أمان السحابة: أين تبدأ مسؤوليات CSP والعميل وتنتهي؟
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
عندما يتعلق الأمر بأمان السحابة ، فإن السؤال عن المسؤول عن ماذا – المضيف أو المضيف – يمكن أن يكون ضبابيًا بعض الشيء في بعض الأحيان.
ما هي التزامات مزود الخدمة السحابية (CSP)؟ أين يتم تحديد الذنب؟ وهل هناك تداخل أم منطقة رمادية؟
مع تكلفة خرق البيانات التي بلغت أعلى مستوى لها على الإطلاق وهي 4.4 مليون دولار ، فإن هذه الأسئلة هي في قمة اهتمامات مديري أمن المعلومات.
كما يوضح التدريب والشهادة غير الربحية (ISC) 2 ، في الأيام الأولى للحوسبة السحابية ، أصبح العديد من المديرين التنفيذيين غير المدركين مفتونين بفكرة أنهم لن يعودوا مسؤولين عن أي من “المشاكل” المرتبطة بمركز البيانات المحلي . ”
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
ومع ذلك ، تحذر المنظمة غير الربحية من أن “نقل بعض المسؤوليات لا يعني أيضًا تغيير المساءلة”.
إذن كيف يمكن للمنظمات أن تكون متأكدة من مسؤولياتها ومسؤوليات مقدميها (وتلك المشتركة)؟ هنا ، يقوم خبراء الصناعة بتفصيلها.
فهم نموذج الأمان المشترك
جميع السحابات العامة الرئيسية – مثل AWS و Microsoft Azure و Oracle Cloud و IBM Cloud – تراقب ما يُعرف باسم “نموذج الأمان المشترك”.
هذا ، وفقًا لـ (ISC) 2 ، يعني أن المؤسسة مسؤولة عن الأمان “في” السحابة وأن CSPs مسؤولون عن ضمان أمان “السحابة”. تختلف هذه المسؤوليات بناءً على نشر البرامج كخدمة (SaaS) أو النظام الأساسي كخدمة (PaaS) أو نشر البنية التحتية كخدمة (IaaS).
مع IaaS ، تقل مسؤولية الأجهزة بالنسبة لعميل السحابة ، وفقًا لـ (ISC) 2. تنطبق تحولات المسؤولية المماثلة على نماذج PaaS و SaaS.
وفقًا للمؤسسة غير الربحية ، “تعمل هذه النماذج على إبعاد العميل عن جهاز المشي للترقية ، والاستفادة من خبرة مزود الخدمات السحابية”.
ومع ذلك ، فإن التطبيق العملي هو “حيث يمكن أن تصبح الأمور خادعة ،” (ISC) 2 يحذر. بدون الخبرة ، يمكن “تهدئة” المديرين التنفيذيين لفكرة أن مقدم الخدمة يحل جميع مشاكل الأمن السيبراني الخاصة بهم.
مسؤولية “الفروق الدقيقة” في أمان السحابة
في الواقع ، هناك “فروق دقيقة” في تقسيم المسؤولية ، وفقًا لمحلل Gartner VP Patrick Hevesi. حدد هو وزميله تشارلي وينكليس ، كبير مديري شركة غارتنر ، 10 مجالات لمسؤولية السحابة:
- استمرارية الأعمال
- إدارة الهوية والوصول (IAM)
- بيانات
- طلب
- API التطبيق
- عبء العمل
- شبكة افتراضية
- تنسيق الخدمة
- المحاكاة الافتراضية / البنية التحتية السحابية
- بدني
أوضح Hevesi أنه بطبيعة الحال ، مع IaaS ، يكون موفر السحابة مسؤولاً عن البنية التحتية الافتراضية / السحابية والجوانب المادية. يتحمل مقدمو PaaS المسؤولية عن ذلك ، بالإضافة إلى الشبكة الافتراضية وتنسيق الخدمة. يتشاركون مسؤوليات العمل مع العميل.
تتزايد مسؤولية مزودي SaaS ؛ هم مسؤولون عن عبء العمل ، ومشاركة المسؤولية عندما يتعلق الأمر بواجهة برمجة التطبيقات ومجالات التطبيق.
قال هيفيسي: “هناك الكثير من العمل عليها ، أقل بالنسبة لك ، ولكن الرؤية أقل أيضًا”.
وقال هيفيسي: “في النهاية ، فإن خط البيانات هو دائمًا مسؤولية العميل”. وأشار إلى أن إدارة الهوية والوصول واستمرارية الأعمال.
تقاسم المصير أكثر ودا مما يبدو
على الرغم من ذلك ، يلاحظ بعض مقدمي الخدمة – Google Cloud على سبيل المثال – ما يُعرف باسم “نهج المصير المشترك”.
وفقًا لـ Google Cloud CISO Phil Venables ، فإن هذا يعني أن نكون “شركاء نشطين” حيث يتم نشر المؤسسات بشكل آمن على النظام الأساسي ، “وليس تحديد المكان الذي تنتهي مسؤوليتنا فيه”. تم تقديم المنهجية في عمليات تكنولوجيا المعلومات في Google في عام 2016.
وقال إن المصير المشترك يتركز حول احتياجات العملاء ؛ بدلاً من دفع المسؤولية إلى العملاء الذين قد لا يمتلكون الخبرة اللازمة لإدارتها بشكل صحيح ، يستخدم المزود خبراته لمساعدتهم على أن يكونوا أكثر أمانًا في السحابة.
على سبيل المثال ، تقدم Google Cloud أسس الأمان التي تناقش أهم المخاوف والتوصيات الأمنية ، والمخططات القابلة للنشر وأفضل الممارسات لإطار العمل الهندسي للمساعدة في تلبية أهداف السياسة والأهداف التنظيمية والتجارية.
قال فينابلز: “بالطبع ، سيكون هناك دائمًا بعض المسؤولية على العميل فيما يتعلق بأمانه ، حيث لا يمكن لأي مزود خدمة سحابية المطالبة بالمساءلة عن 100٪ من أمان المؤسسة أو نشاطها في السحابة”.
يجب أن يضطلع عملاء السحابة دائمًا بمهام وأنشطة معينة تركز على الأمان – والتي يتم تحديدها من خلال أعباء العمل الخاصة بهم وصناعتهم وإطارهم التنظيمي وموقعهم.
قال فينابلز: “يتمثل الاختلاف في المصير المشترك في أن موفر الخدمات السحابية يلعب دورًا أكثر نشاطًا بشكل ملحوظ في أمان العميل”. هذا هو “إلى النقطة حيث ، إذا كان هناك شيء كان إذا حدث خطأ ، فسيتم استثمار مقدم الخدمة السحابية بكثافة ويمكنه تقديم دعم أفضل للعميل خلال تلك الرحلة “.
تكتيكات أمان السحابة الحاسمة
قال هيفيسي إن منصة حماية التطبيقات السحابية الأصلية (CNAPP) أمر بالغ الأهمية بالنسبة لأمن السحابة. تم تحديد هذه الفئة بواسطة Gartner وتتضمن دمج جميع وظائف الأمان وجعلها مركزية في واجهة مستخدم واحدة.
وقال إن وسيط أمان الوصول إلى السحابة (CASB) أمر بالغ الأهمية أيضًا. تُعرِّف Gartner هذه النقاط على أنها نقاط إنفاذ موضوعة بين المستخدمين والموفرين “لدمج سياسات أمان المؤسسة وإدماجها عند الوصول إلى الموارد المستندة إلى مجموعة النظراء”.
تدمج هذه الطريقة أنواعًا متعددة من فرض نهج الأمان. تشمل الأمثلة المصادقة ، وتسجيل الدخول الأحادي ، والتفويض ، وتعيين بيانات الاعتماد ، وتوصيف الجهاز ، والتشفير ، والترميز ، والتسجيل ، والتنبيه ، والبرامج الضارة والكشف.
في نهاية المطاف ، يجب أن تلعب العمليات داخل المنظمة دورها ، كما قال هيفيسي. هذا يعني فهمها وتغييرها عند الحاجة. يمكن أن يشمل أيضًا تدريب المهندسين المعماريين الذين يفهمون تقييم المخاطر.
كما نصح Hevesi أن المنظمات تؤسس دليلاً على المفهوم مع مقدمي الخدمات. قال “لا تعتمد على عروض البائعين فقط”.
الخبرة الفنية المناسبة
(ISC) 2 يوافق على أن المسؤوليات المحيطة بأمن السحابة “يمكن أن تكون مرهقة لفرد غير مدرب.”
تنصح المنظمة محترفي أمان السحابة بمعرفة واسعة في IaaS و PaaS و SaaS. يتوفر التدريب الخاص بالمنصة وتدريب البائع المحايد أو متعدد البائعين.
ويجب أن يتمتع CISO بالدراية الفنية والقدرة على إلقاء نظرة إستراتيجية على أمان السحابة. يجب عليهم فهم المخاطر ووضع استراتيجيات للحماية والتخفيف.
في النهاية ، يجب على قادة تكنولوجيا المعلومات والأمن أن يسألوا أنفسهم ، “هل فريق الأمان لدينا جاهز على السحابة الإلكترونية؟”
لأنه ، في النهاية ، يقول (ISC) 2 ، “قد يعني هذا السؤال الفرق بين نجاح الأمان والفشل في تطبيق السحابة.”
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
اكتشاف المزيد من إشراق التقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.