Cách quản lý bảo mật đám mây khi nhà cung cấp và khách hàng chia sẻ trách nhiệm

5 điều cần biết về bảo mật đám mây Để an toàn với lưu trữ đám mây, bạn cần biết nó hoạt động như thế nào. Dưới đây là năm vấn đề cơ bản để tìm kiếm.

Khi nói đến việc bảo mật dữ liệu trên đám mây, tầm quan trọng của việc quyết định ai chịu trách nhiệm cho những gì không thể nói quá. Hiện tại, có ba lựa chọn: khách hàng dịch vụ đám mây, nhà cung cấp dịch vụ đám mây hoặc khách hàng và nhà cung cấp chia sẻ trách nhiệm.

Một nghiên cứu bảo mật dữ liệu đám mây toàn cầu năm 2018 ( Hình A ) được thực hiện bởi Viện Ponemon cho Gemalto cho thấy:

"Trong năm 2017 Ít người được hỏi hơn (32 phần trăm số người được hỏi) nói rằng đó là trách nhiệm chung giữa nhà cung cấp đám mây và người dùng đám mây. Người trả lời được chia đều giữa trách nhiệm với nhà cung cấp đám mây hoặc người dùng đám mây (cả 34%). "

Hình A

Hình: Viện Ponemon và Gemalto

Mô hình trách nhiệm chung

Jenna Kersten, chuyên gia tiếp thị nội dung tại Kirkpatrickprice, trong bài đăng trên blog của cô Ai chịu trách nhiệm về bảo mật đám mây? các bên có người trả lời khảo sát lựa chọn chia sẻ trách nhiệm. Trong bài đăng của mình, Kersten tiến thêm một bước và thảo luận về một cách để phân chia trách nhiệm giữa khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây trong các mô hình dịch vụ đám mây sau: Cơ sở hạ tầng như một dịch vụ (IaaS), Nền tảng là dịch vụ (PaaS ) và Phần mềm dưới dạng Dịch vụ (SaaS).

  • Giải pháp IaaS : Trong IaaS, nhà cung cấp dịch vụ đám mây quản lý các cơ sở, trung tâm dữ liệu, giao diện mạng, xử lý và trình ảo hóa. Khách hàng dịch vụ đám mây chịu trách nhiệm về mạng ảo, máy ảo, hệ điều hành, phần mềm trung gian, ứng dụng, giao diện và dữ liệu.
  • Giải pháp PaaS : Với mô hình PaaS, Kersten bổ sung các mạng ảo, máy ảo, hệ điều hành và phần mềm trung gian cho các trách nhiệm của nhà cung cấp dịch vụ đám mây. Khách hàng vẫn chịu trách nhiệm bảo mật và quản lý các ứng dụng, giao diện và dữ liệu.
  • Các giải pháp SaaS : Mô hình SaaS, theo Kersten, chuyển trách nhiệm cho mọi thứ trừ giao diện và dữ liệu cho nhà cung cấp dịch vụ đám mây.

"Các nhà cung cấp dịch vụ đám mây và khách hàng dịch vụ đám mây đều có trách nhiệm bảo vệ dữ liệu", Kersten tiếp tục. "Điều quan trọng cần lưu ý là việc thực thi các nhiệm vụ quản lý bảo mật cá nhân có thể được thuê ngoài, nhưng trách nhiệm không thể. Trách nhiệm xác minh rằng các yêu cầu bảo mật đang được đáp ứng luôn nằm ở khách hàng."

Dịch vụ web Amazon

Các quyền hạn tại Amazon Web Services (AWS) đồng ý với "32 phần trăm" và Kersten. Từ trang web AWS về tầm nhìn của công ty về trách nhiệm chung:

"Mô hình được chia sẻ này có thể giúp giảm bớt gánh nặng hoạt động của khách hàng khi AWS vận hành, quản lý và kiểm soát các thành phần từ hệ điều hành máy chủ và lớp ảo hóa đến bảo mật vật lý của các cơ sở mà dịch vụ vận hành. Khách hàng chịu trách nhiệm và quản lý khách. hệ điều hành (bao gồm các bản cập nhật và bản vá bảo mật), phần mềm ứng dụng liên quan khác cũng như cấu hình của tường lửa nhóm bảo mật do AWS cung cấp. "

Bảo mật vật lý

Dữ liệu trong đám mây vẫn nằm ở đâu đó trên các thiết bị vật lý (ví dụ: máy chủ, ổ cứng và những thứ tương tự). Vì trách nhiệm được chia sẻ, cả khách hàng và nhà cung cấp cần đảm bảo các tòa nhà, thiết bị máy tính và cơ sở hạ tầng vật lý được an toàn. Nhân viên cũng là một cân nhắc quan trọng, vì kỹ thuật xã hội là một phương thức tấn công ưa thích của tội phạm mạng do thành công của nó.

Cách quản lý mối quan hệ chia sẻ trách nhiệm

Kersten xem xét cách các bên chịu trách nhiệm về dịch vụ đám mây tại trang web của khách hàng và vị trí của nhà cung cấp có thể quản lý tốt nhất mối quan hệ trách nhiệm chung, bắt đầu với các nhà cung cấp dịch vụ đám mây:

  • Xem xét các rủi ro từ quan điểm của khách hàng, và sau đó thực hiện các kiểm soát sẽ chứng minh mọi thứ có thể đang được thực hiện để giảm thiểu rủi ro.
  • Tài liệu kiểm soát nội bộ được sử dụng để quản lý rủi ro.
  • Cung cấp tài liệu về cách khách hàng có thể sử dụng các tính năng bảo mật được cung cấp. Kersten cho biết thêm, "AWS thực hiện rất tốt điều này thông qua các chương trình giáo dục của họ."
  • Tạo một ma trận trách nhiệm xác định cách giải pháp của bạn sẽ giúp khách hàng của bạn đáp ứng các yêu cầu tuân thủ khác nhau của họ. Chuyển sang CAIQ và CCM của CSA làm điểm khởi đầu để thiết lập mô hình trách nhiệm chung.

Tiếp theo, Kersten tập trung vào khách hàng dịch vụ đám mây:

  • Xác định các yêu cầu bảo mật đám mây trước khi chọn nhà cung cấp dịch vụ đám mây. "Nếu bạn biết những gì bạn đang tìm kiếm ở một nhà cung cấp dịch vụ đám mây, bạn có thể ưu tiên tốt hơn các nhu cầu của mình", Kersten nói thêm.
  • Hài hòa chương trình quản trị doanh nghiệp giữa phân phối CNTT truyền thống và dựa trên đám mây. Di chuyển các hệ thống và ứng dụng vào đám mây sẽ yêu cầu thay đổi chính sách.
  • Thiết lập sự rõ ràng trong hợp đồng về vai trò và trách nhiệm của mỗi bên, đặc biệt là liên quan đến đám mây công cộng, bao gồm:
    * Ai chịu trách nhiệm bảo mật đám mây?
    * Nhà cung cấp dịch vụ đám mây đi được bao xa?
  • Phát triển ma trận trách nhiệm xác định vai trò và trách nhiệm bảo mật cho bạn và cho từng nhà cung cấp, bao gồm các nhà cung cấp dịch vụ đám mây.

Quản lý nhà cung cấp: Cách xây dựng các mối quan hệ hiệu quả (PDF miễn phí) (TechRepublic)

Đừng quên tuân thủ

Tuân thủ và bảo mật đám mây có thể được coi là mối quan hệ cộng sinh kỹ thuật số - người ta không thể tồn tại mà không có cách khác theo quy định được cấu trúc. Duane Tharp không có cú đấm nào khi nói về sự tuân thủ và bảo mật:

"Lý do đầu tiên là quy định. Các doanh nghiệp phải tuân thủ một chế độ pháp lý, cho dù là tiểu bang, liên bang hay nội bộ. Lý do khác là sự sợ hãi. Đầu tư bổ sung danh nghĩa vào an ninh có thể ngăn chặn tình huống xấu phát sinh trong tương lai. là một lợi nhuận ròng tích cực. "

Bản tin nội bộ không gian mạng

Tăng cường phòng thủ bảo mật CNTT của tổ chức của bạn bằng cách theo kịp các tin tức, giải pháp và thực tiễn tốt nhất về an ninh mạng mới nhất. Giao hàng thứ ba và thứ năm

Đăng ký hôm nay

© Copyright 2020 | mobilegn.com