วิธีจัดการความปลอดภัยบนคลาวด์เมื่อผู้ให้บริการและลูกค้าแบ่งปันความรับผิดชอบ

5 สิ่งที่ควรรู้เกี่ยวกับความปลอดภัยของระบบคลาวด์เพื่อให้ปลอดภัยกับที่เก็บข้อมูลบนคลาวด์คุณต้องรู้วิธีการทำงาน ต่อไปนี้เป็นปัญหาพื้นฐานห้าประการที่ควรพิจารณา

เมื่อพูดถึงการรักษาความปลอดภัยข้อมูลในคลาวด์ความสำคัญของการตัดสินใจว่าใครเป็นผู้รับผิดชอบในสิ่งที่ไม่สามารถคุยโวได้ ปัจจุบันมีสามตัวเลือก: ลูกค้าบริการคลาวด์ผู้ให้บริการคลาวด์หรือลูกค้าและผู้ให้บริการร่วมกันรับผิดชอบ

การศึกษาความปลอดภัยของข้อมูลบนคลาวด์ 2018 ทั่วโลก ( รูปที่ A ) ดำเนินการโดย Ponemon Institute สำหรับ Gemalto พบว่า:

"ในปี 2560 ผู้ตอบแบบสอบถามน้อยลง (32% ของผู้ตอบแบบสอบถาม) กล่าวว่าเป็นความรับผิดชอบร่วมกัน ระหว่างผู้ให้บริการคลาวด์และผู้ใช้ระบบคลาวด์ ผู้ตอบแบบสอบถามจะแบ่งความรับผิดชอบอย่างเท่าเทียมกันระหว่างผู้ให้บริการคลาวด์หรือผู้ใช้คลาวด์ "

รูปที่

รูปภาพ: สถาบัน Ponemon และ Gemalto

โมเดลความรับผิดชอบร่วมกัน

Jenna Kersten ผู้เชี่ยวชาญด้านการตลาดด้านเนื้อหาที่ KirkpatrickPrice ในบล็อกโพสต์ของเธอใครรับผิดชอบเรื่องความปลอดภัยของ Cloud? ด้านที่มีผู้ตอบแบบสำรวจเลือกสำหรับความรับผิดชอบร่วมกัน ในโพสต์ของเธอ Kersten ก้าวไปอีกขั้นและอภิปรายวิธีหนึ่งในการแบ่งความรับผิดชอบระหว่างลูกค้าบริการคลาวด์และผู้ให้บริการคลาวด์ในรูปแบบบริการคลาวด์ต่อไปนี้: โครงสร้างพื้นฐานเป็นบริการ (IaaS) แพลตฟอร์มในฐานะบริการ (PaaS ) และซอฟต์แวร์เป็นบริการ (SaaS)

  • โซลูชั่น IaaS : ใน IaaS ผู้ให้บริการคลาวด์จะจัดการสิ่งอำนวยความสะดวกศูนย์ข้อมูลอินเตอร์เฟสเครือข่ายการประมวลผลและไฮเปอร์ไวเซอร์ ลูกค้าบริการคลาวด์มีหน้าที่รับผิดชอบในเครือข่ายเสมือนเครื่องเสมือนระบบปฏิบัติการมิดเดิลแวร์แอปพลิเคชันอินเทอร์เฟซและข้อมูล
  • โซลูชั่น PaaS : ด้วยรูปแบบ PaaS Kersten เพิ่มเครือข่ายเสมือนเครื่องเสมือนระบบปฏิบัติการและมิดเดิลแวร์ให้กับความรับผิดชอบของผู้ให้บริการคลาวด์ ลูกค้ายังคงรับผิดชอบในการรักษาความปลอดภัยและจัดการแอปพลิเคชันส่วนต่อประสานและข้อมูล
  • โซลูชั่น SaaS : โมเดล SaaS อ้างอิงจากเคอร์สเทนย้ายความรับผิดชอบสำหรับทุกสิ่งยกเว้นส่วนต่อประสานและข้อมูลไปยังผู้ให้บริการคลาวด์

"ผู้ให้บริการคลาวด์และลูกค้าบริการคลาวด์มีความรับผิดชอบในการปกป้องข้อมูล" เคอร์สเทนกล่าว "สิ่งสำคัญคือต้องทราบว่าการดำเนินงานด้านการจัดการความปลอดภัยส่วนบุคคลนั้นสามารถเอาต์ซอร์ซได้ แต่ความสามารถในการรับผิดชอบนั้นไม่สามารถทำได้

Amazon Web Services

อำนาจที่อยู่ที่ Amazon Web Services (AWS) เห็นด้วยกับ "32 เปอร์เซ็นต์" และ Kersten จากเว็บไซต์ AWS เกี่ยวกับวิสัยทัศน์ของ บริษัท ต่อความรับผิดชอบร่วมกัน:

"โมเดลที่ใช้ร่วมกันนี้สามารถช่วยแบ่งเบาภาระการปฏิบัติงานของลูกค้าในขณะที่ AWS ดำเนินการจัดการและควบคุมส่วนประกอบต่างๆจากระบบปฏิบัติการโฮสต์และเวอร์ชวลไลเซชันเลเยอร์จนถึงความปลอดภัยทางกายภาพของสิ่งอำนวยความสะดวกที่บริการดำเนินงานอยู่ลูกค้ารับผิดชอบและจัดการแขก ระบบปฏิบัติการ (รวมถึงการอัปเดตและแพตช์รักษาความปลอดภัย), แอพพลิเคชั่นซอฟต์แวร์อื่น ๆ ที่เกี่ยวข้องรวมถึงการกำหนดค่าของ AWS ให้ไฟร์วอลล์กลุ่มรักษาความปลอดภัย

ความปลอดภัยทางกายภาพ

ข้อมูลในคลาวด์ยังคงอยู่ที่ใดที่หนึ่งบนอุปกรณ์ทางกายภาพ (เช่นเซิร์ฟเวอร์ฮาร์ดไดรฟ์และอื่น ๆ ) เนื่องจากความรับผิดชอบร่วมกันทั้งลูกค้าและผู้ให้บริการจำเป็นต้องสร้างอาคารอุปกรณ์คอมพิวเตอร์และโครงสร้างพื้นฐานทางกายภาพให้ปลอดภัย พนักงานยังมีการพิจารณาที่สำคัญเนื่องจากวิศวกรรมทางสังคมเป็นวิธีการโจมตีที่ต้องการของอาชญากรไซเบอร์เนื่องจากความสำเร็จ

วิธีจัดการความสัมพันธ์ที่รับผิดชอบร่วมกัน

Kersten พิจารณาว่าฝ่ายที่รับผิดชอบบริการคลาวด์ที่ไซต์ของลูกค้าและที่ตั้งของผู้ให้บริการสามารถจัดการความสัมพันธ์ที่รับผิดชอบร่วมกันได้ดีที่สุดโดยเริ่มจากผู้ให้บริการคลาวด์:

  • พิจารณาความเสี่ยงจากมุมมองของลูกค้าจากนั้นใช้การควบคุมที่จะแสดงให้เห็นทุกสิ่งที่เป็นไปได้ที่กำลังทำอยู่เพื่อลดความเสี่ยง
  • จัดทำเอกสารการควบคุมภายในที่ใช้ในการจัดการความเสี่ยง
  • จัดทำเอกสารเกี่ยวกับวิธีที่ลูกค้าสามารถใช้คุณสมบัติความปลอดภัยที่มีให้ Kersten กล่าวเสริมว่า "AWS ทำงานได้ยอดเยี่ยมผ่านโครงการการศึกษา"
  • สร้างเมทริกซ์ความรับผิดชอบที่กำหนดว่าโซลูชันของคุณจะช่วยให้ลูกค้าปฏิบัติตามข้อกำหนดการปฏิบัติตามข้อกำหนดต่างๆได้อย่างไร หันไปใช้ CAIQ และ CCM ของ CSA เพื่อเป็นจุดเริ่มต้นในการสร้างแบบจำลองความรับผิดชอบร่วมกัน

ถัดไป Kersten มุ่งเน้นไปที่ลูกค้าบริการคลาวด์:

  • กำหนดข้อกำหนดด้านความปลอดภัยบนคลาวด์ก่อนเลือกผู้ให้บริการคลาวด์ "ถ้าคุณรู้ว่าคุณกำลังมองหาอะไรในผู้ให้บริการคลาวด์คุณสามารถจัดลำดับความสำคัญได้ดีกว่า" Kersten กล่าวเสริม
  • ประสานโปรแกรมการกำกับดูแลกิจการระหว่างการส่งมอบไอทีแบบดั้งเดิมและแบบคลาวด์ การย้ายระบบและแอพพลิเคชั่นไปยังคลาวด์นั้นต้องการการเปลี่ยนแปลงนโยบาย
  • สร้างความชัดเจนในสัญญาเกี่ยวกับบทบาทและความรับผิดชอบของแต่ละฝ่ายโดยเฉพาะอย่างยิ่งเกี่ยวกับคลาวด์สาธารณะรวมถึง:
    * ใครรับผิดชอบเรื่องความปลอดภัยบนคลาวด์
    * ผู้ให้บริการคลาวด์ไปไกลแค่ไหน?
  • พัฒนาเมทริกซ์ความรับผิดชอบที่กำหนดบทบาทและความรับผิดชอบด้านความปลอดภัยสำหรับคุณและสำหรับผู้ขายแต่ละรายรวมถึงผู้ให้บริการคลาวด์

การจัดการผู้ขาย: วิธีสร้างความสัมพันธ์ที่มีประสิทธิภาพ (PDF ฟรี) (TechRepublic)

อย่าลืมเกี่ยวกับการปฏิบัติตาม

การปฏิบัติตามกฎระเบียบและการรักษาความปลอดภัยของระบบคลาวด์อาจถูกพิจารณาว่าเป็นความสัมพันธ์ทางชีวภาพแบบดิจิตอลซึ่งไม่สามารถเกิดขึ้นได้หากปราศจากวิธีการอื่น ๆ Duane Tharp ไม่ต้องต่อยเมื่อพูดถึงความสอดคล้องและความปลอดภัย:

"เหตุผลแรกคือกฎระเบียบธุรกิจจะต้องปฏิบัติตามระบอบการปกครองไม่ว่าจะเป็นรัฐสหพันธรัฐหรือภายในด้วยเหตุผลอื่นคือความกลัวการลงทุนเพิ่มเติมในด้านความปลอดภัยอาจป้องกันไม่ให้เกิดสถานการณ์ที่เลวร้ายในอนาคต คือผลตอบแทนสุทธิที่เป็นบวก "

จดหมายข่าวภายในไซเบอร์ปลอดภัย

เสริมสร้างการป้องกันความปลอดภัยด้านไอทีขององค์กรของคุณโดยการติดตามข่าวสารล่าสุดของการรักษาความปลอดภัยบนโลกไซเบอร์โซลูชั่นและแนวทางปฏิบัติที่ดีที่สุด จัดส่งวันอังคารและวันพฤหัสบดี

สมัครวันนี้

© Copyright 2020 | mobilegn.com