Współodpowiedzialność za bezpieczeństwo w chmurze?

• Jan Wróblewski
• /
• 1 kwietnia 2021

Z czego wynika tak duży nacisk na bezpieczeństwo?

Amazon Web Services, Microsoft Azure, czy Google Cloud są znane z tego, że lepiej chronią swoją infrastrukturę opartą na chmurze niż wewnętrzne, operacyjne centrum bezpieczeństwa. Powodem takiego stanu rzeczy jest niezwykle duża odpowiedzialność. Specjaliści zwracają również uwagę na fakt, iż najwięksi dostawcy usług w chmurze mają gigantyczne budżety i w przypadku jakiejkolwiek wpadki muszą liczyć się z tym, że ich głębokie kieszenie zostaną zaatakowane przez armię prawników, którzy są w stanie zmusić ich do wypłacenia niebotycznych odszkodowań.

Co ważne, kwestie związane z zapewnieniem integralności i bezpieczeństwa w chmurze, można uznać za obowiązkowe dla obydwu stron. W myśl tej tezy, znana organizacja non-profit, o nazwie Cloud Security Alliance definiuje modele współodpowiedzialności jako wewnętrzne zespoły bezpieczeństwa, które są właścicielami nie tylko aplikacji, ale również danych, kontenerów w chmurze. CSP (Content Security Policy) przejmuje natomiast fizyczne bezpieczeństwo nad infrastrukturą chmury.

Na czym polega model współodpowiedzialności?

Sedno wspomnianego modelu koncentruje się przede wszystkim na ludziach i zaufaniu. To ostatnie znacząco spada, w sytuacji gdy klienci nie rozumieją, jakie środki bezpieczeństwa wchodzą w zakres CSP. Co prawda użytkownicy zazwyczaj rozumieją czego się od nich oczekuje, problem pojawia się natomiast, gdy chodzi o kwestie związane z wymaganiami dotyczącymi bezpieczeństwa w środowiskach infrastruktury, platformy i oprogramowania w chmurze.

Zwróćmy uwagę na fakt, iż obecnie zarówno dostawcy usług, jak i sami klienci mają inne oczekiwania. Osoby korzystające z chmury oczekują od swoich dostawcach dostępu do usług 24 godziny na dobę, 7 dni w tygodniu. To z kolei przekłada się na wzrost bezpieczeństwa. Jego poziom na ten moment jest tak wysoki, że niewiele organizacji, (w tym również rządów), można uznać za lepiej zabezpieczone, niż dostawców chmury. Warto jednak pamiętać, że obdarzanie dostawców bezgranicznym zaufaniem, może wiązać się z licznymi zagrożeniami. 

Warto podkreślić, że do tej pory nie stworzono jednolitego modelu współodpowiedzialności, a nieporozumienia zaistniałe w firmach korzystających ze z tzw. środowiska wielo-chmurowego, w pewnym sensie się utrwalają. Co prawda różnice między modelami odpowiedzialności CSP są niewielkie, jednak dostawcy ciągle próbują dostosować się do klientów, dla których zrozumienie mechanizmów determinujących pracę usługodawcy, klienta i technologii jest problematyczne. 

Większe firmy coraz częściej proszą o stworzenie ram kontroli bezpieczeństwa, tak by móc zidentyfikować kategorie kontroli, które należy wprowadzić. Dostarczanie klientom narzędzi umożliwiających wykonywanie ich obowiązków jest głównym zadaniem dostawców CSP.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Mechanizmy kontroli

Warto wiedzieć, że cały czas trwa proces skalowania możliwości, jakie daje chmura, tym samym pozostawiając w fazie rozwoju strategię dotyczącą cyberbezpieczeństwa. Niektórzy specjaliści twierdzą, iż we wczesnych etapach tworzenia struktury zespołu ds. cyberprzestrzeni w chmurze, firmy powinny szczegółowo określać umowy dotyczące usług oferowanych przez dostawców CSP i tym samym wykorzystywać niezbędne mechanizmy kontroli, strategie ryzyka i zgodność. 

Nie oznacza to, jednak że firmy nie wiedzą, czego potrzebują, jednak niektórym nadal brakuje tego, co zapewniają ich dostawcy usług CSP. Na podstawie danych zebranych z infrastruktury natywnej dla chmury odkryto, że ​​10% firm zapłaciło za dodatkowe funkcje ochrony danych i prywatności od swoich dostawców CSP. 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.