Workload Cloud Security

For english native readers – If you came here due the english title, sorry. there’s no way to translate to portuguese. But I invite you to translate this blog post and to leave your impressions.

Resolvi escrever esse post apenas para esclarecer alguns pontos importantes quando estamos tratando de cargas de trabalho na nuvem. Muitas pessoas acreditam que a responsabilidade total fica por conta do provedor de serviços. Será mesmo ?

Analisando o caso de estudo da CSA (Cloud Security Alliance) sobre Top Threats to Cloud Computing: Deep Dive que eu recomendo altamente, pois trata de como algumas empresas falharam na proteção de determinados dados analisando as ameaças, atores, vulnerabilidades, impactos técnicos e nos negocios das corporações além dos controles para prevenção, detecção e corretivo, todos relacionados a 12 ameaças:

  • Data Breaches
  • Insufficient Identity, Credential and Access Management
  • Insecure Interfaces and APIs
  • System Vulnerabilities
  • Account Hijacking
  • Malicious Insiders
  • Advanced Persistent Threats
  • Data Loss
  • Insufficient Due Diligence
  • Abuse and Nefarious Use of Cloud Services
  • Denial of Service
  • Shared Technology Vulnerabilities

Podemos identificar o que realmente é parte de responsabilidade do cliente e o que é parte do provedor de serviços na nuvem.

A nuvem pública consiste em uma ampla gama de serviços e produtos em nuvem, incluindo:

  • Infraestrutura como Serviço (IaaS)
  • Plataforma como serviço (PaaS)
  • Software como serviço (SaaS),

Responsabilidade compartilhada na nuvem

No incio era um medo enorme, mas hoje todos nós sabemos que os provedores de nuvem são seguros, mas também sabemos que ir para a nuvem NÃO faz seu ambiente seguro por padrão, pois existem várias áreas em que a segurança é responsabilidade do cliente.

Depende do do serviço utilizado (IaaS, PaaS, SaaS) existirão diversos benefícios para o cliente no que diz respeito a segurança e conformidade dos fornecedores de nuvem. outro ponto importante é que o gerenciamento de identidade e acesso é quase sempre responsabilidade do cliente.

Veja na tabela abaixo uma ideia de como é a matriz de responsabilidade entre o provedor de nuvem e o cliente.

Em Azul é responsabilidade do provedor e em Branco é sua responsabilidade.

Cada provedor possui sua matriz e você pode consultar alguns a maioria online.

Anúncio

Sobre Daniel Donda 550 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

2 Comentários

  1. Olá Daniel, parabéns pelos artigos. Sigo eles regularmente. Sobre esse artigo em questão, me parece haver um inversão na responsabilidade compartilhada do gráfico acima. Os tópicos em AZUL são de responsabilidade do provedor, não são? Abraços.

2 Trackbacks / Pingbacks

  1. Azure Security Center, SOC TSP e a sua responsabilidade – Daniel Donda
  2. Defesa em profundidade – Daniel Donda

Faça um comentário

Seu e-mail não será divulgado.


*