¿Qué es el modelo de responsabilidad compartida?
El modelo de responsabilidad compartida es un marco que establezca quién es responsable de proteger los diferentes aspectos del entorno de computación en la nube entre el proveedor de servicios en la nube (CSP) y el cliente;. Por lo general, el CSP se encarga de la seguridad de la infraestructura subyacente, mientras que el cliente se encarga de proteger sus datos y aplicaciones alojados en la nube.
Los CSP son responsables de: Proteger los centros de datos y todos los equipos de red. También se encargan de tareas como la aplicación de parches y la actualización de los sistemas operativos, así como de garantizar la disponibilidad y fiabilidad de los servicios en la nube. Esto se conoce como el "Seguridad de la nube" responsabilidad.
Las responsabilidades de seguridad de los clientes incluyen: establecer controles de acceso seguros, Cifrado de datos en tránsito y en reposo, la gestión de cuentas de usuario y credenciales, y la implementación de medidas de seguridad específicas de la aplicación. A esto se le llama "Seguridad en la nube" responsabilidad.
Por ejemplo, como CSP, Amazon S3 garantiza la seguridad física de su centro de datos y protege contra las amenazas a nivel de infraestructura. Sin embargo, es responsabilidad de los usuarios de S3 configurar correctamente el control de acceso y los permisos para sus buckets de S3, implementar el cifrado para los datos confidenciales y supervisar y administrar regularmente el acceso a los datos almacenados.
Estas responsabilidades no se comprenden ampliamente. Aunque el 98% de las empresas informan de una violación de datos en la nube en los últimos dieciocho meses, solo El 13% comprende sus responsabilidades de seguridad en la nube. Muchas organizaciones confían erróneamente en sus CSP para la protección de datos y la seguridad de las aplicaciones. Cerrar esta brecha de conocimiento es un paso esencial para cumplir con las obligaciones de seguridad en la nube.
Cómo varía la responsabilidad compartida según el tipo de servicio
El nivel de responsabilidad compartida de un cliente de CSP depende del tipo de servicio: software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS).
En el modelo SaaS, Los CSP asumen la mayoría de las responsabilidades de seguridad. Protegen la aplicación de software, incluida la infraestructura y las redes, y son responsables de la seguridad a nivel de aplicación. Las responsabilidades de los clientes a menudo incluyen administrar el acceso de los usuarios y garantizar que los datos estén protegidos y las cuentas seguras. En resumen, los clientes dependen en gran medida de su proveedor de servicios en la nube para la seguridad, el tiempo de actividad y el rendimiento del sistema.
En el modelo PaaS, los CSP administran la infraestructura y los componentes subyacentes de la plataforma, como el tiempo de ejecución, las bibliotecas y los sistemas operativos. Los clientes son responsables de desarrollar, mantener y administrar los datos y el acceso de los usuarios dentro de sus aplicaciones.
De los tres modelos, Clientes de IaaS tienen el más alto nivel de responsabilidad. El CSP protege la infraestructura fundamental, incluidas las máquinas virtuales, el almacenamiento y las redes, mientras que los clientes protegen todo lo que se basa en la infraestructura, como el sistema operativo, el tiempo de ejecución, las aplicaciones y los datos.
Si bien las responsabilidades mencionadas anteriormente proporcionan una descripción general, la división exacta de responsabilidades varía entre los CSP. Se recomienda consultar los acuerdos de nivel de servicio específicos y la documentación proporcionada por los CSP para obtener más información sobre la distribución de responsabilidades.
Responsabilidades de seguridad en la nube de los clientes
Los clientes, en lugar de los CSP, a menudo son responsables de la mayoría de los incidentes de seguridad en la nube.
Para 2025, El 99 % de los fallos de seguridad en la nube se pronostica que provengan de los clientes.
Para garantizar el éxito en el modelo de responsabilidad compartida, echemos un vistazo a las responsabilidades del cliente.
| Customer Responsibility | Description |
|---|---|
| Data protection | Ensuring data confidentiality, integrity, and availability is the customer’s purview. Best practices involve implementing proper access controls, encryption, and backups. |
| User access management | Implement appropriate permissions, enforce strong passwords, and adopt multi-factor authentication to keep user access secure. |
| Application security | Customers are accountable for securing cloud-hosted applications. Follow secure coding practices, conduct regular vulnerability assessments, and implement appropriate security controls to reduce application-level security threats. |
| Network controls | Firewalls, virtual private networks (VPNs), security groups, and other network-control configurations are essential customer responsibilities that protect cloud resources from unauthorized access. |
| Compliance and governance | Meeting regulatory requirements and implementing appropriate governance controls are also customer responsibilities. Each industry has unique regulations and frameworks. |
Responsabilidades típicas de seguridad en la nube de los CSP
La parte de responsabilidades de los CSP suele incluir la seguridad de la infraestructura y las dependencias concomitantes. Algunas de sus responsabilidades de seguridad incluyen las siguientes.
| CSP Responsibility | Description |
|---|---|
| Physical security | As previously mentioned, CSPs are responsible for securing physical access to their data centers, using tools like surveillance systems, restricted-access areas, and environmental controls. |
| Network-infrastructure security | Each provider is responsible for securing cloud-network infrastructure, including routers, switches, and load balancers by implementing appropriate controls, such as intrusion detection and prevention systems. |
| Host-infrastructure security | CSPs secure underlying host infrastructures, including servers, virtualization layers, and storage systems. They implement proper configuration, patching, and security controls on these resources; update operating systems; and ensure overall availability and reliability of cloud services. |
| Compliance certifications | CSPs often undergo independent audits and attain certifications to demonstrate compliance with industry standards and regulations. These measures provide customers with assurances regarding their security practices. |
Superposición de responsabilidades
Algunas responsabilidades son compartidas por ambas partes en función del tipo de servicio (SaaS, PaaS o IaaS). Por ejemplo, dentro de la clase Modelo de responsabilidad compartida de Microsoft, Los CSP y los clientes de SaaS y PaaS comparten la responsabilidad de proteger la identidad y la infraestructura de directorios. Como alternativa, la seguridad de las aplicaciones y los controles de red se comparten en el modelo PaaS. Los CSP definen claramente los límites de las responsabilidades a través de acuerdos de nivel de servicio (SLA). Por lo general, existen solapamientos en las siguientes áreas:
Sistemas operativos
Ya sea que un usuario traiga su propio sistema operativo (SO) o implemente un sistema operativo proporcionado por el proveedor de la nube, la responsabilidad de elegir el sistema operativo adecuado para cumplir con los requisitos de seguridad de una organización recae en el usuario. Si el usuario elige el sistema operativo del CSP, es responsable de su seguridad. Sin embargo, si un cliente trae su propio sistema operativo, su organización es responsable de su seguridad.
Herramientas nativas vs. herramientas de terceros
Los proveedores son responsables de implementar, administrar, mantener y actualizar los servicios. Sin embargo, cuando se implementa una herramienta o aplicación de terceros como carga de trabajo, el cliente se encarga de proteger la aplicación y sus datos, mientras que el CSP'La responsabilidad de S se limita a la infraestructura y a la capa de virtualización.
Computación basada en servidor vs. computación sin servidor
En la informática basada en servidor, el usuario es responsable de elegir el sistema operativo, implementar la carga de trabajo y configurar las opciones de seguridad necesarias. Por otro lado, en la informática sin servidor o basada en eventos, el usuario es responsable del código implementado y de las opciones de seguridad o configuración definidas por el usuario proporcionadas por el proveedor de la nube.
Controles de red
Ya sea que implementen su propio firewall o utilicen el del proveedor, los clientes son responsables de configurar las reglas de firewall y garantizar la configuración adecuada del estándar de seguridad.
Security Leaders Handbook: The Strategic Guide to Cloud Security
Learn the new cloud security operating model and steps towards cloud security maturity. This practical guide helps transform security teams and processes to remove risks and support secure cloud development.
Download Handbook
Ejemplos del modelo de responsabilidad compartida
Los principales CSP, como Amazon Web Services (AWS), Google Cloud Platform (GCP) y Azure, han establecido sus propios modelos de responsabilidad compartida, que describen las responsabilidades de seguridad entre proveedores y clientes.
El modelo de responsabilidad compartida de AWS
El modelo de responsabilidad compartida de AWS describe que AWS es "responsable de proteger la infraestructura que ejecuta todos los servicios en la nube de AWS". Asumen la responsabilidad tanto del hardware como del software, incluidos los centros de datos físicos, las redes, las ubicaciones perimetrales y las capas de virtualización.
AWS también protege sus servicios administrados, como AWS DynamoDB, RDS, Redshift, Elastic y EMR. Sin embargo, los clientes son responsables de proteger sus propias aplicaciones y datos, y de administrar los controles de acceso y las configuraciones dentro de sus cuentas de AWS.
Connect Wiz with Amazon Web Services (AWS)
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
El modelo de responsabilidad compartida de GCP
Google Cloud Platform (GCP) sigue un Modelo de responsabilidad compartida y destino compartido. Introducción de GCP 'Compartir el destino' para abordar los desafíos en los que creen que el modelo de responsabilidad compartida se queda corto.
GCP protege las infraestructuras en la nube subyacentes y proporciona opciones complementarias que los clientes pueden aprovechar para asumir la responsabilidad de proteger las aplicaciones y los datos, administrar el acceso y los permisos de los usuarios, configurar los ajustes de seguridad e implementar las medidas de seguridad adecuadas dentro de sus proyectos.
Connect Wiz with Google Cloud (GCP)
Build faster and more securely on Google Cloud Platform with Wiz.
Learn more
Modelo de responsabilidad compartida de Azure
Microsoft Azure aprovecha un modelo de responsabilidad compartida que es similar al modelo de GCP.
Aunque Azure protege los servicios administrados, los clientes poseen y protegen toda la pila si operan un centro de datos local.
Retos del modelo de responsabilidad compartida
A pesar de sus diversos beneficios, el modelo de responsabilidad compartida también presenta los siguientes desafíos:
| Challenge | Description |
|---|---|
| Access control | Organizations must always protect customer data. However, the shared responsibility model requires that CSPs have unguarded access to sensitive infrastructure to evaluate security posture, contradicting an organization’s exclusive access to customer data. This has pushed many organizations into implementing role-based access control (RBAC) to ensure that authorized individuals have access to perform only pre-specified duties. |
| Vagueness | There are important areas of cloud security where the model does not clearly spell out the security responsibilities of each party. For instance, cloud middleware—which sits between organizations and CSPs for cloud security posture management—requires regular updates as new vulnerabilities continue to surface and attack surfaces expand. However, many organizations are barely aware of the required frequency of updates, and this exposes them to preventable attacks. Automating the software patching process is a viable solution to combat this issue. |
| Incident management | When cyberattacks occur, identifying which party is responsible for investigation and remediation is critical. Unfortunately, the shared responsibility model does not clearly spell out the delegation of responsibility. Additionally, cyberattacks can be targeted at anyone at either party (customer or CSP), so managing the attack is often slowed down by pinpointing the source and establishing who is responsible for remediation. |
| Complexity | Organizations offering multiple services often require multiple CSPs and unifying them into a single system may be cumbersome. Moreover, the multi-tiered nature of cloud deployments often necessitates the intervention of multiple departments, adding complexity to the question of who is responsible for what. Even when CSP versus customer responsibilities are clearly spelled out, identifying departments that are responsible for securing specific aspects of the cloud may be difficult. |
Una nueva visión para la respuesta compartida a las vulnerabilidades de la nube
En un blog anterior, el CTO de Wiz, Yinon Costica, destaca la necesidad de un nuevo modelo de respuesta compartida para manejar las vulnerabilidades de la nube. Usos de Yinon ChaosDB como ejemplo de por qué el modelo actual Carece de transparencia y claridad en el manejo de las vulnerabilidadescuál conduce a confusión y esfuerzos de remediación ineficaces.
Yinon propone un nuevo punto de partida sobre cómo los CSP y los clientes deben trabajar juntos para abordar las nuevas vulnerabilidades de la nube:
| Areas of Responsibility | CSPs | Customers |
|---|---|---|
| Software vulnerabilities |
|
|
| Cloud features and security configuration |
|
|
Echa un vistazo a Yinon'para obtener una explicación detallada de cada una de las responsabilidades anteriores y por qué cree que este nuevo modelo permitirá a los CSP y a los clientes responder de manera más eficiente a las nuevas vulnerabilidades de la nube:
Simplifique la responsabilidad compartida con Wiz
Aunque los proveedores de servicios en la nube y sus clientes tienen responsabilidades específicas de seguridad en la nube, puede ser difícil navegar por los límites y determinar quién es responsable de qué. Los principales CSP aconsejan que los clientes aprendan más sobre estas responsabilidades y tomen medidas proactivas para Seguridad en la nube.
Wiz se integra a la perfección con su CSP y proporciona una visibilidad completa del estado de seguridad de su entorno en la nube. Programe una demostración Hoy.
See Wiz In Action
Learn why CISOs at the fastest growing enterprises secure their cloud with Wiz.
