Paylaşılan Sorumluluk Modeli (SRM), güvenlik ve operasyonel görevlerin bulut sağlayıcıları ve müşterileri arasında nasıl bölündüğünü tanımlamada merkezi bir rol oynamaktadır. Bununla birlikte, bu model hizmet düzeyi anlaşmaları (SLAS) ile kesiştiğinde, karmaşıklık katmanları getirir.
SLAS genellikle çalışma süresi, destek yanıt süreleri ve hizmet performansı gibi metrikleri kapsar, ancak genellikle veri koruma, ihlal yanıtı ve düzenleyici uyum gibi kritik unsurları gözden kaçırır. Bu, kimin hesap verebilir olduğuna dair varsayımların ciddi kör noktalara yol açabileceği bir sorumluluk boşluğu yaratır. Örneğin, bir müşteri, bulut sağlayıcısının SLA’sının veri korumasını garanti ettiğini varsayabilir, sadece kendi yanlış yapılandırmalarının veya zayıf kimlik yönetimi uygulamalarının bir veri ihlaline yol açtığını fark etmek için.
Kuruluşlar yanlışlıkla sağlayıcılarının olduğundan daha fazla işlediğine inanabilir, bu da uyumsuzluk, güvenlik olayları ve operasyonel aksamalar riskini artırır. SLA taahhütleri ile paylaşılan güvenlik sorumlulukları arasındaki nüansları anlamak, esnekliği veya düzenleyici yükümlülükleri zayıflatmadan bulut hizmetlerini güvenli bir şekilde kullanmak için hayati önem taşır.
SRM ve SLA’ların gerçekliği
SRM, bulut ortamlarındaki SLA’ların kapsamını ve etkisini temelde şekillendirir. Bulut sağlayıcılarının SRM’sinin gerçekliğini hızlı bir şekilde anlayalım.
- Bulut sağlayıcıları altyapıyı güvence altına almak Onlar üstesinden gelmek; Ne olmasını sağlıyorsun Sen dağıtım.
- Müşteriler veri, yapılandırmalar, kimlikler ve uygulamalardan sorumludur.
- Bulut sağlayıcıları genellikle ihlaller sırasında suçu saptırmak için modeli atıfta bulunur.
- Müşteriler yığının kendilerini güvence altına almalıdır, çünkü bulut temerrüde düşmediğinden, görünürlüğe, politika ve kontroller hala sizin üzerinizdedir.
Bir SLA bulut sağlayıcısının “güvenlik konusundaki taahhüdünü garanti ederken ile ilgili Bulut ”, altında yatan altyapının çalışma süresinin, esnekliğinin ve çekirdek güvenliğinin sağlanması, müşterinin” güvenlik sorumluluklarını açıkça karşılamıyor içinde Bulut. “Bu, bir sağlayıcının SLA’sı altyapıları için% 99,99 çalışma süresi vaat etse bile, bir müşterinin yanlış yapılandırmaları, zayıf kimlik yönetimi veya sorumluluklarının tümü) veri ihlallerine veya hizmet kesintilerine yol açabilir, bu nedenle sağlayıcının algılanan güvenlik ve yukarı faydalarını doğrudan etkileyebilir. yeterli Güvenlik ve kullanılabilirlik, işletme tarafından yaşanarak, herhangi bir Bulut SLA’nın tam değerini gerçekleştirmek için gayretli müşteri tarafı güvenlik uygulamalarını çok önemli hale getirir.
Birkaç kontrol, işletmenizi korurken yenilikçi bulut teknolojisine erişmek için kapsamlı bir yaklaşımın parçası olmalıdır:
- Durum tespiti, boşluk analizi ve risk niceliği: Bulut sağlayıcısının güvenlik duruşunun sadece SLA’nın ötesinde kapsamlı bir incelemesini yapın. Güvenlik beyaz kağıtlarını, bağımsız denetim raporlarını (örneğin FedRamp, SOC 2 Tip 2, ISO 27001) ve penetrasyon testi özetlerini talep edin ve inceleyin. Herhangi bir SLA eksikliğinin iş operasyonlarınız, veri gizliliğiniz ve düzenleyici yükümlülükler üzerindeki potansiyel etkisini ölçen ayrıntılı bir risk değerlendirmesi yapın. Sağlayıcının “güvenliğinin nerede olduğunu tam olarak anlayın ile ilgili Bulut “bitiyor ve” Güvenliğiniz içinde Bulut “sorumlulukları, özellikle veri şifrelemesi, erişim kontrolleri ve olay yanıtı ile ilgili olarak başlar.
- Stratejik Sözleşme Müzakeresi ve Özel Maddeler: SLA’yı altyapı gereksinimlerinize göre uyarlamak için bulut sağlayıcısıyla doğrudan müzakere edin. Önemli sözleşmeler için bulut sağlayıcıları, kritik güvenlik taahhütlerini, veri işleme prosedürlerini, olay bildirim zaman çizelgelerini ve standart tekliflerini aşan denetim haklarını ele alan özel hükümler eklemeye istekli olmalıdır. Sözleşmenin, sağlayıcının güvenlik başarısızlıklarına doğrudan atfedilebilen veri ihlalleri veya hizmet kesintileri için tazminat hükümlerini içerdiğinden emin olun ve etkili bir çıkış stratejisi için veri taşınabilirliği ve imha protokollerini açıkça tanımlayın.
- Sağlam katmanlı güvenlik uygulayın (derinlemesine savunma): Paylaşılan sorumluluk modelinin aktif katılımınızı gerektirdiğini kabul edin. BENn ilave Sağlayıcının yerel tekliflerine, diğerlerinin yanı sıra kimlik ve erişim yönetimi (IAM), Bulut Güvenliği Duruşu Yönetimi (CSPM), Bulut İş Yükü Koruması (CWP), Veri Kaybı Önleme (DLP) ve Zero Güven Ağ Erişimini (ZTNA) kapsayan ek güvenlik kontrolleri uygulayın.
- Gelişmiş güvenlik izleme ve entegrasyon: Bulut hizmetinin günlüklerini ve güvenlik telemetrisini işletmenizin Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) platformlarına entegre edin. Bu merkezi görünürlük ve korelasyon özelliği, Güvenlik İşlem Merkezinizin (SOC) hem şirket içi hem de bulut ortamlarınızdaki tehditleri tespit etmesini, analiz etmesini ve yanıtlamasını sağlar ve sağlayıcının varsayılan izlemesinin bıraktığı olası boşlukları kapatır.
- Proaktif yönetişim, risk ve uyumluluk (GRC): Yeni Bulut Hizmetini ve özel risk profilini açıkça hesaba katmak için dahili güvenlik politikalarınızı ve prosedürlerinizi güncelleyin. Sağlayıcının güvenlik kontrollerini ve telafi kontrollerinizi doğrudan ilgili düzenleyici gereksinimlerle (örneğin GDPR, HIPAA, PCI DSS) eşleyin. Risk değerlendirmelerinizin, azaltma stratejilerinizin ve resmi risk kabul kararlarınızın titiz belgelerini koruyun.
Bu stratejileri benimseyerek, BT ve BT güvenlik liderleri, başlangıçta istenen her kriteri karşılamayan SLA’larla karşılaşsa bile, doğal riskleri en aza indirerek ve güçlü bir uyumluluk duruşunu sağlayarak yenilikçi bulut teknolojilerini güvenle kucaklayabilirler.
Sonuçta
Özelleştirilmiş güvenlik politikalarını uygulayarak ve yalnızca bulut sağlayıcınıza güvenerek “Güvenlik Duruşunuza Sahip” ilkesini izlediğinizden emin olun. Güvenliği bir eklenti değil, altyapınızın temel bir bileşeni olarak ele alın. Genişleyen tehdit manzarasına karşı savunmaları güçlendirmek için tüm ortamlarda güvenlik stratejilerini hizalamak için birleşik kontrolleri benimseyin ve dağıtın, böylece riski azaltır ve esnekliği artırır. Paylaşılan sorumluluk paylaşılan suçlama anlamına gelmez, paylaşılan gayret anlamına gelir.
Aditya K Sood, Aryaka’da Güvenlik Mühendisliği ve AI Stratejisi Başkan Yardımcısıdır.