共同责任模式

Die Sicherheit in der Cloud geht alle an.

AWS Cloud Risk Assessment

Inhaltsübersicht

Attack Intelligence Report 2024

在一项为期14个月的新研究中,Rapid7实验室分析了攻击者的行为和主要漏洞。.

Bericht lesen

Was ist das Shared-Responsibility-Modell?

共同责任模型, SRM是云服务提供商(云服务提供商)之间的协议。, CSP) und einem Endnutzer seiner Dienste. Diese Vereinbarung besagt, CSP负责保护其云运营的平台基础设施, 而最终用户负责保护在云平台上运行的工作负载.

Gartner unterstreichtCSP客户准确理解协议的重要性. csp不能提供绝对的安全性,网络安全官员需要了解他们对云安全的责任有多大。. Dies gilt insbesondere für Unternehmen, 希望将部分或全部工作负载转移到云计算的公司.

Daher wäre es am besten, 当云架构师考虑环境的特定安全方面时, in der sie arbeiten möchten, berücksichtigen würden. 这将使所有利益相关者对风险和责任有更广泛的了解。, 该公司在向云迁移的过程中承担了责任. 缺乏对特定公司及其CSP的SRM概念的理解可能会导致错误的假设。, CSP负责特定区域的安全. 这反过来可能导致配置错误和/或云资产保护不足。.

更好地理解您在SRM中的角色可能会有所帮助。, 履行你对企业社会责任的责任,以及企业社会责任的最佳实践 Cloud-Sicherheit zu implementieren und durchzusetzen, z. B. 以定期漏洞扫描的形式.

云服务提供商的责任分担模型

让我们看看一些领先的csp如何为他们的环境定义SRM。. 这些信息可能是根据您的业务需求选择最佳供应商的关键。. 

AWS Modell der geteilten Verantwortung

Dieses Modell besagt, AWS负责云安全, 而客户负责云安全. Während AWS daran arbeitet, seine Infrastruktur sicher zu halten, sind die Kunden für IT-Kontrollen wie Verschlüsselung und Identitäts- und Zugriffsmanagement (IAM), das Patchen von Gastbetriebssystemen, 负责建立数据库和培训网络安全人员.

微软Azure共享责任模型

在这种模式下,客户在现场数据中心拥有整个堆栈。. 随着云转移,一些责任转移到了微软身上. 这些职责因堆栈部署的类型而异。.

在所有类型的云部署中,客户都是其数据和身份的所有者。. 它支持保护这些数据和身份, 负责本地资源和他控制的云组件. 无论以何种方式提供,客户始终对其数据负责。, Endpunkte, Konten und das Access Management.

谷歌云平台(GCP)

根据这个模型,客户使用的每一项服务都需要全面的理解。. 服务的配置选项和措施也是如此。, 使用谷歌云来保护服务. 每个服务都有不同的配置文件. 因此,确定最佳的安全配置可能是困难的。.

客户最了解其业务的安全和监管要求,以及保护机密数据和资源的要求。. GCP 引入了“共同命运”的概念, 客户最终可以获得权利, eine Verantwortung an GCP zu übertragen.

云计算模型

现在让我们来看看SRM是如何变化的。 Art des Cloud-Modells eines Unternehmens unterscheidet. 在个别标题下,列出了CSP或CSP的组件。. ein Kunde verantwortlich ist. 

Sie werden feststellen, CSP在列表中从上到下管理越来越多的组件. 因此,客户越来越方便和安全。, kann aber immer weniger selbst anpassen. 

Infrastructure as a Service (IaaS)

Der CSP ist verantwortlich für: 

  • Virtualisierung
  • Firmware
  • Hardware

Der Kunde ist verantwortlich für: 

  • Benutzerzugriff
  • Daten
  • Funktionen
  • Laufzeit/Anwendungen
  • Container
  • Betriebssystem

Platform as a Service (PaaS)

Der CSP ist verantwortlich für: 

  • Container
  • Betriebssystem
  • Virtualisierung
  • Firmware
  • Hardware
  • Laufzeit/Anwendungen (teilweise)

Der Kunde ist verantwortlich für: 

  • Benutzerzugriff
  • Daten
  • Funktionen
  • Laufzeit/Anwendungen (teilweise)

Function as a Service (FaaS)

Der CSP ist verantwortlich für: 

  • Container
  • Betriebssystem
  • Virtualisierung
  • Firmware
  • Hardware
  • Laufzeit/Anwendungen

Der Kunde ist verantwortlich für: 

  • Benutzerzugriff
  • Daten
  • Funktionen

当然,在完全自定义的现场基础设施中,用户将负责上面列出的所有组件。. 

实践中的共同责任模式

总结SRM的技术方面, so würden viele Experten argumentieren, dass der Kunde für alles verantwortlich ist, was er in seiner Cloud-Umgebung ändern, hinzufügen, entfernen oder neu konfigurieren kann. Wenn er etwas nicht selbst anpassen kann, 监控云运营这方面的责任可能在于CSP.

然而,如前所述,区域可能重叠。. 这些灰色区域也被称为共同控制区。. 为了尽可能顺利地运行,CSP和他们的客户必须充分了解它们。. 就AWS而言,共同控制的领域将包括,例如,诸如 Patch-Management, die Konfigurationsverwaltung für Infrastructure as Code (IaC) und Trainings zum Sicherheitsbewusstsein gehören. 为什么要分担这些领域的责任?

具体来说,AWS将负责修补和修复其基础设施中的bug。, 客户负责给客户的操作系统和应用程序打补丁。. 因此,AWS负责其基础设施的配置。, 当客户端配置自己的操作系统时, 负责数据库和应用程序.

最后但并非最不重要的是,这是AWS及其云客户的责任, 提高员工的网络安全意识. 这些联合控制区加强了csp及其客户保护这些区域的能力。, für die sie allein verantwortlich sind.

分担责任模式的好处?

SRM的优点大致相当于一个人的优点 Migration in die Cloud mit sich bringen kann. 作为一个客户,你是在和一个合作伙伴打交道,所以要小心。, dass Sie ihm vertrauen können.

  • Skalierbarkeit:客户可以根据需要扩展或限制CSP生态系统平台内的安全功能。. 大型云服务提供商,比如上面提到的那些,可以从内部实现, 与贵公司的业务需求一起成长. CSP的安全体系结构将始终在SRM框架内构建和定义。. 因此,客户可以根据需要轻松地扩展自己的数据安全协议。.
  • Zusammenarbeit: Wie bereits ausführlich beschrieben, SRM促进明确网络安全责任. 因此,对客户业务的好处来自于这种划分。. 云操作的SRM的安全性要求低于客户对本地功能的基本构建。.
  • Stärke der Architektur:与一个值得信赖和受人尊敬的CSP合作可以为客户提供, 担心供应商云中的数据安全, große Gewissheit verschaffen. SRM的一个重要优势是, 您可以充分利用安全数据分析技术和CSP的健全架构.

共同责任模式的最佳实践

当然,最佳实践取决于您公司的个人需求。. 因此,让我们来看看一些更一般的SRM最佳实践。. 

  • 服务水平协议(SLA):有了SLA,您可以准确地了解CSP的安全操作类型,以及它对自己和客户的期望。. SLA还向CSP展示了它对您的公司的期望.
  • 将责任转移到你的CSP:如果您在寻找云服务提供商时考虑了正确的因素, können Sie ihm hoffentlich vertrauen. 然而,您的公司不应该承担安全责任。, 这显然应该属于CSP的职权范围.
  • Sicherstellung der Compliance: Bei der Einhaltung von Compliance-Vorschriften 在联邦或州一级,或贵公司自己的合规标准,不应该有灰色地带。. 通过在SRM中提供明确的责任, 确保您和潜在的CSP在内部和外部遵从性指导方针方面保持良好的卫生.

Mehr erfahren

云安全:来自Rapid7博客的更新

电子书:在AWS上使用Rapid7备份容器应用程序

Verwandte Themen

Cloud Risk Management

Cloud Security
Lesen

Cloud Workload Protection Platform (CWPP)

Cloud Security
Lesen

Google Cloud Platform (GCP) Security

Cloud Security
Lesen

Least Privilege Access (LPA)

Cloud Security
Lesen

Best Practices für AWS Cloud Security

Cloud Security
Lesen

Infrastructure-as-Code (IaC)

Cloud Security
Lesen

云原生应用保护平台(CNAPP)

Cloud Security
Lesen

Cloud-Migration

Cloud Security
Lesen

Container-Sicherheit

Cloud Security
Lesen

Was ist Cloud Security?

Cloud Security
Lesen

Cloud Security Posture Management (CSPM)

Cloud Security
Lesen

Cloud-Compliance

Cloud Security
Lesen

云基础设施授权管理(CIEM)

Cloud Security
Lesen

Kubernetes-Sicherheit

Cloud Security
Lesen

云网络安全的最佳实践

Cloud Security
Lesen

Identity and Access Management (IAM)

Cloud Security
Lesen

Azure Cloud Security

Cloud Security
Lesen
Weitere Themen anzeigen Weitere Themen anzeigen