Kuinka hallita pilviturvallisuutta, kun palveluntarjoajat ja asiakkaat jakavat vastuun

5 asiaa tietävästä pilviturvallisuudesta Jotta pilvitallennus olisi turvallista, sinun on tiedettävä, miten se toimii. Tässä on viisi etsittävää peruskysymystä.

Tietojen suojaamiseksi pilvessä on tärkeää päättää, kuka on vastuussa siitä, mitä ei voida yliarvioida. Tällä hetkellä on kolme vaihtoehtoa: pilvipalveluasiakkaat, pilvipalveluntarjoajat tai asiakkaat ja palveluntarjoajat, jotka jakavat vastuun.

Ponemon Institute for Gemalto toteutti vuoden 2018 globaalin pilvitietoturvatutkimuksen ( kuva A ), että:

"Vuonna 2017 vähemmän vastaajia (32 prosenttia vastaajista) väittää, että se on yhteinen vastuu pilvipalveluntarjoajan ja pilvikäyttäjän välillä. Vastaajat jakautuvat tasaisesti pilvipalveluntarjoajan tai pilvikäyttäjän vastuun kesken (molemmat 34 prosenttia). "

Kuvio A

Kuva: Ponemon-instituutti ja Gemalto

Jaetun vastuun malli

Jenna Kersten, KirkpatrickPrice -sisältömarkkinoinnin asiantuntija, blogissaan Kuka vastaa pilviturvasta? puolta kyselyyn vastanneiden kanssa, jotka ovat valinneet jaetun vastuun. Kersten vie viestissään askeleen pidemmälle ja keskustelee yhdestä tavasta jakaa vastuu pilvipalveluasiakkaiden ja pilvipalvelujen tarjoajien välillä seuraavissa pilvipalvelumalleissa: Infrastruktuuri palveluna (IaaS), Platform as a Service (PaaS) ) ja ohjelmisto palveluna (SaaS).

  • IaaS-ratkaisut : IaaS: ssä pilvipalveluntarjoaja hallinnoi palveluita, tietokeskuksia, verkkoliittymiä, prosessointia ja hypervisioita. Pilvipalvelun asiakas vastaa virtuaaliverkosta, virtuaalikoneista, käyttöjärjestelmistä, väliohjelmista, sovelluksista, rajapinnoista ja tiedoista.
  • PaaS-ratkaisut : PaaS-mallilla Kersten lisää pilvipalveluntarjoajan vastuisiin virtuaaliverkot, virtuaalikoneet, käyttöjärjestelmät ja väliohjelmat. Asiakas on edelleen vastuussa sovellusten, rajapintojen ja datan suojaamisesta ja hallinnasta.
  • SaaS-ratkaisut : SaaS-malli siirtää Kerstenin mukaan vastuun kaikesta paitsi rajapinnoista ja datasta pilvipalveluntarjoajalle.

"Pilvipalveluntarjoajilla ja pilvipalvelun asiakkailla on molemmat vastuu tietojen suojaamisesta", jatkaa Kersten. "On myös tärkeää huomata, että yksittäisten tietoturvan hallintatehtävien suorittaminen voidaan ulkoistaa, mutta vastuuvelvollisuus ei voi. Asiakkaan vastuulla on aina varmistaa, että turvallisuusvaatimukset täytetään."

Amazon Web Services

Amazon Web Services (AWS) -valtuudet ovat yhtä mieltä 32 prosentin ja Kerstenin kanssa. AWS-verkkosivustolta yrityksen visio jaetusta vastuusta:

"Tämä jaettu malli voi auttaa lievittämään asiakkaan toimintataakkaa, kun AWS toimii, hallitsee ja hallitsee komponentteja isäntäkäyttöjärjestelmästä ja virtualisointikerroksesta palveluiden fyysiseen turvallisuuteen saakka. Asiakas vastaa vieraan vastuusta ja hallinnasta. käyttöjärjestelmä (mukaan lukien päivitykset ja tietoturvakorjaukset), muut niihin liittyvät sovellusohjelmistot sekä AWS: n tarjoaman suojausryhmän palomuurin määritykset. "

Fyysinen turvallisuus

Pilvessä olevat tiedot sijaitsevat edelleen fyysisissä laitteissa (eli palvelimissa, kiintolevyissä ja vastaavissa). Koska vastuu on jaettu, sekä asiakkaiden että palveluntarjoajien on varmistettava rakennusten, laskentalaitteiden ja fyysisen infrastruktuurin turvallisuus. Työntekijät ovat myös tärkeä näkökohta, koska sosiaalinen tekniikka on kyberrikollisten suosittu hyökkäysmenetelmä sen menestyksen vuoksi.

Kuinka hallita jaetun vastuun suhdetta

Kersten tarkastelee, miten asiakkaan ja palveluntarjoajan pilvipalveluista vastaavat osapuolet voivat parhaiten hallita jaetun vastuun suhteita, alkaen pilvipalvelujen tarjoajista:

  • Harkitse riskejä asiakkaan näkökulmasta ja ota sitten käyttöön valvontatoimenpiteitä, jotka osoittavat kaiken mahdollisen riskien lieventämiseksi.
  • Dokumentoi riskien hallintaan käytetyt sisäiset valvontatoimenpiteet.
  • Anna dokumentaatio siitä, kuinka asiakkaat voivat käyttää toimitettuja suojausominaisuuksia. Kersten lisää: "AWS tekee tästä hienoa työtä koulutusohjelmiensa avulla."
  • Luo vastuutaulukko, joka määrittelee, kuinka ratkaisusi auttaa asiakkaitasi täyttämään heidän erilaiset vaatimuksensa. Käänny CSA: n CAIQ: n ja CCM: n puoleen lähtökohtana yhteisen vastuun mallin luomiselle.

Seuraavaksi Kersten keskittyy pilvipalvelun asiakkaaseen:

  • Määritä pilvipalveluvaatimukset ennen pilvipalveluntarjoajan valitsemista. "Jos tiedät mitä etsit pilvipalveluntarjoajalta, voit priorisoida tarpeesi paremmin", Kersten lisää.
  • Harmonisoi hallinto- ja ohjausohjelma perinteisen ja pilvipohjaisen IT-toimituksen välillä. Järjestelmien ja sovellusten siirtäminen pilveen edellyttää käytäntömuutoksia.
  • Varmista sopimusten selkeys kummankin osapuolen rooleista ja vastuista erityisesti julkisen pilven suhteen, mukaan lukien:
    * Kuka vastaa pilviturvallisuudesta?
    * Kuinka pitkälle pilvipalveluntarjoaja menee?
  • Kehitä vastuullisuusmatriisi, joka määrittelee tietoturvaroolit ja vastuut sinulle ja jokaiselle toimittajalle, pilvipalvelujen tarjoajat mukaan lukien.

Toimittajan hallinta: Kuinka luoda tehokkaita suhteita (ilmainen PDF) (TechRepublic)

Älä unohda noudattamista

Vaatimustenmukaisuutta ja pilviturvallisuutta voidaan pitää digitaalisena symbioottisena suhteena - sellaista ei voi olla olemassa ilman toista, jolla sääntely on rakennettu. Duane Tharp ei vedä mitään lyöntejä puhuttaessa vaatimustenmukaisuudesta ja turvallisuudesta:

"Ensimmäinen syy on sääntely. Yritysten on oltava sääntöjen mukaisia, olivatpa ne osavaltiollisia, liittovaltion vai sisäisiä. Toinen syy on pelko. Nimellinen lisäsijoitus turvallisuuteen voi mahdollisesti estää huonon tilanteen syntymisen tulevaisuudessa. Siellä on positiivinen nettotuotto. "

Kyberturvallisuuden sisäpiirilehti

Vahvista organisaatiosi tietoturvamekanismeja pitämällä ajan tasalla viimeisimmät tietoturvatiedotteet, ratkaisut ja parhaat käytännöt. Toimitetaan tiistaisin ja torstaisin

Rekisteröidy tänään

© Copyright 2020 | mobilegn.com