skytjenesteleverandører og deres kunder, hjelper det til å holde alle mer oppmerksomme på effektiviteten av deres sikkerhetshårdning.

Sikkerhetsauditing og aktiv overvåking er begge essensielle elementer i å håndheve SRM-politikker over både CSP-er og skykunder. Det finnes nå mange skybaserte og tredjepartsverktøy tilgjengelige for bedrifter å overvåke den overordnede styrken av deres skytjenestesikkerhet og raskt og effektivt respondere på fremvoksende sikkerhetsrisiko.

Alt dette betyr mer proaktiv sikkerhetsplanlegging for alle, og hjelper til å redusere antallet sikkerhets hendelser som skjer og redusere risikoen for datatyveri.

Gjør skytjenestesikkerhet til en topprioritet

Å behandle Shared Responsibility Model som en del av din strategi er kritisk når din bedrift vokser.

Forståelse og anerkjennelse av din rolle i skytjenestesikkerhet hjelper deg å unngå å gjøre farlige antagelser omkring ansvar samtidig som du blir mer aktivt engasjert i å sikre alle dine digitale angrepsflater.