Hur man hanterar molnsäkerhet när leverantörer och kunder delar ansvaret

5 saker att veta om molnsäkerhet För att vara säker med molnlagring måste du veta hur det fungerar. Här är fem grundläggande frågor att leta efter.

När det gäller att säkra data i molnet är vikten av att bestämma vem som är ansvarig för vad som inte kan överskattas. För närvarande finns det tre alternativ: molntjänstkunder, leverantörer av molntjänster eller kunder och leverantörer som delar ansvaret.

En Global Cloud Data Security Study ( figur A ) genomförd av Ponemon Institute for Gemalto 2018 fann att:

"2017 Färre respondenter (32 procent av de svarande) säger att det är ett delat ansvar mellan molnleverantören och molnanvändaren. Respondenterna är jämnt fördelade mellan ansvaret som ligger hos molnleverantören eller molnanvändaren (båda 34 procent). "

Figur A

Bild: Ponemon Institute och Gemalto

Modellen med delat ansvar

Jenna Kersten, specialist på innehållsmarknadsföring på KirkpatrickPrice, i sitt blogginlägg. Vem ansvarar för molnsäkerhet? sidor med undersökningens respondenter som väljer delat ansvar. I sitt inlägg tar Kersten ett steg längre och diskuterar ett sätt att dela upp ansvaret mellan molntjänstekunder och molntjänstleverantörer i följande molntjänstmodeller: Infrastructure as a Service (IaaS), Platform as a Service (PaaS ) och programvara som en tjänst (SaaS).

  • IaaS-lösningar : I IaaS hanterar leverantören av molntjänster faciliteter, datacentra, nätverksgränssnitt, behandling och hypervisorer. Molntjänstkunden ansvarar för det virtuella nätverket, virtuella maskiner, operativsystem, mellanprogram, applikationer, gränssnitt och data.
  • PaaS-lösningar : Med PaaS-modellen lägger Kersten till virtuella nätverk, virtuella maskiner, operativsystem och mellanprogram till molntjänsteleverantörens ansvar. Kunden är fortfarande ansvarig för att säkra och hantera applikationer, gränssnitt och data.
  • SaaS-lösningar : SaaS-modellen flyttar enligt Kersten ansvaret för allt utom gränssnitt och data till molntjänsteleverantören.

"Molntjänsteleverantörer och molntjänstkunder har båda ett ansvar att skydda data", fortsätter Kersten. "Det är också viktigt att notera att utförandet av enskilda säkerhetshanteringsuppgifter kan läggas ut, men ansvar kan inte. Ansvaret för att verifiera att säkerhetskraven uppfylls ligger alltid hos kunden."

Amazon Web Services

De befogenheter som finns hos Amazon Web Services (AWS) överensstämmer med "32 procent" och Kersten. Från AWS webbplats om företagets vision om delat ansvar:

"Denna delade modell kan hjälpa till att lindra kundens operativa börda när AWS arbetar, hanterar och kontrollerar komponenterna från värdoperativsystemet och virtualiseringslagret ner till fysisk säkerhet för de anläggningar där tjänsten verkar. Kunden tar ansvar och hantering av gästen operativsystem (inklusive uppdateringar och säkerhetsuppdateringar), annan tillhörande programvara samt konfigurationen av AWS-säkerhetsgruppens brandvägg. "

Fysisk säkerhet

Data i molnet finns fortfarande någonstans på fysiska enheter (dvs. servrar, hårddiskar och liknande). Eftersom ansvaret delas måste både kunder och leverantörer se till att byggnader, datorutrustning och fysisk infrastruktur är säkra. Anställda är också en viktig faktor eftersom socialteknik är en föredragen attackmetod för cyberbrottslingar på grund av dess framgång.

Hur man hanterar en relation med delat ansvar

Kersten tittar på hur parter som ansvarar för molntjänster på kundens webbplats och leverantörens plats bäst kan hantera ett förhållande med delat ansvar, börjar med molntjänsteleverantörer:

  • Betrakta risker ur kundens perspektiv och implementera sedan kontroller som visar att allt möjligt görs för att mildra riskerna.
  • Dokumentera de interna kontrollerna som används för att hantera risker.
  • Ge dokumentation om hur kunder kan använda de medföljande säkerhetsfunktionerna. Kersten tillägger, "AWS gör ett bra jobb med detta genom sina utbildningsprogram."
  • Skapa en ansvarsmatris som definierar hur din lösning ska hjälpa dina kunder att uppfylla deras olika efterlevnadskrav. Vänd dig till CSA: s CAIQ och CCM som utgångspunkter för att upprätta modellen för delat ansvar.

Därefter fokuserar Kersten på molntjänstkunden:

  • Definiera molnskyddskrav innan du väljer en leverantör av molntjänster. "Om du vet vad du letar efter i en molntjänstleverantör kan du bättre prioritera dina behov", tillägger Kersten.
  • Harmonisera företagsstyrningsprogrammet mellan traditionell och molnbaserad IT-leverans. Migrering av system och applikationer till molnet kommer att kräva policyändringar.
  • Upprätta avtals tydlighet på roller och ansvar för varje part, särskilt när det gäller det allmänna molnet, inklusive:
    * Vem ansvarar för molnsäkerhet?
    * Hur långt går molntjänstleverantören?
  • Utveckla en ansvarsmatris som definierar säkerhetsrollerna och ansvaret för dig och för varje leverantör, inklusive leverantörer av molntjänster.

Leverantörshantering: Hur man bygger effektiva relationer (gratis PDF) (TechRepublic)

Glöm inte efterlevnaden

Överensstämmelse och molnsäkerhet kan betraktas som ett digitalt symbiotiskt förhållande - det ena kan inte existera utan det andra på vilket sätt förordningarna är strukturerade. Duane Tharp drar inga slag när han talar om efterlevnad och säkerhet:

"Det första skälet är lagstiftande. Företag måste uppfylla ett regelverk, oavsett om det är statligt, federalt eller internt. Det andra skälet är rädsla. Den nominella ytterligare investering i säkerhet kan potentiellt förhindra att en dålig situation uppstår i framtiden. är en positiv nettoavkastning. "

Cybersecurity Insider Nyhetsbrev

Stärk organisationens IT-säkerhetsförsvar genom att hålla dig uppdaterad om de senaste cybersecurity-nyheterna, lösningarna och bästa praxis. Levereras tisdagar och torsdagar

Registrera dig idag

© Copyright 2020 | mobilegn.com