Qu’est-ce que le modèle de responsabilité partagée ?
Le modèle de responsabilité partagée est un cadre établissant qui est responsable de la sécurisation des différents aspects de l’environnement infonuagique entre le fournisseur de services infonuagiques (FSC) et le client ;. Le CSP est généralement chargé de la sécurité de l’infrastructure sous-jacente, tandis que c’est au client qu’il incombe de sécuriser ses données et ses applications hébergées dans le cloud.
Les fournisseurs de services de communication sont responsables de : Sécurisation des centres de données et de tous les équipements réseau. Ils s’occupent également de tâches telles que l’application de correctifs et la mise à jour des systèmes d’exploitation, ainsi que la garantie de la disponibilité et de la fiabilité des services cloud. C’est ce qu’on appelle le "Sécurité du cloud" responsabilité.
Les responsabilités des clients en matière de sécurité comprennent la mise en place de contrôles d’accès sécurisés, Chiffrement des données en transit et au repos, la gestion des comptes d’utilisateurs et des informations d’identification, et la mise en œuvre de mesures de sécurité spécifiques aux applications. C’est ce qu’on appelle le "Sécurité dans le cloud" responsabilité.
Par exemple, en tant que fournisseur de services cloud, Amazon S3 assure la sécurité physique de son centre de données et le protège contre les menaces au niveau de l’infrastructure. Toutefois, il est de la responsabilité des utilisateurs S3 de configurer correctement le contrôle d’accès et les autorisations pour leurs compartiments S3, de mettre en œuvre le chiffrement des données sensibles, et de surveiller et de gérer régulièrement l’accès aux données stockées.
Ces responsabilités ne sont pas largement comprises. Bien que 98 % des entreprises signalent une violation de données dans le cloud au cours des dix-huit derniers mois, seules les entreprises 13 % comprennent leurs responsabilités en matière de sécurité du cloud. De nombreuses entreprises s’appuient à tort sur leurs fournisseurs de services de communication pour la protection des données et la sécurité des applications. Combler ce manque de connaissances est une étape essentielle pour remplir les obligations en matière de sécurité du cloud.
La façon dont la responsabilité partagée varie selon le type de service
Le niveau de responsabilité partagée d’un client CSP dépend du type de service : logiciel en tant que service (SaaS), plate-forme en tant que service (PaaS) ou infrastructure en tant que service (IaaS).
Dans le modèle SaaS, Les fournisseurs de services de communication assument la plupart des responsabilités en matière de sécurité. Ils sécurisent l’application logicielle, y compris l’infrastructure et les réseaux, et ils sont responsables de la sécurité au niveau de l’application. Les responsabilités des clients incluent souvent la gestion de l’accès des utilisateurs et la garantie de la protection des données et de la sécurité des comptes. En bref, les clients comptent beaucoup sur leur fournisseur de services cloud pour la sécurité, la disponibilité et les performances du système.
Dans le modèle PaaS, les fournisseurs de services de communication gèrent l’infrastructure et les composants de plateforme sous-jacents, tels que le runtime, les bibliothèques et les systèmes d’exploitation. Les clients sont responsables du développement, de la maintenance et de la gestion des données et de l’accès des utilisateurs au sein de leurs applications.
Des trois modèles, Clients IaaS ont le plus haut niveau de responsabilité. Le fournisseur de services cloud sécurise l’infrastructure de base, y compris les machines virtuelles, le stockage et les réseaux, tandis que les clients sécurisent tout ce qui est construit sur l’infrastructure, comme le système d’exploitation, l’environnement d’exécution, les applications et les données.
Bien que les responsabilités mentionnées ci-dessus fournissent une vue d’ensemble, la répartition exacte des responsabilités varie d’un fournisseur de services de communication à l’autre. Il est recommandé de se référer aux accords de niveau de service spécifiques et à la documentation fournie par les fournisseurs de services de communication pour plus d’informations sur la répartition des responsabilités.
Responsabilités des clients en matière de sécurité du cloud
Les clients, plutôt que les fournisseurs de services de communication, portent souvent la responsabilité de la plupart des incidents de sécurité du cloud.
D’ici 2025, 99 % des défaillances de la sécurité du cloud sont censés provenir des clients.
Pour assurer le succès du modèle de responsabilité partagée, jetons un coup d’œil aux responsabilités des clients.
| Customer Responsibility | Description |
|---|---|
| Data protection | Ensuring data confidentiality, integrity, and availability is the customer’s purview. Best practices involve implementing proper access controls, encryption, and backups. |
| User access management | Implement appropriate permissions, enforce strong passwords, and adopt multi-factor authentication to keep user access secure. |
| Application security | Customers are accountable for securing cloud-hosted applications. Follow secure coding practices, conduct regular vulnerability assessments, and implement appropriate security controls to reduce application-level security threats. |
| Network controls | Firewalls, virtual private networks (VPNs), security groups, and other network-control configurations are essential customer responsibilities that protect cloud resources from unauthorized access. |
| Compliance and governance | Meeting regulatory requirements and implementing appropriate governance controls are also customer responsibilities. Each industry has unique regulations and frameworks. |
Les responsabilités typiques des fournisseurs de services de communication en matière de sécurité du cloud
La part des responsabilités des fournisseurs de services de communication comprend généralement la sécurité de l’infrastructure et des dépendances associées. Voici quelques-unes de leurs responsabilités en matière de sécurité.
| CSP Responsibility | Description |
|---|---|
| Physical security | As previously mentioned, CSPs are responsible for securing physical access to their data centers, using tools like surveillance systems, restricted-access areas, and environmental controls. |
| Network-infrastructure security | Each provider is responsible for securing cloud-network infrastructure, including routers, switches, and load balancers by implementing appropriate controls, such as intrusion detection and prevention systems. |
| Host-infrastructure security | CSPs secure underlying host infrastructures, including servers, virtualization layers, and storage systems. They implement proper configuration, patching, and security controls on these resources; update operating systems; and ensure overall availability and reliability of cloud services. |
| Compliance certifications | CSPs often undergo independent audits and attain certifications to demonstrate compliance with industry standards and regulations. These measures provide customers with assurances regarding their security practices. |
Chevauchement des responsabilités
Certaines responsabilités sont partagées entre les deux parties en fonction du type de service (SaaS, PaaS ou IaaS). Par exemple, dans le cadre de l' Modèle de responsabilité partagée de Microsoft, Les fournisseurs de services de communication et les clients SaaS et PaaS partagent la responsabilité de la sécurisation de l’infrastructure d’identité et d’annuaire. Alternativement, la sécurité des applications et les contrôles réseau sont partagés dans le cadre du modèle PaaS. Les fournisseurs de services de communication définissent clairement les limites des responsabilités par le biais d’accords de niveau de service (SLA). Il existe généralement des chevauchements dans les domaines suivants :
Systèmes d’exploitation
Qu’un utilisateur apporte son propre système d’exploitation (OS) ou déploie un système d’exploitation fourni par le fournisseur de cloud, la responsabilité de choisir le système d’exploitation approprié pour répondre aux exigences de sécurité d’une organisation incombe à l’utilisateur. Si l’utilisateur choisit le système d’exploitation du CSP, il est responsable de sa sécurité. Toutefois, si un client apporte son propre système d’exploitation, son organisation est responsable de sa sécurité.
Outils natifs et outils tiers
Les fournisseurs sont responsables du déploiement, de la gestion, de la maintenance et de la mise à jour des services. Cependant, lors du déploiement d’un outil ou d’une application tiers en tant que charge de travail, le client est chargé de sécuriser l’application et ses données, tandis que le CSP'La responsabilité de l’infrastructure et de la virtualisation est limitée.
Informatique basée sur serveur ou sans serveur
Dans l’informatique sur serveur, l’utilisateur est responsable du choix du système d’exploitation, du déploiement de la charge de travail et de la configuration des paramètres de sécurité nécessaires. D’autre part, dans l’informatique sans serveur ou basée sur les événements, l’utilisateur est responsable du code déployé et des options de sécurité ou de configuration définies par l’utilisateur fournies par le fournisseur de cloud.
Contrôles réseau
Qu’ils déploient leur propre pare-feu ou qu’ils utilisent celui du fournisseur, les clients sont responsables de la configuration des règles de pare-feu et de la garantie d’une configuration conforme aux normes de sécurité.
Security Leaders Handbook: The Strategic Guide to Cloud Security
Learn the new cloud security operating model and steps towards cloud security maturity. This practical guide helps transform security teams and processes to remove risks and support secure cloud development.
Download Handbook
Exemples de modèle de responsabilité partagée
Les principaux fournisseurs de services de communication tels qu’Amazon Web Services (AWS), Google Cloud Platform (GCP) et Azure ont établi leurs propres modèles de responsabilité partagée, qui décrivent les responsabilités de sécurité entre le fournisseur et le client.
Le modèle de responsabilité partagée d’AWS
Le modèle de responsabilité partagée d’AWS indique qu’AWS est «responsable de la protection de l’infrastructure qui exécute tous les services dans le cloud AWS. Ils assument la responsabilité du matériel et des logiciels, y compris les centres de données physiques, les réseaux, les emplacements périphériques et les couches de virtualisation.
AWS sécurise également ses services gérés, tels qu’AWS DynamoDB, RDS, Redshift, Elastic et EMR. Toutefois, les clients sont responsables de la sécurisation de leurs propres applications et données, ainsi que de la gestion des contrôles d’accès et des configurations au sein de leurs comptes AWS.
Connect Wiz with Amazon Web Services (AWS)
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
Le modèle de responsabilité partagée de GCP
Google Cloud Platform (GCP) suit un Une responsabilité partagée et un destin partagé. Lancement de GCP 'Partager le destin' pour relever les défis pour lesquels ils estiment que le modèle de responsabilité partagée n’est pas à la hauteur.
GCP sécurise les infrastructures cloud sous-jacentes et fournit des options complémentaires que les clients peuvent exploiter pour s’acquitter de la responsabilité de la sécurisation des applications et des données, de la gestion de l’accès et des autorisations des utilisateurs, de la configuration des paramètres de sécurité et de la mise en œuvre de mesures de sécurité appropriées dans le cadre de leurs projets.
Connect Wiz with Google Cloud (GCP)
Build faster and more securely on Google Cloud Platform with Wiz.
Learn more
Modèle de responsabilité partagée d’Azure
Microsoft Azure s’appuie sur un modèle de responsabilité partagée similaire à celui de GCP.
Bien qu’Azure sécurise les services managés, les clients possèdent et sécurisent l’ensemble de la pile s’ils exploitent un centre de données local.
Les défis du modèle de responsabilité partagée
Malgré ses nombreux avantages, le modèle de responsabilité partagée présente également les défis suivants :
| Challenge | Description |
|---|---|
| Access control | Organizations must always protect customer data. However, the shared responsibility model requires that CSPs have unguarded access to sensitive infrastructure to evaluate security posture, contradicting an organization’s exclusive access to customer data. This has pushed many organizations into implementing role-based access control (RBAC) to ensure that authorized individuals have access to perform only pre-specified duties. |
| Vagueness | There are important areas of cloud security where the model does not clearly spell out the security responsibilities of each party. For instance, cloud middleware—which sits between organizations and CSPs for cloud security posture management—requires regular updates as new vulnerabilities continue to surface and attack surfaces expand. However, many organizations are barely aware of the required frequency of updates, and this exposes them to preventable attacks. Automating the software patching process is a viable solution to combat this issue. |
| Incident management | When cyberattacks occur, identifying which party is responsible for investigation and remediation is critical. Unfortunately, the shared responsibility model does not clearly spell out the delegation of responsibility. Additionally, cyberattacks can be targeted at anyone at either party (customer or CSP), so managing the attack is often slowed down by pinpointing the source and establishing who is responsible for remediation. |
| Complexity | Organizations offering multiple services often require multiple CSPs and unifying them into a single system may be cumbersome. Moreover, the multi-tiered nature of cloud deployments often necessitates the intervention of multiple departments, adding complexity to the question of who is responsible for what. Even when CSP versus customer responsibilities are clearly spelled out, identifying departments that are responsible for securing specific aspects of the cloud may be difficult. |
Une nouvelle vision pour la réponse partagée aux vulnérabilités du cloud
Dans un blog précédent, Yinon Costica, CTO de Wiz, souligne la nécessité d’un nouveau modèle de réponse partagée pour gérer les vulnérabilités du cloud. Yinon utilise ChaosDB (en anglais seulement) À titre d’exemple de la raison pour laquelle le modèle actuel manque de transparence et de clarté dans le traitement des vulnérabilitésquel conduit à la confusion et à des efforts de remédiation inefficaces.
Yinon propose un nouveau point de départ sur la façon dont les fournisseurs de services de communication et les clients devraient travailler ensemble pour faire face aux nouvelles vulnérabilités du cloud :
| Areas of Responsibility | CSPs | Customers |
|---|---|---|
| Software vulnerabilities |
|
|
| Cloud features and security configuration |
|
|
Découvrez Yinon'pour une explication détaillée de chacune des responsabilités ci-dessus, et pourquoi il pense que ce nouveau modèle permettra aux fournisseurs de services de communication et aux clients de répondre plus efficacement aux nouvelles vulnérabilités du cloud :
Simplifiez le partage des responsabilités avec Wiz
Bien que les fournisseurs de services cloud et leurs clients aient chacun des responsabilités spécifiques en matière de sécurité du cloud, il peut être difficile de s’y retrouver et de déterminer qui est responsable de quoi. Les principaux fournisseurs de services de communication conseillent aux clients d’en apprendre davantage sur ces responsabilités et de prendre des mesures proactives pour Sécurité du cloud.
Wiz s’intègre de manière transparente à votre fournisseur de services cloud et offre une visibilité complète sur l’état de sécurité de votre environnement cloud. Planifier une démo Aujourd’hui.
See Wiz In Action
Learn why CISOs at the fastest growing enterprises secure their cloud with Wiz.
