A segurança da nuvem é uma responsabilidade compartilhada
Tabela de conteúdo
O que é o modelo de responsabilidade compartilhada?
O modelo de responsabilidade compartilhada é uma estrutura na computação em nuvem que divide as responsabilidades de segurança e conformidade entre o provedor de serviços em nuvem (CSP) e o cliente. O modelo garante que as organizações e os CSPs contribuam ativamente para proteger a infraestrutura de nuvem e manter a conformidade. No modelo de responsabilidade compartilhada:
- O CSP responsável pela segurança da nuvem
- O cliente responsável pela segurança na nuvem
Explicação do modelo de responsabilidade compartilhada
O modelo de responsabilidade compartilhada garante que as organizações e os CSPs contribuam ativamente para proteger a infraestrutura de nuvem e manter a conformidade. Ao compreender e aderir ao modelo de responsabilidade compartilhada, tanto o CSP quanto o cliente podem trabalhar juntos para criar um ambiente de nuvem seguro, mitigando efetivamente os riscos e garantindo a conformidade com as normas e as práticas recomendadas do setor.
Nesse modelo, o CSP é responsável pela segurança da nuvem, o que inclui a proteção da infraestrutura física, da rede e do hardware. Eles garantem que os serviços subjacentes em nuvem, como computação, armazenamento e bancos de dados, estejam protegidos contra ameaças e mantenham um ambiente seguro e confiável para seus clientes. O CSP também fornece ferramentas e recursos para que os clientes gerenciem suas configurações de segurança.
Do outro lado do relacionamento, o cliente é responsável pela segurança na nuvem, o que envolve proteger os dados, os aplicativos e as cargas de trabalho que eles implantam no ambiente de nuvem. Isso inclui tarefas como criptografia de dados, gerenciamento de acesso, aplicação de patches e atualização de software e definição de configurações de segurança de acordo com suas necessidades específicas e requisitos de conformidade.
As especificações do modelo de responsabilidade compartilhada podem variar dependendo do modelo de serviço em nuvem em uso, como infraestrutura como serviço (IaaS), plataforma como serviço (PaaS)ou software como serviço (SaaS). Em um modelo de IaaS, o cliente assume mais responsabilidades de segurança, como o gerenciamento do sistema operacional e dos aplicativos. Por outro lado, o CSP lida com mais responsabilidades em um modelo SaaS, incluindo a segurança no nível do aplicativo.
As preocupações com a exposição de dados tornaram a segurança na nuvem uma prioridade. O desafio está em equilibrar a necessidade de agilidade de uma organização com a necessidade de melhorar a segurança dos aplicativos e dos dados à medida que eles se movem entre várias nuvens. Ganhar visibilidade e combater as tentativas de exfiltração de dados, seja de locais externos ou por meio de ataques laterais, é imperativo em todos os locais onde residem aplicativos e dados.
Várias equipes diferentes de uma organização podem ser responsáveis pela segurança da nuvem: a equipe de rede, a equipe de segurança, a equipe de aplicativos, a equipe de conformidade ou a equipe de infraestrutura. No entanto, a segurança na nuvem também é uma responsabilidade compartilhada entre a organização mais ampla e seu fornecedor de nuvem. O modo exato como isso se divide varia de acordo com a natureza da oferta de nuvem:
- Nuvem privada: As organizações são responsáveis por todos os aspectos de segurança de uma nuvem privada porque ela é hospedada no próprio data center da organização. Isso inclui a rede física, a infraestrutura, o hipervisor, a rede virtual, os sistemas operacionais, os firewalls, a configuração de serviços, o gerenciamento de identidade e acesso, etc. A organização também é proprietária dos dados e de sua segurança.
- Público: Em nuvens públicas, como a Amazon Web Services ( AWS®) ou a Microsoft Azure®, o fornecedor da nuvem é proprietário da infraestrutura, da rede física e do hipervisor. O cliente ainda é proprietário do sistema operacional da carga de trabalho, dos aplicativos, da rede virtual, do acesso ao seu ambiente/conta de locatário e dos dados.
- SaaS: Os fornecedores de SaaS são os principais responsáveis pela segurança de sua plataforma, incluindo segurança física, de infraestrutura e de aplicativos. Esses fornecedores não são proprietários dos dados do cliente nem assumem a responsabilidade pela forma como os clientes usam os aplicativos. Dessa forma, o cliente é responsável por prevenir ou minimizar o risco de exfiltração de dados, exposição acidental ou inserção de malware.
À medida que as organizações fazem a transição de nuvens privadas para nuvens públicas ou aplicativos SaaS, elas podem confiar em seus fornecedores para proteger os dados, os aplicativos e a infraestrutura. Independentemente das medidas de segurança da plataforma usadas, a organização ainda mantém a responsabilidade pela segurança de seus próprios dados.
Segurança na nuvem
Para habilitar os aplicativos com segurança, a segurança de TI deve ter certeza de que seus fornecedores de nuvem implementaram as medidas de segurança adequadas para manter os aplicativos e os dados seguros. Para compensar a falta de segurança dos fornecedores de nuvem, as organizações também devem ter as ferramentas certas para gerenciar e proteger os riscos de forma eficaz. Essas ferramentas devem fornecer:
- Visibilidade da atividade nos aplicativos SaaS
- Análise detalhada do uso para evitar riscos aos dados e violações de conformidade
- Controles de políticas com reconhecimento de contexto para conduzir a aplicação e a quarentena, caso ocorram violações
- Inteligência de ameaças em tempo real sobre ameaças conhecidas e detecção de ameaças desconhecidas para evitar novos pontos de inserção de malware
Perguntas frequentes sobre responsabilidade compartilhada
A responsabilidade compartilhada refere-se à abordagem colaborativa entre o CSP e o cliente para manter um ambiente de nuvem seguro e em conformidade. Cada parte assume responsabilidades específicas de segurança, dependendo do modelo de serviço em nuvem (IaaS, PaaS ou SaaS), para mitigar riscos, proteger dados e aderir às normas do setor.
Os princípios de responsabilidade compartilhada envolvem um entendimento claro dos deveres de cada parte, colaboração ativa e comunicação contínua. O CSP protege a infraestrutura, a rede e o hardware subjacentes, enquanto o cliente protege os dados, os aplicativos e as cargas de trabalho implantados na nuvem. A adesão a esses princípios garante uma postura de segurança robusta e ajuda a evitar possíveis vulnerabilidades em ambientes de nuvem.
O principal objetivo da responsabilidade compartilhada é estabelecer uma abordagem colaborativa e abrangente para a segurança na nuvem, aproveitando a experiência e os recursos do CSP e do cliente. Ao distribuir as responsabilidades de segurança, a responsabilidade compartilhada visa melhorar a postura geral de segurança, minimizar as vulnerabilidades e garantir a conformidade com as normas relevantes do setor.
Compreender o modelo de responsabilidade compartilhada é crucial para proteger efetivamente os ambientes de nuvem e manter a conformidade. Ele ajuda as organizações a identificar suas funções de segurança específicas, alocar recursos de forma eficiente e implementar controles de segurança adequados. Uma compreensão clara do modelo promove a colaboração entre o CSP e o cliente, garantindo que ambas as partes trabalhem juntas para criar um ambiente de nuvem seguro e em conformidade, mitigando riscos e abordando possíveis ameaças.
