我们时不时地听到信息技术领域的新流行语。流行语之一是“责任共担模式”。
这个公理是什么意思?
在云安全上下文中,这意味着制定云计算提供商及其用户的安全责任以保证问责制的安全计划。
现在让我们考虑两种情况。
- 当企业使用自己的数据中心在内部运行自己的 IT 基础设施时,该基础设施的安全性的主要责任在于企业。
- 当企业转移到公共云时,它会将一些安全责任转移给他们的云托管提供商。云提供商和云用户的责任范围针对安全的不同方面进行了明确划分。然而,双方必须协同工作,以确保全面覆盖安全性。
需要注意的是,每种类型的云模型、SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础设施即服务) 都明确定义了哪一方负责哪些安全任务。据信息技术专家称,随着用户从 SaaS 过渡到 PaaS 再到 IaaS,他们的责任感会增加。在这种情况下,让我们检查一下 IaaS 模型。在这里,安全责任被异化如下。
- 云提供商全权负责保护基本的云基础设施组件,例如服务器、存储、虚拟化软件和网络。云供应商还对容纳基础设施的数据中心的物理安全负责。
- 另一方面,客户端对其操作系统、软件和数据的安全负责。
这在某种程度上符合 Amazon Web Services (AWS) 安全云模型概述的最佳实践。
对于基础设施服务,职责划分如下:
- 客户——平台、应用程序、身份和访问管理、数据、操作系统、防火墙配置和网络
- 供应商——计算基础设施、存储、数据库和网络。
简单来说,客户负责“云端”的安全,而 AWS 负责“云端”的安全。云安全是共同责任的想法是如何产生的?为提高敏捷性和降低成本的企业正在不同的环境或模型中分发基于云的应用程序。这些环境包括公共云、私有云(包括混合云和专用服务器)和 SaaS。正是对数据泄露的担忧导致了云中的安全问题。这是 IT 经理的首要任务。在当前的商业环境中,挑战是双重的。
- 在不影响在各种云之间传输的数据的安全性的情况下,平衡公司对敏捷性的需求。
- 获得透明度和先发制人的攻击,这些攻击试图从外部来源和内部走私数据。
通常在 IT 设置中有多个部门负责云安全。这些包括但不限于技术或网络团队、应用程序团队、安全团队和合规团队。但从整体云的角度来看,云安全必须由云提供商和公司共享。即使从私有云过渡到公共云再到 SaaS,也是如此。
为了直观理解,这里做一下解释。
- 在私有云中,数据、应用程序和基础设施的安全责任完全由客户或企业承担。
- 在公共云设置中,数据和应用程序的责任由客户承担,而基础设施的安全责任由供应商承担。
- 在 SaaS 中,数据安全的责任在企业,而应用程序和基础设施的责任在供应商。
图片很清楚。IT 安全是供应商和企业的共同责任。虽然企业必须确信供应商已经实施了足够的安全措施来保证应用程序和数据的安全,但它还必须拥有正确的工具来管理供应商没有做的事情。
那么什么是并且可能是企业的正确工具呢?
简而言之,这些工具必须执行以下功能。
- 提供应用程序内活动的透明度
- 对使用情况进行详尽分析,以预防数据风险和合规性违规行为。
- 严格监控以推动执法和隔离(如果发生任何违规行为)
- 利用有关已知威胁的实时威胁情报并对未知威胁执行最先进的检测,以防止通过新的恶意软件入口点破坏安全性。
文章链接: https://www.mfisp.com/15440.html
文章标题:为云安全建立责任共担模型
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
