Sådan administreres skysikkerhed, når udbydere og kunder deler ansvaret

5 ting at vide om skysikkerhed For at være sikker med skylagring skal du vide, hvordan det fungerer. Her er fem grundlæggende problemer at kigge efter.

Når det kommer til at sikre data i skyen, er vigtigheden af ​​at beslutte, hvem der er ansvarlig for, hvad der ikke kan overdrives. I øjeblikket er der tre valg: Cloud-service-kunder, cloud-tjenesteudbydere eller kunder og udbydere, der deler ansvaret.

En Global Cloud Data Security Study ( figur A ) fra 2018 udført af Ponemon Institute for Gemalto fandt, at:

"I 2017 Færre respondenter (32 procent af respondenterne) siger, at det er et delt ansvar mellem skyudbyderen og skybrugeren. Respondenterne er jævnt fordelt mellem ansvaret, der hviler hos skyudbyderen eller skybrugeren (begge 34 procent). "

Figur A

Billede: Ponemon Institute og Gemalto

Modellen med delt ansvar

Jenna Kersten, specialist i indholdsmarkedsføring hos KirkpatrickPrice, i sit blogindlæg Hvem er ansvarlig for skysikkerhed? sider med undersøgelsen svarede vælger delt ansvar. I sit indlæg tager Kersten det et skridt videre og diskuterer en måde at opdele ansvaret mellem cloud-servicekunder og cloud-serviceudbydere i følgende cloud-servicemodeller: Infrastructure as a Service (IaaS), Platform as a Service (PaaS ) og software som en service (SaaS).

  • IaaS-løsninger : I IaaS administrerer cloud-serviceudbyderen faciliteter, datacentre, netværksgrænseflader, behandling og hypervisorer. Cloud-servicekunden er ansvarlig for det virtuelle netværk, virtuelle maskiner, operativsystemer, middleware, applikationer, interface og data.
  • PaaS-løsninger : Med PaaS-modellen tilføjer Kersten virtuelle netværk, virtuelle maskiner, operativsystemer og mellemvare til cloud-tjenesteudbyderens ansvar. Kunden er stadig ansvarlig for at sikre og administrere applikationer, grænseflader og data.
  • SaaS-løsninger : SaaS-modellen flytter ifølge Kersten ansvaret for alt undtagen grænseflader og data til cloud-tjenesteudbyderen.

"Cloud-tjenesteudbydere og cloud-service kunder har begge et ansvar for at beskytte data, " fortsætter Kersten. "Det er også vigtigt at bemærke, at udførelse af individuelle sikkerhedsadministrationsopgaver kan outsources, men ansvarlighed kan ikke. Ansvaret for at kontrollere, at sikkerhedskrav er opfyldt, ligger altid hos kunden."

Amazon Web Services

De beføjelser, der er hos Amazon Web Services (AWS), stemmer overens med "32 procent" og Kersten. Fra AWS-webstedet om virksomhedens vision om delt ansvar:

"Denne delte model kan hjælpe med at lindre kundens operationelle byrde, når AWS opererer, administrerer og kontrollerer komponenterne fra værtsoperativsystemet og virtualiseringslaget ned til den fysiske sikkerhed for de faciliteter, som tjenesten opererer i. Kunden påtager sig ansvaret og styringen af ​​gæsten operativsystem (inklusive opdateringer og sikkerhedsrettelser), anden tilknyttet applikationssoftware såvel som konfigurationen af ​​AWS leveret sikkerhedsgruppe firewall. "

Fysisk sikkerhed

Data i skyen findes stadig et eller andet sted på fysiske enheder (dvs. servere, harddiske og lignende). Da ansvaret deles, er både kunder og udbydere nødt til at sikre, at bygninger, dataudstyr og fysisk infrastruktur er sikkert. Medarbejdere er også en vigtig overvejelse, da socialteknik er en foretrukken angrebsmetode for cyberkriminelle på grund af dens succes.

Sådan styres et forhold med delt ansvar

Kersten ser på, hvordan parter, der er ansvarlige for skytjenester på kundens websted og udbyderens placering bedst kan styre et forhold med delt ansvar, startende med cloud-tjenesteudbydere:

  • Overvej risici fra kundens perspektiv, og implementer derefter kontroller, der viser, at alt muligt gøres for at afbøde risiciene.
  • Dokumenter de interne kontroller, der bruges til at styre risici.
  • Giv dokumentation for, hvordan kunder kan bruge de medfølgende sikkerhedsfunktioner. Kersten tilføjer, "AWS gør et godt stykke arbejde ved dette gennem deres uddannelsesprogrammer."
  • Opret en ansvarsmatrix, der definerer, hvordan din løsning vil hjælpe dine kunder med at opfylde deres forskellige krav til overholdelse. Gå til CSAs CAIQ og CCM som udgangspunkt for etablering af modellen med delt ansvar.

Dernæst fokuserer Kersten på cloud-servicekunden:

  • Definer cloud-sikkerhedskrav, før du vælger en cloud-tjenesteudbyder. "Hvis du ved, hvad du leder efter i en cloud-tjenesteudbyder, kan du bedre prioritere dine behov, " tilføjer Kersten.
  • Harmoniserer virksomhedsstyringsprogrammet mellem traditionel og skybaseret IT-levering. Migrering af systemer og applikationer i skyen kræver politikændringer.
  • Etablere kontraktmæssig klarhed om hver parts roller og ansvar, især med hensyn til den offentlige sky, herunder:
    * Hvem er ansvarlig for skysikkerhed?
    * Hvor langt går cloud-tjenesteudbyderen?
  • Udvikl en ansvarsmatrix, der definerer sikkerhedsrollerne og ansvaret for dig og for hver leverandør, inklusive cloud-tjenesteudbydere.

Sælgerstyring : Sådan oprettes effektive relationer (gratis PDF) (TechRepublic)

Glem ikke overholdelsen

Overholdelse og skysikkerhed kan betragtes som et digitalt symbiotisk forhold - den ene kan ikke eksistere uden den anden, hvordan reguleringer er struktureret. Duane Tharp trækker ingen slag, når man taler om overholdelse og sikkerhed:

"Den første grund er lovgivningsmæssig. Virksomheder skal overholde en lovgivningsmæssig ordning, hvad enten det er statslige, føderale eller interne. Den anden grund er frygt. Den nominelle yderligere investering i sikkerhed kan potentielt forhindre, at en dårlig situation opstår i fremtiden. Der er et positivt nettoafkast. "

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com