云计算的采用在过去一年中加速,因为企业在大流行期间努力支持远程员工。尽管采用率快速增长,但企业常常误解一个关键的云计算概念:共享责任模型(SRM)。很多企业管理者还在追问“云计算安全吗?”这个问题现在不合适。对他们来说更合适的问题是,“作为一个安全团队,我们是否在保护我们的云份额?”。绝大多数云数据泄露/泄露是由企业自身造成的。根据研究机构Gartner的预测,到2025年,99%的云安全故障将是企业的失误。因此,所有安全从业人员都必须了解自己的责任。什么是共同责任模型?责任共担模型描述了企业作为云计算客户的责任和云计算服务提供商的责任。云计算服务提供商负责云计算物理设施的安全,如数据中心、电源、电缆、硬件等。企业负责云计算服务的安全,如网络控制、身份和访问管理、应用程序配置和数据等。也就是说,这种责任划分可以根据企业使用的服务模型而改变。在基本层面上,美国国家标准与技术研究院(NIST)定义了三种主要的云服务模型:基础设施即服务(IaaS):在基础设施即服务(IaaS)模型中,云计算服务提供商负责安全物理数据中心、物理网络和物理服务器/托管。平台即服务(PaaS):在平台即服务(PaaS)模型中,云计算服务提供商承担了更多的责任,例如打补丁(客户通常对此很糟糕,这是发生安全事件的主要途径)和维护操作系统。软件即服务(SaaS):在软件即服务(SaaS)中,企业只能更改应用程序的配置设置,其他一切的控制权都交给云计算服务提供商(如Gmail).每一个云计算服务都有一个权衡,业务需要放弃控制权来换取更多的交钥匙/管理经验,让云计算服务提供商处理更多的安全事务,让业务专注于自己的核心竞争力。每个云计算服务提供商都有不同版本的共享责任模型(SRM)。安全从业者如何为责任共担模型(SRM)做准备虽然责任共担模型(SRM)解决了合同和财务影响等非安全问题,但它还包括一些安全注意事项。安全从业者必须根据他们使用的服务及其组织的实施和体系结构,了解他们在责任共担模型(SRM)中的责任。还记得几乎所有的云计算数据事件都发生在共享责任模型(SRM)的客户端吗?这是了解共享责任模型(SRM)并确保模型的一部分已完成的主要原因。一个组织的职责取决于它的两个主要安全角色:技术安全从业者或安全主管。技术安全从业者(如云安全工程师或云安全架构师)需要了解企业正在使用哪些云计算服务,如何安全地构建这些解决方案,以及企业权限内的哪些配置、设置和控制可以影响和引导改变。稳健的安全态势。技术安全专业人员还应该非常熟悉他们公司正在使用的平台和服务,并了解如何安全地使用这些平台和服务。云安全工程师/架构师通常与工程和开发团队合作。如果他们不能转向安全解决方案,或发现有风险的配置(请记住这些配置如何导致大多数云计算数据事件),那么他们的公司可能会面临重大风险。企业可以向合作的云计算服务商寻求安全资源。例如,AWS提供了一个令人难以置信的安全文档数据库,按类别(例如,计算、存储、安全、身份和合规性)进行分类,企业可以在其中找到与其组织使用的每项服务相关的文档。细节。这包括有关如何安全配置服务、企业可以操作哪些配置以及故障排除指南的大量信息。安全主管的主要考虑因素包括盘点服务使用情况(必须知道企业内部正在使用哪些服务,否则无法进行保护),确保企业使用的服务符合适用的监管框架,并了解合同/法律方面,例如云计算服务供应提供商服务级别协议(SLA),尤其是在事件响应计划等领域。许多企业与云计算服务提供商建立合作伙伴关系并分担责任。这包括确保企业使用的服务符合他们必须遵守的监管框架。超大规模云计算服务提供商使这些信息很容易找到,AWS和MicrosoftAzure等云计算提供商提供“范围内的服务”页面,公司可以在其中确定哪些服务符合哪些框架,哪些仍在审批过程中。这有助于确保您的团队不仅在云中构建稳健且安全的架构和工作负载,而且还使用符合其适用框架的服务以避免合规性或监管问题。各级安全从业人员应努力在其云环境中实施安全标准和最佳实践。这可能意味着实施来自各自云计算服务提供商的安全最佳实践,或实施诸如互联网安全中心(CIS)基准等实践,用于各自的云计算环境。客户责任矩阵处理共享责任模型(SRM)时的一个基本工件是客户责任矩阵(CRM),它列出了云计算服务提供商提供的控制以及留给云计算消费者的责任。美国联邦风险和授权管理计划(FedRAMP)是查找模板客户责任矩阵(CRM)并了解更多信息的好地方。FedRAMP是一个授权程序,用于处理整个联邦政府使用的云服务产品。客户责任矩阵(CRM)是安全从业者使用的重要工具。在责任共担模型(SRM)中,安全控制要么完全由CSP提供,要么混合提供(责任落在CSP和云客户身上),要么完全留给客户。安全从业人员可以利用客户责任矩阵(CRM)来明确此安全控制描述。使用云计算服务可以将某些安全控制和活动的责任转移给云计算服务提供商,从而使企业能够专注于他们的核心竞争力。也就是说,它创建了一种安全专业人员必须理解并适当处理的责任关系。重要的是要记住,大多数云计算数据泄露发生在共享责任模型(SRM)的客户端,归根结底,企业对自己的数据安全和声誉负全部责任。
