Mais lidas
1

Inovação

Petz avança jornada omnichannel com APIs de geolocalização

2

CIO

Gigantes brasileiras em expansão digital impõem desafios aos CIOs

3

Liderança

João Bortone assume Lenovo ISG para a América Latina

Inscreva-se na nossa Newsletter

Fique ligado!

Obtenha os mais recentes artigos e atualizações de tecnologia que você precisa saber, você ainda receberá recomendações especiais semanais.

News

E-mail Cadastrado com sucesso! 😄

IT Forum
Fóruns
Notícias
Colunas
Estudos
Vídeos
Podcasts
HIT - Materiais Gratuitos
Newsletter IT Mídia
IT Mídia

3 momentos
no ano

Visite o site
post

IT Forum Ibirapuera

Redescoberta Criativa no maior parque do Brasil.
post

IT Forum Trancoso

Saiba tudo sobre liderança no mercado de TI
post

IT Forum Itaqui

Saiba tudo sobre liderança no mercado de TI

Edições anteriores

Veja todas as edições
(Em breve)

TODAS

Mais recentes

As últimas no IT Fórum

CATEGORIAS
Especiais

Especiais

Artigos exclusivos
produzidos pelo IT Fórum

Liderança

Liderança

Saiba tudo sobre liderança
no mercado de TI

Carreira

Carreira

Notícias para impulsionar
sua carreira

Negócios

Negócios

Grandes empresas,
startups, franquias e mais

Tendências

Tendências

Descubra o que está em
alta em TI

DA REDE

ComputerWorld

O porta-voz do mercado de
tecnologia.

CIO

Gestão, estratégias e
negócios em TI.

Estudos

Estudos destinados a TI e ao mercado

Executivo de TI

CIOs e executivos da indústria de TI que tiveram iniciativas
de destaque.

Antes da TI

Pesquisa com objetivo de
ajudar na tomada de decisões em TI.

As 100+ Inovadoras

Inovação nas maiores empresas do país.

Página de estudos

Veja todos os estudos

IT Forum
  • Home
  • Fóruns
  • 3 momentos
    no ano

    Visite o site
    post

    IT Forum Ibirapuera

    post

    IT Forum Trancoso

    post

    IT Forum Itaqui

  • Notícias
    • Especiais Especiais
    • Liderança Liderança
    • Carreira Carreira
    • Negócios Negócios
    • Tendências Tendências
    • Ver todas as Mais recentes
    • Brandchannels
    • Brandspaces
  • Colunas
  • Estudos
  • Estudos destinados a TI e ao mercado
    • Executivo de TI
    • Antes da TI
    • As 100+ Inovadoras
  • Vídeos
  • Podcasts
  • HiT - Materiais Gratuitos
  • Anuncie
    Envie Seu Release
    Fale Conosco
    Revistas
    Newsletter
    IT Forum IT Forum IT Forum IT Forum
X
CONTEÚDO ORIGINAL
Agora os conteúdos da CIO estão no IT Forum! Para saber mais clique aqui
  • Home >  
  • Notícias >
  •  CIO

O que o modelo de responsabilidade compartilhada significa para a segurança na nuvem?

Maioria dos incidentes se deve a erro do cliente e não do fornecedor. Modelo mostra onde as responsabilidades do provedor terminam e as suas começam

Chris Hughes, CSO
09:06 am - 11 de junho de 2021
Adobe Stock

A adoção da nuvem acelerou no ano passado, à medida que as organizações se esforçavam para oferecer suporte a uma força de trabalho remota. Apesar dessa rápida adoção e crescimento, as empresas costumam interpretar mal um conceito-chave de nuvem: o modelo de responsabilidade compartilhada (SRM).

Muitos líderes empresariais ainda perguntam: “A nuvem é segura”? Esta é a pergunta errada. Uma pergunta mais apropriada seria: “Estamos, como equipe e organização de segurança, protegendo nossa parcela da nuvem?” A esmagadora maioria das violações/vazamentos de dados na nuvem se deve ao cliente, com o Gartner prevendo que até 2025, 99% das falhas de segurança na nuvem serão culpa do cliente. Por esse motivo, é fundamental que todos os profissionais de segurança entendam suas responsabilidades.

Qual é o modelo de responsabilidade compartilhada?

O modelo de responsabilidade compartilhada delineia pelo que você, o cliente da nuvem, é responsável e pelo que seu provedor de serviços de nuvem (CSP) é responsável. O CSP é responsável pela segurança “da” nuvem – pense em instalações físicas, utilitários, cabos, hardware, etc. O cliente é responsável pela segurança “na” nuvem – ou seja, controles de rede, gerenciamento de identidade e acesso, configurações de aplicativos e dados.

Dito isso, essa divisão de responsabilidades pode mudar dependendo do modelo de serviço que você usa. Em um nível básico, a definição NIST de computação em nuvem define três modelos de serviço em nuvem primários:

  • Infraestrutura como serviço (IaaS): No modelo IaaS, o CSP é responsável pelo data center físico, rede física e servidores/hospedagem físicos.
  • Plataforma como serviço (Paas): em um modelo PaaS, o CSP assume mais responsabilidade por coisas como patching (que os clientes são historicamente terríveis e serve como principal caminho para incidentes de segurança) e manutenção de sistemas operacionais.
  • Software como serviço (SaaS): no SaaS, o cliente só pode fazer alterações nas configurações de um aplicativo, com o controle de todo o resto sendo deixado para o CSP (pense no Gmail como um exemplo básico).

Cada um vem com uma compensação, com o cliente abrindo mão do controle em troca de uma experiência turnkey/gerenciada com o CSP lidando com mais das atividades operacionais e permitindo que o cliente se concentre em suas competências essenciais.

Cada CSP tem várias versões do SRM. Abaixo está um exemplo do SRM do Microsoft Azure:

Como os profissionais de segurança podem se preparar para o SRM

Embora o SRM envolva questões não relacionadas à segurança, como contratos e implicações financeiras, ele também inclui várias considerações de segurança. Os profissionais de segurança devem entender pelo que são responsáveis ​​no SRM com base nos serviços que estão consumindo e nas implementações e arquiteturas de suas organizações. Lembra-se de como quase todos os incidentes de dados em nuvem ocorrem no lado do cliente do SRM? Este é um dos principais motivos para entender o SRM e garantir que você está fazendo sua parte no modelo.

Suas responsabilidades dependem de qual das duas perspectivas principais de função de segurança você tem: o profissional técnico de segurança ou o executivo de segurança. Os profissionais de segurança técnica, como engenheiros de segurança em nuvem ou arquitetos de segurança em nuvem, precisam entender quais serviços em nuvem sua organização está usando, como arquitetar essas soluções com segurança e quais configurações, definições e controles estão sob sua alçada que você pode influenciar e liderar para uma postura de segurança mais robusta.

Os profissionais de segurança técnica devem estar intimamente familiarizados com as plataformas e serviços que sua organização está usando e compreender como implementá-los com segurança. Os engenheiros/arquitetos de segurança em nuvem costumam trabalhar com equipes de engenharia e desenvolvimento. Se você não for capaz de orientá-los para uma solução segura ou identificar configurações arriscadas (lembre-se de como elas são responsáveis pela maioria dos incidentes de dados em nuvem), você pode estar expondo sua organização a um risco tremendo.

Consulte seu CSP para recursos de segurança. Amazon Web Services (AWS), por exemplo, oferece um banco de dados incrível de documentação de segurança, dividido por categorias (por exemplo, computação, armazenamento, segurança, identidade e conformidade), onde você pode encontrar especificações associadas a cada um dos serviços que sua organização está usando. Isso inclui inúmeras informações sobre como configurar os serviços com segurança, quais configurações você pode manipular e orientações para solução de problemas.

As principais considerações para executivos de segurança incluem o uso de serviço de inventário (você deve saber o que está sendo usado em sua organização ou não pode protegê-la), garantindo que os serviços que você usa sejam compatíveis com suas estruturas regulatórias aplicáveis ​​e compreendendo os aspectos contratuais/legais, como serviço CSP acordos de nível (SLAs), especialmente quando se trata de coisas como planejamento de resposta a incidentes.

Muitas organizações firmam parceria com o CSP e compartilham responsabilidades. Isso inclui garantir que os serviços que você está usando atendam às estruturas regulatórias às quais você deve cumprir. Os CSPs em hiperescala tornam essas informações fáceis de encontrar, com AWS e Microsoft Azure fornecendo páginas de “serviços no escopo”, onde você pode determinar quais serviços estão em conformidade com quais estruturas e quais ainda estão em processos de aprovação. Isso ajuda a garantir que a sua equipe não apenas construa arquiteturas e cargas de trabalho robustas e seguras na nuvem, mas também use serviços que são compatíveis com suas estruturas aplicáveis ​​para evitar problemas de conformidade ou regulamentares.

Os profissionais de segurança de todos os níveis devem se esforçar para implementar padrões de segurança e práticas recomendadas em seus ambientes de nuvem. Isso pode significar implementar práticas recomendadas de segurança de seus respectivos CSPs ou implementar algo como o benchmark Center for Internet Security (CIS) para seus respectivos ambientes de nuvem.

A matriz de responsabilidade do cliente

Um artefato fundamental ao lidar com o SRM é a matriz de responsabilidade do cliente (CRM, sigla em inglês para Customer Responsibility Matrix), que estabelece quais controles estão sendo fornecidos pelo CSP e quais responsabilidades são deixadas para o consumidor da nuvem.

Um CRM é uma ferramenta crítica para uso de profissionais de segurança. No SRM, os controles de segurança são fornecidos inteiramente pelo CSP, um controle híbrido (com a responsabilidade recaindo sobre o CSP e o cliente da nuvem), ou inteiramente deixados para o cliente. Os profissionais de segurança podem aproveitar os CRMs para obter uma compreensão clara desse delineamento de controle de segurança.

Consumir serviços em nuvem pode transferir a responsabilidade de alguns controles e atividades de segurança para o CSP e permitir que as organizações se concentrem em suas competências essenciais. Dito isso, ele cria uma relação de responsabilidades que os profissionais de segurança devem entender e tratar de maneira adequada. Lembre-se de que a maioria das violações de dados na nuvem ocorrerá no lado do cliente do SRM e, no final do dia, você é totalmente responsável pela reputação de sua organização.

Tags:
nuvem
segurança
Em alta

Inovação

Petz avança jornada omnichannel com APIs de geolocalização
Em alta

CIO

Gigantes brasileiras em expansão digital impõem desafios aos CIOs
Em alta

Liderança

João Bortone assume Lenovo ISG para a América Latina
Load more
IT Forum

FÓRUNS

Todos os FórunsIT Forum IbirapueraIT Forum TrancosoIT Forum Itaqui

NOTÍCIAS

Mais recentesLiderançaCarreiraNegóciosTendências

COLUNAS

ESTUDOS

Executivo de TIAntes da TIAs 100+ Inovadoras

VÍDEOS

PODCASTS

HIT

Anuncie
Envie Seu Release
Fale Conosco
Revistas
Newsletter
IT Forum
Política de PrivacidadeTermos de Uso

© Copyright IT MÍDIA - Todos os direitos reservados

Política de PrivacidadeTermos de Uso

© Copyright IT MÍDIA - Todos os direitos reservados