SLA obećava, sigurnosne stvarnosti: navigacija podijeljenoj jaz odgovornosti

Stvarnost SRM-a i SLAS-a

SRM u osnovi obliva opseg i uticaj SLAS u oblaku okruženja. Brzo razumijemo stvarnost provajdera oblaka SRM.

• Provajderi u oblaku osiguravaju infrastrukturu oni upravljati; osiguravate šta ti Rasporedite.
• Kupci su odgovorni za podatke, konfiguracije, identitete i aplikacije.
• Provajderi u oblaku često navode model za odbijanje krivice tokom kršenja.
• Kupci moraju sami osigurati slab, jer oblak ne iznosi sigurnu podrazumevano-povišenje, politika i kontrole su još uvijek na vama.

Dok SLA garantuje posvećenost dobavljaču oblaka “sigurnosti od oblak “, osiguravajući osnovnu nadogradnju infrastrukture, otpornosti i osnovne sigurnosti, izričito ne pokriva odgovornosti kupca za “security in the cloud.” To znači da čak i ako SLA provajdera obećava 99,99% za njihovu infrastrukturu, zabluda kupca, slabih menadžmenta identiteta ili nepokolebljive aplikacije (sav deo njihove odgovornosti) mogu dovesti do prekršaja podataka ili oultificijetih prednosti pružatelja usluga pružatelja usluga. Stoga, SRM direktno utiče na adekvatan Sigurnost i dostupnost koje je preduzeće doživelo, čineći marljive sigurnosne prakse na strani korisnika presudno za ostvarivanje pune vrijednosti bilo kojeg oblačnog SLA.

Nekoliko kontrola bi trebalo biti dio sveobuhvatnog pristupa stjecanju pristupa inovativnom oblaku tehnologiju, a pridržavanje vašeg preduzeća:

• Dužna diligencija, analiza jaza i kvantifikacija rizika: Provedite iscrpan pregled sigurnosnog položaja provajdera u oblaku izvan samo SLA. Zahtjev i pomno ispitivanje sigurnosnih bijelih, izvještaja o neovisnim revizijskim izvještajima (npr. Fedrammp, SoC 2 tipa 2, ISO 27001) i sažeci prodora. Izvršite detaljnu procjenu rizika koja kvantificira potencijalni utjecaj bilo kakvih nedostataka SLA na vaše poslovanje, privatnost podataka i regulatorne obveze. Precizno shvatite tamo gdje je dobavljač “security of the cloud” završava i vaši “security in the cloud” Odgovornosti počinju, posebno u vezi sa šifriranjem podataka, kontrola pristupa i odgovor na incident.
• Strateški pregovori o ugovoru i prilagođene klauzule: Uključite se u direktni pregovori s davateljem oblaka da biste prilagodili SLA na vaše infrastrukturne zahtjeve. Za značajne ugovore, pružatelji oblaka trebaju biti voljni uključiti prilagođene klauzule koji se bave kritičnim sigurnosnim obvezama, postupcima za rukovanje podacima, rok incidentnim vremenskim rokovima i revizijskim pravima koja prelaze njihove standardne ponude. Osigurajte da ugovor uključuje odštetne klauzule za kršenja podataka ili poremećaje usluga direktno se pripisuju sigurnosnim neuspjehom davatelja usluga i jasno definiraju prenosivost podataka i protokole za uništavanje za efikasnu strategiju izlaska.
• Provedite robusna slojevljena sigurnost (dubinska obrana): Prepoznajte da model zajedničke odgovornosti zahtijeva vaše aktivno sudjelovanje. Jan dodatak Na matičnu ponudu dobavljača, provedite dodatne sigurnosne kontrole, između ostalih, menadžment identiteta i pristupa (IAM), upravljanje oblakom (CSPM), zaštita od opterećenja u oblaku (CWP), prevencija za prevenciju podataka (DLP) i nulta Trust Mrežni pristup (ZTNA).

• Poboljšani praćenje i integracija sigurnosti: Integrirajte zapisnike i sigurnosnu telemetriju u oblaku u sigurnosnu informaciju i upravljanje događajima (Siem) i sigurnosnu orkestraciju, automatizaciju i odzivu. Ova centralizirana mogućnost vidljivosti i korelacije omogućava vašem sigurnosnom operativnom centru (SOC) da otkrije i reagiraju na prijetnje na lokalnim i oblačnim okruženjima, premoštavajući bilo kakve potencijalne praznine koji su ostavili zadani nadzor dobavljača.

• Proaktivno upravljanje, rizik i usklađenost (GRC): Ažurirajte svoje politike i postupke unutarnje sigurnosti na izričito unesite novu uslugu u oblaku i njen specifični profil rizika. Mapirajte sigurnosne kontrole davatelja usluga i nadoknađujućim kontrole izravno na relevantne regulatorne zahtjeve (npr. GDPR, HIPAA, PCI DSS). Održavajte pažljivu dokumentaciju o vašim procjenama rizika, strategije ublažavanja i bilo koje formalne odluke o prihvatanju rizika.

Usvajanjem ovih strategija lideri IT i IT-a mogu savezno prihvatiti inovativne oblačne tehnologije, minimiziranje svojstvenih rizika i osiguranje snažnog držanja poštivanja, čak i kada se suoči sa SLAS-om koji u početku ne ispunjavaju svaku željenu kriteriju.

Dno crta

Obavezno slijedite princip “vlastiti sigurnosno držanje” provodeći prilagođene sigurnosne politike i ne oslanjajući se isključivo na vaš provajder u oblaku. Tretirajte sigurnost kao osnovnu komponentu svoje infrastrukture, a ne dodatak. Usvojiti i implementirati objedinjene kontrole za usklađivanje sigurnosnih strategija u svim okruženjima za jačanje odbrane protiv pejzaža širivanja, na taj način smanjenje otpornosti i jačanja otpornosti. Zajednička odgovornost ne znači zajedničku krivicu, to znači zajedničku marljivost.

Aditya K Sood je potpredsjednik sigurnosnog inženjerstva i AI strategije u ARYAKA.