Hvordan håndtere skysikkerhet når leverandører og kunder deler ansvar

5 ting å vite om skysikkerhet For å være trygg med skylagring, må du vite hvordan det fungerer. Her er fem grunnleggende problemer å se etter.

Når det gjelder å sikre data i skyen, er viktigheten av å bestemme hvem som er ansvarlig for hva som ikke kan overdrives. For øyeblikket er det tre valg: Cloud-tjenestekunder, skytjenesteleverandører, eller kunder og leverandører som deler ansvaret.

En Global Cloud Data Security Study ( figur A ) utført av Ponemon Institute for Gemalto i 2018 fant at:

"I 2017 Færre respondenter (32 prosent av respondentene) sier det er et delt ansvar mellom skyleverandøren og skybrukeren. Respondentene er jevnt fordelt mellom ansvaret som hviler hos skyleverandøren eller skybrukeren (begge 34 prosent). "

Figur A

Bilde: Ponemon Institute og Gemalto

Modellen med delt ansvar

Jenna Kersten, spesialist på innholdsmarkedsføring hos KirkpatrickPrice, i sitt blogginnlegg Hvem er ansvarlig for nettsikkerhet? sider med undersøkelsen som svarer velger delt ansvar. I sitt innlegg tar Kersten det et skritt videre og diskuterer en måte å dele opp ansvaret mellom skytjenestekunder og skytjenesteleverandører i følgende skytjenestemodeller: Infrastructure as a Service (IaaS), Platform as a Service (PaaS ), og programvare som en tjeneste (SaaS).

  • IaaS-løsninger : I IaaS administrerer skytjenesteleverandøren fasiliteter, datasentre, nettverksgrensesnitt, prosessering og hypervisorer. Cloud-tjenestekunden er ansvarlig for det virtuelle nettverket, virtuelle maskiner, operativsystemer, mellomvare, applikasjoner, grensesnitt og data.
  • PaaS-løsninger : Med PaaS-modellen legger Kersten virtuelle nettverk, virtuelle maskiner, operativsystemer og mellomvare til skytjenesteleverandørens ansvar. Kunden er fortsatt ansvarlig for å sikre og administrere applikasjoner, grensesnitt og data.
  • SaaS-løsninger : SaaS-modellen flytter ifølge Kersten ansvaret for alt unntatt grensesnitt og data til skytjenesteleverandøren.

"Cloud-tjenesteleverandører og skytjenestekunder har begge et ansvar for å beskytte data, " fortsetter Kersten. "Det er også viktig å merke seg at utførelse av individuelle sikkerhetsstyringsoppgaver kan legges ut, men ansvarlighet kan ikke. Ansvaret for å verifisere at sikkerhetskrav blir oppfylt, ligger alltid hos kunden."

Amazon Web Services

Kreftene som er hos Amazon Web Services (AWS) stemmer overens med "32 prosent" og Kersten. Fra AWS nettsted om selskapets visjon om delt ansvar:

"Denne delte modellen kan bidra til å lindre kundens driftsbelastning når AWS opererer, administrerer og kontrollerer komponentene fra vertsoperativsystemet og virtualiseringslaget ned til den fysiske sikkerheten til fasilitetene som tjenesten opererer i. Kunden påtar seg ansvaret og styringen av gjesten operativsystem (inkludert oppdateringer og sikkerhetsoppdateringer), annen tilknyttet applikasjonsprogramvare samt konfigurasjonen av AWS-brannmuren for sikkerhetsgruppe. "

Fysisk sikkerhet

Data i skyen ligger fremdeles et sted på fysiske enheter (dvs. servere, harddisker og lignende). Siden ansvaret er delt, må både kunder og leverandører sikre at bygninger, datautstyr og fysisk infrastruktur er trygt. Ansatte er også en viktig vurdering, siden sosialteknikk er en foretrukket angrepsmetode for nettkriminelle på grunn av dens suksess.

Hvordan håndtere et forhold med delt ansvar

Kersten ser på hvordan parter som er ansvarlige for skytjenester på kundens nettsted og leverandørens beliggenhet best kan administrere et forhold med delt ansvar, starter med skytjenesteleverandører:

  • Vurder risikoer fra kundens perspektiv, og implementer deretter kontroller som vil demonstrere alt mulig gjøres for å dempe risikoen.
  • Dokumentere de interne kontrollene som brukes til å håndtere risiko.
  • Gi dokumentasjon på hvordan kunder kan bruke de medfølgende sikkerhetsfunksjonene. Kersten legger til, "AWS gjør en god jobb med dette gjennom utdanningsprogrammene sine."
  • Lag en ansvarsmatrise som definerer hvordan løsningen din vil hjelpe kundene dine til å oppfylle deres forskjellige krav til overholdelse. Gå til CSAs CAIQ og CCM som utgangspunkt for å etablere modellen for delt ansvar.

Deretter fokuserer Kersten på skytjenestekunden:

  • Definer skysikkerhetskrav før du velger en skytjenesteleverandør. "Hvis du vet hva du leter etter i en skytjenesteleverandør, kan du bedre prioritere dine behov, " legger Kersten til.
  • Harmonisere virksomhetsstyringsprogrammet mellom tradisjonell og skybasert IT-levering. Migrering av systemer og applikasjoner til skyen kommer til å kreve endringer i policyen.
  • Fastsette kontraktuell klarhet i rollene og ansvarene til hver part, spesielt med hensyn til den offentlige skyen, inkludert:
    * Hvem er ansvarlig for skysikkerhet?
    * Hvor langt går skytjenesteleverandøren?
  • Utvikle en ansvarsmatrise som definerer sikkerhetsrollene og ansvaret for deg og for hver leverandør, inkludert skytjenesteleverandører.

Forhandleradministrasjon: Hvordan bygge effektive forhold (gratis PDF) (TechRepublic)

Ikke glem samsvar

Overholdelse og skysikkerhet kan betraktes som et digitalt symbiotisk forhold - den ene kan ikke eksistere uten den andre slik forskriften er strukturert. Duane Tharp treffer ingen slag når han snakker om etterlevelse og sikkerhet:

"Den første grunnen er regulatorisk. Bedrifter må overholde et regelverk, enten det er statlige, føderale eller interne. Den andre grunnen er frykt. Nominell tilleggsinvestering i sikkerhet potensielt kan forhindre at en dårlig situasjon oppstår i fremtiden. er en positiv netto avkastning. "

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com