공동 책임 모델이란 무엇입니까?
공동 책임 모델은 다음과 같습니다. 클라우드 서비스 공급자(CSP)와 고객 간의 클라우드 컴퓨팅 환경의 다양한 측면을 보호할 책임이 있는 사람을 설정하는 프레임워크입니다. CSP는 일반적으로 기본 인프라의 보안을 담당하는 반면, 클라우드 호스팅 데이터 및 애플리케이션을 보호하는 것은 고객의 몫입니다.
CSP는 다음을 담당합니다. 데이터 센터 및 모든 네트워킹 장비 보안. 또한 운영 체제 패치 및 업데이트와 같은 작업을 처리하고 클라우드 서비스의 가용성과 안정성을 보장합니다. 이를 다음과 같이 합니다. "클라우드의 보안" 책임.
고객의 보안 책임은 다음과 같습니다 보안 액세스 제어 설정, 전송 중인 데이터와 미사용 데이터 암호화, 사용자 계정 및 자격 증명을 관리하고 응용 프로그램별 보안 조치를 구현합니다. 이를 "클라우드의 보안" 책임.
예를 들어, CSP로서 Amazon S3는 데이터 센터의 물리적 보안을 보장하고 인프라 수준의 위협으로부터 보호합니다. 그러나 S3 버킷에 대한 액세스 제어 및 권한을 적절하게 구성하고, 민감한 데이터에 대한 암호화를 구현하고, 저장된 데이터에 대한 액세스를 정기적으로 모니터링 및 관리하는 것은 S3 사용자의 책임입니다.
이러한 책임은 널리 알려져 있지 않습니다. 기업의 98%가 지난 18개월 이내에 클라우드 데이터 침해를 보고했지만 13%는 클라우드 보안 책임을 이해하고 있습니다.. 많은 조직이 데이터 보호 및 애플리케이션 보안을 위해 CSP에 잘못 의존하고 있습니다. 이러한 지식 격차를 해소하는 것은 클라우드 보안 의무를 이행하기 위한 필수 단계입니다.
서비스 유형에 따른 공동 책임의 차이점
CSP 고객의 공동 책임 수준은 SaaS(Software as a Service), PaaS(Platform as a Service) 또는 IaaS(Infrastructure as a Service)와 같은 서비스 유형에 따라 달라집니다.
SaaS 모델에서, CSP는 대부분의 보안 책임을 집니다. 인프라와 네트워크를 포함한 소프트웨어 응용 프로그램을 보호하고 응용 프로그램 수준 보안을 담당합니다. 고객의 책임에는 종종 사용자 액세스 관리, 데이터 보호 및 계정 보안 보장이 포함됩니다. 요컨대, 고객은 보안, 가동 시간 및 시스템 성능을 위해 클라우드 서비스 공급자에 크게 의존합니다.
PaaS 모델의 경우CSP는 인프라와 런타임, 라이브러리, 운영 체제와 같은 기본 플랫폼 구성 요소를 관리합니다. 고객은 애플리케이션 내에서 데이터 및 사용자 액세스를 개발, 유지 및 관리할 책임이 있습니다.
3가지 모델 중, IaaS 고객 가장 높은 수준의 책임을 집니다. CSP는 가상 머신, 스토리지 및 네트워크를 포함한 기본 인프라를 보호하는 반면, 고객은 운영 체제, 런타임, 애플리케이션 및 데이터와 같은 인프라에 구축된 모든 것을 보호합니다.
위에서 언급한 책임은 일반적인 개요를 제공하지만 정확한 책임 분담은 CSP마다 다릅니다. 책임 분배에 대한 자세한 내용은 CSP에서 제공하는 특정 서비스 수준 계약 및 설명서를 참조하는 것이 가장 좋습니다.
고객의 클라우드 보안 책임
대부분의 클라우드 보안 사고에 대한 책임은 CSP가 아닌 고객에게 있는 경우가 많습니다.
2025년까지 클라우드 보안 실패의 99% 고객으로부터 올 것으로 예상됩니다.
공동 책임 모델에서 성공을 보장하기 위해 고객 책임에 대해 살펴보겠습니다.
| Customer Responsibility | Description |
|---|---|
| Data protection | Ensuring data confidentiality, integrity, and availability is the customer’s purview. Best practices involve implementing proper access controls, encryption, and backups. |
| User access management | Implement appropriate permissions, enforce strong passwords, and adopt multi-factor authentication to keep user access secure. |
| Application security | Customers are accountable for securing cloud-hosted applications. Follow secure coding practices, conduct regular vulnerability assessments, and implement appropriate security controls to reduce application-level security threats. |
| Network controls | Firewalls, virtual private networks (VPNs), security groups, and other network-control configurations are essential customer responsibilities that protect cloud resources from unauthorized access. |
| Compliance and governance | Meeting regulatory requirements and implementing appropriate governance controls are also customer responsibilities. Each industry has unique regulations and frameworks. |
CSP의 일반적인 클라우드 보안 책임
CSP의 책임 분담에는 일반적으로 인프라 보안 및 관련 종속성이 포함됩니다. 일부 보안 책임은 다음과 같습니다.
| CSP Responsibility | Description |
|---|---|
| Physical security | As previously mentioned, CSPs are responsible for securing physical access to their data centers, using tools like surveillance systems, restricted-access areas, and environmental controls. |
| Network-infrastructure security | Each provider is responsible for securing cloud-network infrastructure, including routers, switches, and load balancers by implementing appropriate controls, such as intrusion detection and prevention systems. |
| Host-infrastructure security | CSPs secure underlying host infrastructures, including servers, virtualization layers, and storage systems. They implement proper configuration, patching, and security controls on these resources; update operating systems; and ensure overall availability and reliability of cloud services. |
| Compliance certifications | CSPs often undergo independent audits and attain certifications to demonstrate compliance with industry standards and regulations. These measures provide customers with assurances regarding their security practices. |
중복되는 책임
일부 책임은 서비스 유형(SaaS, PaaS 또는 IaaS)에 따라 양 당사자가 공유합니다. 예를 들어, Microsoft 공동 책임 모델, CSP와 SaaS 및 PaaS 고객은 ID 및 디렉터리 인프라 보안에 대한 책임을 공유합니다. 또는 애플리케이션 보안 및 네트워크 제어가 PaaS 모델에서 공유됩니다. CSP는 서비스 수준 계약(SLA)을 통해 책임의 경계를 명확하게 정의합니다. 겹침은 일반적으로 다음 영역에 존재합니다.
운영 체제
사용자가 자신의 OS(운영 체제)를 가져오든 클라우드 공급자가 제공하는 OS를 배포하든 관계없이 조직의 보안 요구 사항을 충족하는 적절한 OS를 선택할 책임은 사용자에게 있습니다. 사용자가 CSP의 운영 체제를 선택하는 경우 보안에 대한 책임은 사용자에게 있습니다. 그러나 고객이 자체 OS를 가져오는 경우 해당 조직은 보안에 대한 책임이 있습니다.
네이티브 vs. 서드파티 툴
공급자는 서비스를 배포, 관리, 유지 및 업데이트할 책임이 있습니다. 타사 도구 또는 응용 프로그램을 워크로드로 배포할 때 고객은 응용 프로그램과 해당 데이터를 보호해야 하는 반면 CSP는'의 책임은 인프라 및 가상화 계층으로 제한됩니다.
서버 기반 컴퓨팅과 서버리스 컴퓨팅 비교
서버 기반 컴퓨팅에서 사용자는 운영 체제를 선택하고, 워크로드를 배포하고, 필요한 보안 설정을 구성해야 합니다. 반면, 서버리스 또는 이벤트 기반 컴퓨팅에서 사용자는 클라우드 공급업체가 제공하는 배포된 코드 및 사용자 정의 보안 또는 구성 옵션에 대한 책임이 있습니다.
네트워크 제어
자체 방화벽을 배포하든 공급자의 방화벽을 사용하든 고객은 방화벽 규칙을 구성하고 적절한 보안 표준 구성을 보장할 책임이 있습니다.
Security Leaders Handbook: The Strategic Guide to Cloud Security
Learn the new cloud security operating model and steps towards cloud security maturity. This practical guide helps transform security teams and processes to remove risks and support secure cloud development.
Download Handbook
공동 책임 모델의 예
AWS(Amazon Web Services), GCP(Google Cloud Platform) 및 Azure와 같은 주요 CSP는 공급자-고객 보안 책임을 설명하는 자체 공동 책임 모델을 수립했습니다.
AWS 공동 책임 모델
AWS 공동 책임 모델은 AWS가 "인프라 보호를 담당합니다. AWS 클라우드에서 모든 서비스를 실행합니다." 이들은 물리적 데이터 센터, 네트워크, 엣지 로케이션 및 가상화 계층을 포함한 하드웨어와 소프트웨어를 모두 책임집니다.
또한 AWS는 AWS DynamoDB, RDS, Redshift, Elastic 및 EMR과 같은 관리형 서비스를 보호합니다. 그러나 고객은 자신의 애플리케이션과 데이터를 보호하고 AWS 계정 내에서 액세스 제어 및 구성을 관리할 책임이 있습니다.
Connect Wiz with Amazon Web Services (AWS)
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
GCP 공동 책임 모델
Google Cloud Platform(GCP)은 공동 책임 및 공동 운명 모델. GCP 도입 '운명을 나누다' 공동 책임 모델이 부족하다고 생각하는 문제를 해결합니다.
GCP는 기본 클라우드 인프라를 보호하고 고객이 애플리케이션 및 데이터 보안, 사용자 액세스 및 권한 관리, 보안 설정 구성, 프로젝트 내 적절한 보안 조치 구현에 대한 책임을 이행하는 데 활용할 수 있는 추가 기능 옵션을 제공합니다.
Connect Wiz with Google Cloud (GCP)
Build faster and more securely on Google Cloud Platform with Wiz.
Learn more
Azure의 공동 책임 모델
Microsoft Azure는 GCP의 모델과 유사한 공동 책임 모델을 활용합니다.
Azure는 관리형 서비스를 보호하지만, 온-프레미스 데이터 센터를 운영하는 경우 고객이 전체 스택을 소유하고 보호합니다.
공동 책임 모델의 과제
여러 가지 이점에도 불구하고 공동 책임 모델에는 다음과 같은 과제도 있습니다.
| Challenge | Description |
|---|---|
| Access control | Organizations must always protect customer data. However, the shared responsibility model requires that CSPs have unguarded access to sensitive infrastructure to evaluate security posture, contradicting an organization’s exclusive access to customer data. This has pushed many organizations into implementing role-based access control (RBAC) to ensure that authorized individuals have access to perform only pre-specified duties. |
| Vagueness | There are important areas of cloud security where the model does not clearly spell out the security responsibilities of each party. For instance, cloud middleware—which sits between organizations and CSPs for cloud security posture management—requires regular updates as new vulnerabilities continue to surface and attack surfaces expand. However, many organizations are barely aware of the required frequency of updates, and this exposes them to preventable attacks. Automating the software patching process is a viable solution to combat this issue. |
| Incident management | When cyberattacks occur, identifying which party is responsible for investigation and remediation is critical. Unfortunately, the shared responsibility model does not clearly spell out the delegation of responsibility. Additionally, cyberattacks can be targeted at anyone at either party (customer or CSP), so managing the attack is often slowed down by pinpointing the source and establishing who is responsible for remediation. |
| Complexity | Organizations offering multiple services often require multiple CSPs and unifying them into a single system may be cumbersome. Moreover, the multi-tiered nature of cloud deployments often necessitates the intervention of multiple departments, adding complexity to the question of who is responsible for what. Even when CSP versus customer responsibilities are clearly spelled out, identifying departments that are responsible for securing specific aspects of the cloud may be difficult. |
클라우드 취약성에 대한 공동 대응을 위한 새로운 비전
이전 블로그에서 Wiz의 CTO인 Yinon Costica는 클라우드 취약성을 처리하기 위한 새로운 공유 대응 모델의 필요성을 강조했습니다. Yinon은 다음을 사용합니다. 카오스DB 왜 현재 모델인지에 대한 예로, 취약성 처리에 대한 투명성과 명확성이 부족합니다.어느 혼란과 비효율적인 수정 노력으로 이어집니다.
Yinon은 CSP와 고객이 새로운 클라우드 취약점을 해결하기 위해 어떻게 협력해야 하는지에 대한 새로운 시작점을 제안합니다.
| Areas of Responsibility | CSPs | Customers |
|---|---|---|
| Software vulnerabilities |
|
|
| Cloud features and security configuration |
|
|
Yinon을 확인하십시오'위의 각 책임에 대한 자세한 설명과 이 새로운 모델을 통해 CSP와 고객이 새로운 클라우드 취약성에 보다 효율적으로 대응할 수 있다고 생각하는 이유를 확인할 수 있습니다.
Wiz를 통한 책임 분담 간소화
클라우드 서비스 공급자와 그 고객은 각각 특정 클라우드 보안 책임이 있지만, 경계를 탐색하고 누가 무엇을 담당하는지 결정하는 것은 어려울 수 있습니다. 주요 CSP는 고객이 이러한 책임에 대해 더 많이 배우고 이를 위해 적극적인 조치를 취할 것을 조언합니다. 클라우드 보안.
Wiz는 CSP와 원활하게 통합되며 클라우드 환경의 보안 상태에 대한 완벽한 가시성을 제공합니다. 데모 일정 잡기 오늘.
See Wiz In Action
Learn why CISOs at the fastest growing enterprises secure their cloud with Wiz.
