Che cos'è il modello di responsabilità condivisa?
Il modello di responsabilità condivisa è un quadro che stabilisce chi è responsabile della protezione dei diversi aspetti dell'ambiente di cloud computing tra il provider di servizi cloud (CSP) e il cliente. Il CSP è generalmente responsabile della sicurezza dell'infrastruttura sottostante, mentre spetta al cliente proteggere i dati e le applicazioni ospitati nel cloud.
I CSP sono responsabili di Proteggere i data center e tutte le apparecchiature di rete. Gestiscono anche attività come l'applicazione di patch e l'aggiornamento dei sistemi operativi, oltre a garantire la disponibilità e l'affidabilità dei servizi cloud. Questo è noto come il "Sicurezza del cloud" responsabilità.
Le responsabilità di sicurezza dei clienti includono l'impostazione di controlli di accesso sicuri, Crittografia dei dati in transito e inattivi, la gestione degli account utente e delle credenziali e l'implementazione di misure di sicurezza specifiche per le applicazioni. Questo è chiamato il "Sicurezza nel cloud" responsabilità.
Ad esempio, in qualità di CSP, Amazon S3 garantisce la sicurezza fisica del data center e protegge dalle minacce a livello di infrastruttura. Tuttavia, è responsabilità degli utenti S3 configurare correttamente il controllo degli accessi e le autorizzazioni per i propri bucket S3, implementare la crittografia per i dati sensibili e monitorare e gestire regolarmente l'accesso ai dati archiviati.
Queste responsabilità non sono ampiamente comprese. Sebbene il 98% delle aziende abbia segnalato una violazione dei dati cloud negli ultimi diciotto mesi, solo Il 13% comprende le proprie responsabilità in materia di sicurezza del cloud. Molte organizzazioni si affidano erroneamente ai propri CSP per la protezione dei dati e la sicurezza delle applicazioni. Colmare questa lacuna di conoscenza è un passo essenziale verso l'adempimento degli obblighi di sicurezza del cloud.
In che modo la responsabilità condivisa varia in base al tipo di servizio
Il livello di responsabilità condivisa di un cliente CSP dipende dal tipo di servizio: Software as a Service (SaaS), Platform as a Service (PaaS) o Infrastructure as a Service (IaaS).
Nel modello SaaS, I CSP hanno la maggior parte delle responsabilità in materia di sicurezza. Proteggono l'applicazione software, inclusi l'infrastruttura e le reti, e sono responsabili della sicurezza a livello di applicazione. Le responsabilità dei clienti spesso includono la gestione dell'accesso degli utenti e la garanzia che i dati siano protetti e che gli account siano sicuri. In breve, i clienti fanno molto affidamento sul proprio provider di servizi cloud per la sicurezza, i tempi di attività e le prestazioni del sistema.
Nel modello PaaS, i CSP gestiscono l'infrastruttura e i componenti della piattaforma sottostante, ad esempio runtime, librerie e sistemi operativi. I clienti sono responsabili dello sviluppo, della manutenzione e della gestione dei dati e dell'accesso degli utenti all'interno delle proprie applicazioni.
Dei tre modelli, Clienti IaaS avere il massimo livello di responsabilità. Il CSP protegge l'infrastruttura di base, comprese le macchine virtuali, lo storage e le reti, mentre i clienti proteggono tutto ciò che è costruito sull'infrastruttura, ad esempio il sistema operativo, il runtime, le applicazioni e i dati.
Sebbene le responsabilità sopra menzionate forniscano una panoramica generale, l'esatta suddivisione delle responsabilità varia tra i CSP. È consigliabile fare riferimento a contratti di servizio specifici e alla documentazione fornita dai CSP per altre informazioni sulla distribuzione delle responsabilità.
Responsabilità dei clienti in materia di sicurezza del cloud
I clienti, piuttosto che i CSP, sono spesso responsabili della maggior parte degli incidenti di sicurezza del cloud.
Entro il 2025 99% dei fallimenti della sicurezza del cloud si prevede che provengano dai clienti.
Per garantire il successo del modello di responsabilità condivisa, diamo un'occhiata alle responsabilità dei clienti.
| Customer Responsibility | Description |
|---|---|
| Data protection | Ensuring data confidentiality, integrity, and availability is the customer’s purview. Best practices involve implementing proper access controls, encryption, and backups. |
| User access management | Implement appropriate permissions, enforce strong passwords, and adopt multi-factor authentication to keep user access secure. |
| Application security | Customers are accountable for securing cloud-hosted applications. Follow secure coding practices, conduct regular vulnerability assessments, and implement appropriate security controls to reduce application-level security threats. |
| Network controls | Firewalls, virtual private networks (VPNs), security groups, and other network-control configurations are essential customer responsibilities that protect cloud resources from unauthorized access. |
| Compliance and governance | Meeting regulatory requirements and implementing appropriate governance controls are also customer responsibilities. Each industry has unique regulations and frameworks. |
Responsabilità tipiche dei CSP in materia di sicurezza del cloud
La parte di responsabilità dei CSP include in genere la sicurezza dell'infrastruttura e le relative dipendenze. Alcune delle loro responsabilità in materia di sicurezza includono quanto segue.
| CSP Responsibility | Description |
|---|---|
| Physical security | As previously mentioned, CSPs are responsible for securing physical access to their data centers, using tools like surveillance systems, restricted-access areas, and environmental controls. |
| Network-infrastructure security | Each provider is responsible for securing cloud-network infrastructure, including routers, switches, and load balancers by implementing appropriate controls, such as intrusion detection and prevention systems. |
| Host-infrastructure security | CSPs secure underlying host infrastructures, including servers, virtualization layers, and storage systems. They implement proper configuration, patching, and security controls on these resources; update operating systems; and ensure overall availability and reliability of cloud services. |
| Compliance certifications | CSPs often undergo independent audits and attain certifications to demonstrate compliance with industry standards and regulations. These measures provide customers with assurances regarding their security practices. |
Sovrapposizione di responsabilità
Alcune responsabilità sono condivise da entrambe le parti in base al tipo di servizio (SaaS, PaaS o IaaS). Ad esempio, nell'ambito del Modello di responsabilità condivisa Microsoft, I CSP e i clienti SaaS e PaaS condividono la responsabilità di proteggere l'infrastruttura di identità e directory. In alternativa, la sicurezza delle applicazioni e i controlli di rete sono condivisi nel modello PaaS. I CSP definiscono chiaramente i confini delle responsabilità attraverso accordi sul livello di servizio (SLA). Di solito esistono sovrapposizioni nelle seguenti aree:
Sistemi operativi
Indipendentemente dal fatto che un utente porti il proprio sistema operativo o distribuisca un sistema operativo fornito dal provider di servizi cloud, la responsabilità di scegliere il sistema operativo appropriato per soddisfare i requisiti di sicurezza di un'organizzazione spetta all'utente. Se l'utente sceglie il sistema operativo del CSP, è responsabile della sua sicurezza. Tuttavia, se un cliente porta il proprio sistema operativo, la sua organizzazione è responsabile della sua sicurezza.
Strumenti nativi e strumenti di terze parti
I provider sono responsabili della distribuzione, della gestione, della manutenzione e dell'aggiornamento dei servizi. Tuttavia, quando si distribuisce uno strumento o un'applicazione di terze parti come carico di lavoro, il cliente è responsabile della protezione dell'applicazione e dei relativi dati, mentre il CSP'La responsabilità è limitata all'infrastruttura e al livello di virtualizzazione.
Elaborazione basata su server e serverless a confronto
Nell'elaborazione basata su server, l'utente è responsabile della scelta del sistema operativo, della distribuzione del carico di lavoro e della configurazione delle impostazioni di sicurezza necessarie. D'altra parte, nell'elaborazione serverless o basata su eventi, l'utente è responsabile del codice distribuito e delle opzioni di sicurezza o configurazione definite dall'utente fornite dal fornitore del cloud.
Controlli di rete
Sia che distribuiscano il proprio firewall o utilizzino quello del provider, i clienti sono responsabili della configurazione delle regole del firewall e della garanzia di una corretta configurazione degli standard di sicurezza.
Security Leaders Handbook: The Strategic Guide to Cloud Security
Learn the new cloud security operating model and steps towards cloud security maturity. This practical guide helps transform security teams and processes to remove risks and support secure cloud development.
Download Handbook
Esempi di modello di responsabilità condivisa
I principali CSP come Amazon Web Services (AWS), Google Cloud Platform (GCP) e Azure hanno stabilito i propri modelli di responsabilità condivisa, che delineano le responsabilità di sicurezza tra provider e clienti.
Il modello di responsabilità condivisa di AWS
Il modello di responsabilità condivisa di AWS delinea che AWS è "responsabile della protezione dell'infrastruttura che esegue tutti i servizi nel cloud AWS." Si assumono la responsabilità sia dell'hardware che del software, inclusi i data center fisici, le reti, le edge location e i livelli di virtualizzazione.
AWS protegge anche i propri servizi gestiti, come AWS DynamoDB, RDS, Redshift, Elastic ed EMR. Tuttavia, i clienti sono responsabili della protezione delle proprie applicazioni e dei propri dati e della gestione dei controlli di accesso e delle configurazioni all'interno dei propri account AWS.
Connect Wiz with Amazon Web Services (AWS)
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
Il modello di responsabilità condivisa di GCP
Google Cloud Platform (GCP) segue un Modello di responsabilità condivisa e di destino condiviso. Introduzione di GCP 'Condividi Destino' per affrontare le sfide in cui ritengono che il modello di responsabilità condivisa non sia all'altezza.
GCP protegge le infrastrutture cloud sottostanti e fornisce opzioni aggiuntive che i clienti possono sfruttare per scaricare la responsabilità della protezione di applicazioni e dati, della gestione dell'accesso e delle autorizzazioni degli utenti, della configurazione delle impostazioni di sicurezza e dell'implementazione di misure di sicurezza appropriate all'interno dei loro progetti.
Connect Wiz with Google Cloud (GCP)
Build faster and more securely on Google Cloud Platform with Wiz.
Learn more
Modello di responsabilità condivisa di Azure
Microsoft Azure sfrutta un modello di responsabilità condivisa simile al modello di GCP.
Anche se Azure protegge i servizi gestiti, i clienti possiedono e proteggono l'intero stack se gestiscono un data center locale.
Le sfide del modello di responsabilità condivisa
Nonostante i suoi numerosi vantaggi, il modello di responsabilità condivisa presenta anche le seguenti sfide:
| Challenge | Description |
|---|---|
| Access control | Organizations must always protect customer data. However, the shared responsibility model requires that CSPs have unguarded access to sensitive infrastructure to evaluate security posture, contradicting an organization’s exclusive access to customer data. This has pushed many organizations into implementing role-based access control (RBAC) to ensure that authorized individuals have access to perform only pre-specified duties. |
| Vagueness | There are important areas of cloud security where the model does not clearly spell out the security responsibilities of each party. For instance, cloud middleware—which sits between organizations and CSPs for cloud security posture management—requires regular updates as new vulnerabilities continue to surface and attack surfaces expand. However, many organizations are barely aware of the required frequency of updates, and this exposes them to preventable attacks. Automating the software patching process is a viable solution to combat this issue. |
| Incident management | When cyberattacks occur, identifying which party is responsible for investigation and remediation is critical. Unfortunately, the shared responsibility model does not clearly spell out the delegation of responsibility. Additionally, cyberattacks can be targeted at anyone at either party (customer or CSP), so managing the attack is often slowed down by pinpointing the source and establishing who is responsible for remediation. |
| Complexity | Organizations offering multiple services often require multiple CSPs and unifying them into a single system may be cumbersome. Moreover, the multi-tiered nature of cloud deployments often necessitates the intervention of multiple departments, adding complexity to the question of who is responsible for what. Even when CSP versus customer responsibilities are clearly spelled out, identifying departments that are responsible for securing specific aspects of the cloud may be difficult. |
Una nuova visione per la risposta condivisa alle vulnerabilità del cloud
In un blog precedente, Yinon Costica, CTO di Wiz, sottolinea la necessità di un nuovo modello di risposta condiviso per la gestione delle vulnerabilità del cloud. Yinon usa ChaosDB come esempio del perché l'attuale modello manca di trasparenza e chiarezza nella gestione delle vulnerabilitàche porta a confusione e a sforzi di correzione inefficaci.
Yinon propone un nuovo punto di partenza per il modo in cui CSP e clienti dovrebbero lavorare insieme per affrontare le nuove vulnerabilità del cloud:
| Areas of Responsibility | CSPs | Customers |
|---|---|---|
| Software vulnerabilities |
|
|
| Cloud features and security configuration |
|
|
Dai un'occhiata a Yinon's per una spiegazione dettagliata di ciascuna delle responsabilità di cui sopra e perché pensa che questo nuovo modello consentirà ai CSP e ai clienti di rispondere in modo più efficiente alle nuove vulnerabilità del cloud:
Semplifica la responsabilità condivisa con Wiz
Sebbene i provider di servizi cloud e i loro clienti abbiano responsabilità specifiche in materia di sicurezza del cloud, può essere difficile superare i confini e determinare chi è responsabile di cosa. I principali CSP consigliano ai clienti di saperne di più su queste responsabilità e di adottare misure proattive per Sicurezza del cloud.
Wiz si integra perfettamente con il tuo CSP e fornisce una visibilità completa sullo stato di sicurezza del tuo ambiente cloud. Pianifica una demo Oggi.
See Wiz In Action
Learn why CISOs at the fastest growing enterprises secure their cloud with Wiz.
