Hoe cloudbeveiliging te beheren wanneer providers en klanten de verantwoordelijkheid delen

5 dingen die u moet weten over cloudbeveiliging Om veilig te zijn met cloudopslag, moet u weten hoe het werkt. Hier zijn vijf basiszaken om naar te zoeken.

Als het gaat om het beveiligen van gegevens in de cloud, is het belangrijk om te beslissen wie verantwoordelijk is voor wat niet kan worden overschat. Momenteel zijn er drie keuzes: cloudserviceklanten, cloudserviceproviders of klanten en providers die de verantwoordelijkheid delen.

Een 2018 Global Cloud Data Security Study ( Figuur A ) uitgevoerd door het Ponemon Institute voor Gemalto concludeerde dat:

"In 2017 Minder respondenten (32 procent van de respondenten) zeggen dat het een gedeelde verantwoordelijkheid is tussen de cloudprovider en de cloudgebruiker. Respondenten zijn gelijk verdeeld tussen verantwoordelijkheid die bij de cloudprovider of cloudgebruiker rust (beide 34 procent). "

Figuur A

Afbeelding: Ponemon Institute en Gemalto

Het gedeelde verantwoordelijkheidsmodel

Jenna Kersten, specialist in contentmarketing bij KirkpatrickPrice, in haar blogpost Who's Responsible for Cloud Security? kiezen de respondenten voor de gedeelde verantwoordelijkheid. In haar post gaat Kersten nog een stap verder en bespreekt ze een manier om de verantwoordelijkheid tussen cloudserviceklanten en cloudserviceproviders te verdelen in de volgende cloudservicemodellen: Infrastructure as a Service (IaaS), Platform as a Service (PaaS ) en Software as a Service (SaaS).

  • IaaS-oplossingen : in IaaS beheert de cloudserviceprovider faciliteiten, datacenters, netwerkinterfaces, verwerking en hypervisors. De cloudserviceklant is verantwoordelijk voor het virtuele netwerk, virtuele machines, besturingssystemen, middleware, applicaties, interfaces en gegevens.
  • PaaS-oplossingen : met het PaaS-model voegt Kersten virtuele netwerken, virtuele machines, besturingssystemen en middleware toe aan de verantwoordelijkheden van de cloudserviceprovider. De klant is nog steeds verantwoordelijk voor het beveiligen en beheren van applicaties, interfaces en gegevens.
  • SaaS-oplossingen : het SaaS-model verplaatst volgens Kersten de verantwoordelijkheid voor alles behalve interfaces en gegevens naar de cloudserviceprovider.

"Cloudserviceproviders en cloudserviceklanten hebben beide de verantwoordelijkheid om gegevens te beschermen", vervolgt Kersten. "Het is ook belangrijk op te merken dat de uitvoering van individuele beveiligingsbeheertaken kan worden uitbesteed, maar dat kan niet. De verantwoordelijkheid om te controleren of aan de beveiligingsvereisten wordt voldaan, ligt altijd bij de klant."

Amazon Web Services

De bevoegdheden van Amazon Web Services (AWS) zijn het eens met de "32 procent" en Kersten. Van de AWS-website over de visie van het bedrijf op gedeelde verantwoordelijkheid:

"Dit gedeelde model kan de operationele last van de klant helpen verlichten terwijl AWS de componenten van het hostbesturingssysteem en de virtualisatielaag beheert, beheert en bestuurt tot de fysieke beveiliging van de faciliteiten waarin de service actief is. De klant neemt de verantwoordelijkheid en het beheer van de gast op zich besturingssysteem (inclusief updates en beveiligingspatches), andere bijbehorende applicatiesoftware en de configuratie van de door AWS geleverde firewall voor beveiligingsgroepen. "

Fysieke veiligheid

Gegevens in de cloud bevinden zich nog steeds ergens op fysieke apparaten (dat wil zeggen servers, harde schijven en dergelijke). Omdat de verantwoordelijkheid wordt gedeeld, moeten zowel klanten als providers ervoor zorgen dat gebouwen, computerapparatuur en fysieke infrastructuur veilig zijn. Medewerkers zijn ook een belangrijke overweging, omdat social engineering vanwege zijn succes een voorkeursaanval is voor cybercriminelen.

Een relatie met gedeelde verantwoordelijkheid beheren

Kersten bekijkt hoe partijen die verantwoordelijk zijn voor cloudservices op de locatie van de klant en de locatie van de provider het beste een gedeelde verantwoordelijkheidsrelatie kunnen beheren, te beginnen met cloudserviceproviders:

  • Overweeg risico's vanuit het perspectief van de klant en implementeer vervolgens controles die aantonen dat al het mogelijke wordt gedaan om de risico's te beperken.
  • Documenteer de interne controles die worden gebruikt om risico's te beheren.
  • Verstrek documentatie over hoe klanten de geboden beveiligingsfuncties kunnen gebruiken. Kersten voegt eraan toe: "AWS doet dit uitstekend via hun educatieve programma's."
  • Maak een verantwoordelijkheidsmatrix die definieert hoe uw oplossing uw klanten zal helpen aan hun verschillende nalevingsvereisten te voldoen. Ga naar de CAIQ en CCM van de CSA als uitgangspunten voor het opstellen van het gedeelde verantwoordelijkheidsmodel.

Vervolgens richt Kersten zich op de cloudserviceklant:

  • Definieer vereisten voor cloudbeveiliging voordat u een cloudserviceprovider selecteert. "Als u weet wat u zoekt in een cloudserviceprovider, kunt u uw behoeften beter prioriteren, " voegt Kersten toe.
  • Harmoniseer het corporate governance-programma tussen traditionele en cloudgebaseerde IT-levering. Voor het migreren van systemen en applicaties naar de cloud zijn beleidswijzigingen nodig.
  • Zorg voor contractuele duidelijkheid over de rollen en verantwoordelijkheden van elke partij, met name met betrekking tot de openbare cloud, waaronder:
    * Wie is verantwoordelijk voor cloudbeveiliging?
    * Hoe ver gaat de cloudserviceprovider?
  • Ontwikkel een verantwoordelijkheidsmatrix die de beveiligingsrollen en -verantwoordelijkheden definieert voor u en voor elke leverancier, inclusief cloudserviceproviders.

Leveranciersbeheer: effectieve relaties opbouwen (gratis PDF) (TechRepublic)

Vergeet de naleving niet

Naleving en cloudbeveiliging kunnen worden beschouwd als een digitale symbiotische relatie - de een kan niet bestaan ​​zonder de ander zoals de regelgeving is gestructureerd. Duane Tharp doet het niet als het gaat om compliance en beveiliging:

"De eerste reden is regulerend. Bedrijven moeten voldoen aan een regulerend regime, of dat nu staat, federaal of intern is. De andere reden is angst. De nominale extra investeringen in beveiliging kunnen mogelijk een slechte situatie in de toekomst voorkomen. is een positief netto rendement. "

Cybersecurity Insider Nieuwsbrief

Versterk de IT-beveiliging van uw organisatie door op de hoogte te blijven van het laatste nieuws, oplossingen en best practices voor cybersecurity. Bezorgd op dinsdag en donderdag

Schrijf je vandaag in

© Copyright 2020 | mobilegn.com