La sécurité du cloud est une responsabilité partagée
Sommaire
Qu'est-ce que le modèle de responsabilité partagée ?
Le modèle de responsabilité partagée est un cadre du cloud computing qui répartit les responsabilités en matière de sécurité et de conformité entre le fournisseur de services en nuage (CSP) et le client. Ce modèle garantit que les organisations et les CSP contribuent activement à la sécurisation de l'infrastructure cloud et au maintien de la conformité. Dans le cadre du modèle de responsabilité partagée :
- Le CSP responsable de la sécurité du cloud
- Le client responsable de la sécurité dans le cloud
Le modèle de responsabilité partagée expliqué
Le modèle de responsabilité partagée garantit que les organisations et les CSP contribuent activement à la sécurisation de l'infrastructure cloud et au maintien de la conformité. En comprenant et en adhérant au modèle de responsabilité partagée, le CSP et le client peuvent travailler ensemble pour créer un environnement cloud sécurisé, en atténuant efficacement les risques et en assurant la conformité avec les réglementations et les meilleures pratiques du secteur.
Selon ce modèle, le CSP est responsable de la sécurité du cloud, ce qui inclut la sécurisation de l'infrastructure physique, du réseau et du matériel. Ils veillent à ce que les services cloud sous-jacents, tels que le calcul, le stockage et les bases de données, soient protégés contre les menaces et maintiennent un environnement sûr et fiable pour leurs clients. Le CSP fournit également des outils et des fonctions permettant aux clients de gérer leurs configurations de sécurité.
De l'autre côté de la relation, le client est responsable de la sécurité dans le cloud, ce qui implique de sécuriser les données, les applications et les charges de travail qu'il déploie dans l'environnement cloud. Cela comprend des tâches telles que le cryptage des données, la gestion des accès, l'application de correctifs et la mise à jour des logiciels, ainsi que la configuration des paramètres de sécurité en fonction de leurs besoins spécifiques et des exigences de conformité.
Les spécificités du modèle de responsabilité partagée peuvent varier en fonction du modèle de service cloud utilisé, tel que infrastructure as a service (IaaS), plateforme as a service (PaaS), ou logiciel as a service (SaaS). Dans un modèle IaaS, le client assume davantage de responsabilités en matière de sécurité, comme la gestion du système d'exploitation et des applications. En revanche, le CSP assume davantage de responsabilités dans un modèle SaaS, y compris la sécurité au niveau de l'application.
Les inquiétudes concernant l'exposition des données ont fait de la sécurité du cloud une priorité. La difficulté consiste à concilier le besoin d'agilité d'une organisation et la nécessité d'améliorer la sécurité des applications ainsi que celle des données lorsqu'elles circulent entre les différents clouds. Il est impératif de gagner en visibilité et de lutter contre les tentatives d'exfiltration de données - qu'elles proviennent de sites externes ou d'attaques latérales - sur tous les sites où résident des applications et des données.
Plusieurs équipes au sein d'une organisation peuvent être responsables de la sécurité du cloud : l'équipe réseau, l'équipe sécurité, l'équipe apps, l'équipe conformité ou l'équipe infrastructure. Cependant, la sécurité du cloud est également une responsabilité partagée entre l'organisation au sens large et son fournisseur de cloud. Les modalités exactes varient en fonction de la nature de l'offre de cloud :
- Private Cloud : Les organisations sont responsables de tous les aspects de la sécurité d'un cloud privé car il est hébergé dans le propre centre de données de l'organisation. Cela comprend le réseau physique, l'infrastructure, l'hyperviseur, le réseau virtuel, les systèmes d'exploitation, les pare-feu, la configuration des services, la gestion des identités et des accès, etc. L'organisation est également propriétaire des données et de leur sécurité.
- Public : Dans les clouds publics, tels qu'Amazon Web Services ( AWS®) ou Microsoft Azure®, le fournisseur du cloud possède l'infrastructure, le réseau physique et l'hyperviseur. Le client reste propriétaire du workload OS, des apps, du réseau virtuel, de l'accès à son environnement/compte locataire et des données.
- SaaS : SaaS Les fournisseurs sont les premiers responsables de la sécurité de leur plateforme, y compris de la sécurité physique, de l'infrastructure et des applications. Ces fournisseurs ne possèdent pas les données des clients et n'assument pas la responsabilité de l'utilisation des applications par les clients. À ce titre, le client est responsable de la prévention ou de la minimisation des risques d'exfiltration de données, d'exposition accidentelle ou d'insertion de logiciels malveillants.
Lorsque les organisations passent des clouds privés aux clouds publics ou aux applications SaaS, elles peuvent compter sur leurs fournisseurs pour sécuriser les données, les apps et l'infrastructure. Quelles que soient les mesures de sécurité appliquées à la plate-forme, l'organisation reste responsable de la sécurité de ses propres données.
Sécurité du cloud
Pour activer les applications en toute sécurité, la sécurité informatique doit être certaine que leurs fournisseurs de cloud ont mis en œuvre les mesures de sécurité appropriées pour garder les applications et les données sécurisées. Pour compenser les lacunes des fournisseurs de cloud en matière de sécurité, les organisations doivent également disposer des bons outils pour gérer et sécuriser efficacement les risques. Ces outils doivent fournir
- Visibilité de l'activité au sein des applications SaaS
- Analyses détaillées sur l'utilisation pour prévenir les risques liés aux données et les violations de la conformité.
- Contrôles de la politique en fonction du contexte pour assurer l'application de la loi et la mise en quarantaine en cas d'infraction
- Renseignements sur les menaces en temps réel sur les menaces connues et détection des menaces inconnues pour prévenir les nouveaux points d'insertion des logiciels malveillants.
FAQ sur la responsabilité partagée
La responsabilité partagée fait référence à l'approche collaborative entre le CSP et le client pour maintenir un environnement cloud sécurisé et conforme. Chaque partie assume des responsabilités spécifiques en matière de sécurité, en fonction du modèle de service cloud (IaaS, PaaS ou SaaS), afin d'atténuer les risques, de protéger les données et de respecter les réglementations du secteur.
Les principes de la responsabilité partagée impliquent une compréhension claire des devoirs de chaque partie, une collaboration active et une communication permanente. Le CSP sécurise l'infrastructure, le réseau et le matériel sous-jacents, tandis que le client sécurise les données, les applications et les charges de travail déployées dans le cloud. Le respect de ces principes garantit une posture de sécurité solide et aide à prévenir les vulnérabilités potentielles dans les environnements cloud.
L'objectif premier de la responsabilité partagée est d'établir une approche collaborative et globale de la sécurité du cloud, en tirant parti de l'expertise et des ressources du FSC et du client. En répartissant les responsabilités en matière de sécurité, la responsabilité partagée vise à améliorer la posture de sécurité globale, à minimiser les vulnérabilités et à assurer la conformité avec les réglementations sectorielles pertinentes.
Il est essentiel de comprendre le modèle de responsabilité partagée pour sécuriser efficacement les environnements cloud et maintenir la conformité. Il aide les organisations à identifier leurs tâches spécifiques en matière de sécurité, à allouer les ressources de manière efficace et à mettre en œuvre les contrôles de sécurité appropriés. Une compréhension claire du modèle favorise la collaboration entre le CSP et le client, garantissant que les deux parties travaillent ensemble pour créer un environnement cloud sécurisé et conforme, en atténuant les risques et en répondant aux menaces potentielles.
