O que é o modelo de responsabilidade compartilhada?
O modelo de responsabilidade compartilhada é uma estrutura que estabelece quem é responsável por proteger diferentes aspectos do ambiente de computação em nuvem entre o provedor de serviços de nuvem (CSP) e o cliente. O CSP geralmente é encarregado da segurança da infraestrutura subjacente, enquanto cabe ao cliente proteger seus dados e aplicativos hospedados na nuvem.
Os CSPs são responsáveis por protegendo data centers e todos os equipamentos de rede. Eles também lidam com tarefas como aplicar patches e atualizar sistemas operacionais, além de garantir a disponibilidade e a confiabilidade dos serviços de nuvem. Isso é conhecido como o "Segurança da nuvem" responsabilidade.
As responsabilidades de segurança dos clientes incluem criação de controlos de acesso seguros, Criptografando dados em trânsito e em repouso, gerenciando contas e credenciais de usuário e implementando medidas de segurança específicas do aplicativo. Isso é chamado de "Segurança na nuvem" responsabilidade.
Por exemplo, como CSP, o Amazon S3 garante a segurança física de seu data center e protege contra ameaças no nível da infraestrutura. No entanto, é responsabilidade dos usuários do S3 configurar corretamente o controle de acesso e as permissões para seus buckets do S3, implementar criptografia para dados confidenciais e monitorar e gerenciar regularmente o acesso aos dados armazenados.
Essas responsabilidades não são amplamente compreendidas. Embora 98% das empresas relatem uma violação de dados em nuvem nos últimos dezoito meses, apenas 13% entendem suas responsabilidades de segurança na nuvem. Muitas organizações confiam erroneamente em seus CSPs para proteção de dados e segurança de aplicativos. Fechar essa lacuna de conhecimento é um passo essencial para cumprir as obrigações de segurança na nuvem.
Como a responsabilidade compartilhada varia de acordo com o tipo de serviço
O nível de responsabilidade compartilhada de um cliente CSP depende do tipo de serviço: software como serviço (SaaS), plataforma como serviço (PaaS) ou infraestrutura como serviço (IaaS).
No modelo SaaS, Os CSPs têm a maioria das responsabilidades de segurança. Eles protegem o aplicativo de software, incluindo infraestrutura e redes, e são responsáveis pela segurança em nível de aplicativo. As responsabilidades dos clientes geralmente incluem gerenciar o acesso do usuário e garantir que os dados estejam protegidos e as contas seguras. Em suma, os clientes dependem muito de seu provedor de serviços de nuvem para segurança, tempo de atividade e desempenho do sistema.
No modelo PaaS, os CSPs gerenciam a infraestrutura e os componentes subjacentes da plataforma, como tempo de execução, bibliotecas e sistemas operacionais. Os clientes são responsáveis por desenvolver, manter e gerenciar dados e acesso de usuários em seus aplicativos.
Dos três modelos, Clientes IaaS ter o mais alto nível de responsabilidade. O CSP protege a infraestrutura básica, incluindo máquinas virtuais, armazenamento e redes — enquanto os clientes protegem tudo o que foi criado na infraestrutura, como o sistema operacional, o tempo de execução, os aplicativos e os dados.
Embora as responsabilidades mencionadas acima forneçam uma visão geral, a divisão exata de responsabilidades varia entre os DEP. É uma prática recomendada consultar contratos de nível de serviço específicos e documentação fornecida por CSPs para obter mais informações sobre distribuição de responsabilidades..
Responsabilidades dos clientes em segurança na nuvem
Os clientes, em vez de CSPs, geralmente são responsáveis pela maioria dos incidentes de segurança na nuvem.
Até 2025, 99% das falhas de segurança na nuvem estão previstos para vir de clientes.
Para garantir o sucesso no modelo de responsabilidade compartilhada, vamos dar uma olhada nas responsabilidades do cliente.
| Customer Responsibility | Description |
|---|---|
| Data protection | Ensuring data confidentiality, integrity, and availability is the customer’s purview. Best practices involve implementing proper access controls, encryption, and backups. |
| User access management | Implement appropriate permissions, enforce strong passwords, and adopt multi-factor authentication to keep user access secure. |
| Application security | Customers are accountable for securing cloud-hosted applications. Follow secure coding practices, conduct regular vulnerability assessments, and implement appropriate security controls to reduce application-level security threats. |
| Network controls | Firewalls, virtual private networks (VPNs), security groups, and other network-control configurations are essential customer responsibilities that protect cloud resources from unauthorized access. |
| Compliance and governance | Meeting regulatory requirements and implementing appropriate governance controls are also customer responsibilities. Each industry has unique regulations and frameworks. |
Responsabilidades típicas de segurança na nuvem dos CSPs
A parcela de responsabilidades dos CSPs geralmente inclui a segurança da infraestrutura e as dependências correspondentes. Algumas de suas responsabilidades de segurança incluem o seguinte.
| CSP Responsibility | Description |
|---|---|
| Physical security | As previously mentioned, CSPs are responsible for securing physical access to their data centers, using tools like surveillance systems, restricted-access areas, and environmental controls. |
| Network-infrastructure security | Each provider is responsible for securing cloud-network infrastructure, including routers, switches, and load balancers by implementing appropriate controls, such as intrusion detection and prevention systems. |
| Host-infrastructure security | CSPs secure underlying host infrastructures, including servers, virtualization layers, and storage systems. They implement proper configuration, patching, and security controls on these resources; update operating systems; and ensure overall availability and reliability of cloud services. |
| Compliance certifications | CSPs often undergo independent audits and attain certifications to demonstrate compliance with industry standards and regulations. These measures provide customers with assurances regarding their security practices. |
Sobreposição de responsabilidades
Algumas responsabilidades são compartilhadas por ambas as partes com base no tipo de serviço (SaaS, PaaS ou IaaS). Por exemplo, dentro do Modelo de responsabilidade compartilhada da Microsoft, CSPs e clientes SaaS e PaaS compartilham a responsabilidade de proteger a infraestrutura de identidade e diretório. Como alternativa, a segurança do aplicativo e os controles de rede são compartilhados no modelo PaaS. Os CSPs definem claramente os limites de responsabilidades por meio de acordos de nível de serviço (SLAs). As sobreposições geralmente existem nas seguintes áreas:
Sistemas operacionais
Se um usuário traz seu próprio sistema operacional (SO) ou implanta um sistema operacional fornecido pelo provedor de nuvem, a responsabilidade de escolher o sistema operacional apropriado para atender aos requisitos de segurança de uma organização é do usuário. Se o usuário escolher o sistema operacional do CSP, ele será responsável por sua segurança. No entanto, se um cliente traz seu próprio sistema operacional, sua organização é responsável por sua segurança.
Ferramentas nativas versus de terceiros
Os provedores são responsáveis por implantar, gerenciar, manter e atualizar serviços. Embora ao implantar uma ferramenta ou aplicativo de terceiros como uma carga de trabalho, o cliente seja encarregado de proteger o aplicativo e seus dados, enquanto o CSP'Sua responsabilidade é limitada à camada de infraestrutura e virtualização.
Computação baseada em servidor versus computação sem servidor
Na computação baseada em servidor, o usuário é responsável por escolher o sistema operacional, implantar a carga de trabalho e definir as configurações de segurança necessárias. Por outro lado, na computação sem servidor ou baseada em eventos, o usuário é responsável pelo código implantado e pelas opções de segurança ou configuração definidas pelo usuário fornecidas pelo fornecedor da nuvem.
Controles de rede
Seja implantando seu próprio firewall ou usando o do provedor, os clientes são responsáveis por configurar regras de firewall e garantir a configuração padrão de segurança adequada.
Security Leaders Handbook: The Strategic Guide to Cloud Security
Learn the new cloud security operating model and steps towards cloud security maturity. This practical guide helps transform security teams and processes to remove risks and support secure cloud development.
Download Handbook
Exemplos do modelo de responsabilidade compartilhada
Os principais CSPs, como Amazon Web Services (AWS), Google Cloud Platform (GCP) e Azure, estabeleceram seus próprios modelos de responsabilidade compartilhada, que descrevem as responsabilidades de segurança do provedor e do cliente.
O modelo de responsabilidade compartilhada da AWS
O modelo de responsabilidade compartilhada da AWS descreve que a AWS é "responsável pela proteção da infraestrutura que executa todos os serviços na Nuvem AWS." Eles assumem a responsabilidade por hardware e software, incluindo data centers físicos, redes, pontos de presença e camadas de virtualização.
A AWS também protege seus serviços gerenciados, como AWS DynamoDB, RDS, Redshift, Elastic e EMR. No entanto, os clientes são responsáveis por proteger seus próprios aplicativos e dados e gerenciar controles de acesso e configurações em suas contas da AWS.
Connect Wiz with Amazon Web Services (AWS)
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
O modelo de responsabilidade compartilhada do GCP
O Google Cloud Platform (GCP) segue um responsabilidade compartilhada e modelo de destino compartilhado. GCP introduzido 'Compartilhar o destino' enfrentar os desafios em que acreditam que o modelo de responsabilidade compartilhada é insuficiente.
O GCP protege as infraestruturas de nuvem subjacentes e fornece opções complementares que os clientes podem aproveitar para assumir a responsabilidade de proteger aplicativos e dados, gerenciar o acesso e as permissões do usuário, definir configurações de segurança e implementar medidas de segurança apropriadas em seus projetos.
Connect Wiz with Google Cloud (GCP)
Build faster and more securely on Google Cloud Platform with Wiz.
Learn more
Modelo de responsabilidade compartilhada do Azure
O Microsoft Azure aproveita um modelo de responsabilidade compartilhada semelhante ao modelo do GCP.
Embora o Azure proteja os serviços gerenciados, os clientes possuem e protegem toda a pilha se estiverem operando um data center local.
Desafios do modelo de responsabilidade compartilhada
Apesar de seus diversos benefícios, o modelo de responsabilidade compartilhada também apresenta os seguintes desafios:
| Challenge | Description |
|---|---|
| Access control | Organizations must always protect customer data. However, the shared responsibility model requires that CSPs have unguarded access to sensitive infrastructure to evaluate security posture, contradicting an organization’s exclusive access to customer data. This has pushed many organizations into implementing role-based access control (RBAC) to ensure that authorized individuals have access to perform only pre-specified duties. |
| Vagueness | There are important areas of cloud security where the model does not clearly spell out the security responsibilities of each party. For instance, cloud middleware—which sits between organizations and CSPs for cloud security posture management—requires regular updates as new vulnerabilities continue to surface and attack surfaces expand. However, many organizations are barely aware of the required frequency of updates, and this exposes them to preventable attacks. Automating the software patching process is a viable solution to combat this issue. |
| Incident management | When cyberattacks occur, identifying which party is responsible for investigation and remediation is critical. Unfortunately, the shared responsibility model does not clearly spell out the delegation of responsibility. Additionally, cyberattacks can be targeted at anyone at either party (customer or CSP), so managing the attack is often slowed down by pinpointing the source and establishing who is responsible for remediation. |
| Complexity | Organizations offering multiple services often require multiple CSPs and unifying them into a single system may be cumbersome. Moreover, the multi-tiered nature of cloud deployments often necessitates the intervention of multiple departments, adding complexity to the question of who is responsible for what. Even when CSP versus customer responsibilities are clearly spelled out, identifying departments that are responsible for securing specific aspects of the cloud may be difficult. |
Uma nova visão para a resposta compartilhada às vulnerabilidades da nuvem
Em um blog anterior, o CTO da Wiz, Yinon Costica, destaca a necessidade de um novo modelo de resposta compartilhada para lidar com vulnerabilidades na nuvem. Usos de Yinon CaosDB como exemplo do porquê do modelo atual falta transparência e clareza no tratamento das vulnerabilidadesqual leva à confusão e a esforços de remediação ineficazes.
Yinon propõe um novo ponto de partida para como CSPs e clientes devem trabalhar juntos para lidar com novas vulnerabilidades na nuvem:
| Areas of Responsibility | CSPs | Customers |
|---|---|---|
| Software vulnerabilities |
|
|
| Cloud features and security configuration |
|
|
Confira Yinon's blog para uma explicação detalhada de cada uma das responsabilidades acima, e por que ele acha que este novo modelo permitirá que CSPs e clientes respondam de forma mais eficiente as novas vulnerabilidades de nuvem:
Simplifique a responsabilidade compartilhada com a Wiz
Embora os provedores de serviços de nuvem e seus clientes tenham responsabilidades específicas de segurança na nuvem, pode ser difícil navegar pelos limites e determinar quem é responsável por quê. Os principais CSPs aconselham que os clientes aprendam mais sobre essas responsabilidades e tomem medidas proativas para Segurança na nuvem.
O Wiz se integra perfeitamente ao seu CSP e fornece visibilidade completa do estado de segurança do seu ambiente de nuvem. Agende uma demonstração Hoje.
See Wiz In Action
Learn why CISOs at the fastest growing enterprises secure their cloud with Wiz.
