Zpedia 

/ O que é um modelo de responsabilidade compartilhada

O que é um modelo de responsabilidade compartilhada

Um modelo de responsabilidade compartilhada é uma estrutura de segurança na nuvem e de riscos que descreve quais processos e responsabilidades de cibersegurança cabem a um provedor de serviços na nuvem (CSP) e quais cabem ao cliente. Com cada vez mais arquiteturas de TI migrando para a nuvem, um modelo de responsabilidade compartilhada promove uma segurança mais rigorosa e estabelece responsabilidades relacionadas à segurança da nuvem.

Assista à nossa visão geral de dois minutos
Proteção contra ameaças cibernéticasSegurança na nuvemSegurança de dados
  1. Por que é importante
  2. Como funciona
  3. Tipos de modelos
  4. Vantagens
  5. Práticas recomendadas
  6. Como a Zscaler pode ajudar
  7. Recursos sugeridos
  8. Tópicos relacionados

Por que os modelos de responsabilidade compartilhada são importantes

Em um ambiente de data center local, a responsabilidade pela segurança é exclusivamente do proprietário. A responsabilidade pela manutenção dos controles de segurança, aplicação de correções e infraestrutura física cabe à equipe de segurança da organização (ou outra parte responsável, como TI), nunca aos fornecedores de hardware. No entanto, quando partes de uma rede usam ou são compostas por serviços de nuvem privada ou pública, algumas responsabilidades de segurança recaem sobre o CSP.

É aqui que entra um modelo de responsabilidade compartilhada, definindo precisamente quais tarefas de segurança, estados de dados, locais e assim por diante são do domínio do CSP e quais são do cliente. Microsoft Azure, Google Cloud, Amazon Web Services (AWS) e outros CSPs têm seu próprio modelo, adaptado aos seus produtos específicos.

Como funcionam os modelos de responsabilidade compartilhada

A maioria dos modelos de responsabilidade compartilhada responsabiliza você, o cliente, por tudo que está sob seu controle direto: dados, credenciais e configurações, bem como qualquer funcionalidade que esteja fora dos recursos na nuvem do CSP, como firewalls da sua organização e outras medidas de segurança de rede interna.

A falta de clareza sobre responsabilidades pode contribuir para configurações incorretas que enfraquecem sua postura de segurança e, por fim, causam falhas na segurança da nuvem. Por isso, é fundamental que você entenda onde estão as responsabilidades de segurança da sua organização em relação às dos seus provedores.

Diferentes tipos de modelos de responsabilidade compartilhada

A forma como a responsabilidade é dividida depende do tipo de serviço de nuvem que você está usando. Você sempre será responsável por proteger seus dados, dispositivos, contas e gerenciamento de acesso. Da mesma forma, os CSPs sempre serão responsáveis por proteger a infraestrutura física: seus hosts, data centers e redes. Vejamos onde outras diferenças entram em jogo:

  • Software como serviço (SaaS): o CSP assume a responsabilidade pela segurança dos sistemas operacionais, controles de rede e aplicativos que compõem o serviço, bem como pelos dados gerados no serviço. A responsabilidade varia de acordo com a identidade e a infraestrutura de diretório.
  • Plataforma como serviço (PaaS): aqui, a responsabilidade geralmente recai menos sobre o fornecedor da nuvem, com a responsabilidade pela segurança dos controles de rede, aplicativos e infraestrutura de identidade/diretório variando de um serviço para outro. No entanto, eles ainda são responsáveis pelo sistema operacional.
  • Infraestrutura como serviço (IaaS): os CSPs assumem a menor responsabilidade aqui, com a responsabilidade exclusiva do cliente de proteger tudo, exceto a infraestrutura física do CSP. O cliente cuida de todas as correções do sistema operacional e dos aplicativos, bem como dos controles de rede.

Vantagens de um modelo de responsabilidade compartilhada

Por si só, a menor responsabilidade do cliente em um serviço de nuvem é um grande benefício quando comparado à responsabilidade total assumida com sua infraestrutura privada local, mas há mais a ser considerado. Compartilhar a responsabilidade pela segurança da nuvem com um provedor de serviços também permite que você aproveite:

  • Custos mais baixos: em termos simples, aproveitar a segurança e a infraestrutura de um provedor significa menos gerenciamento da sua parte, o que economiza o preço de recursos adicionais que poderiam aumentar seu orçamento.
  • Cibersegurança aprimorada: delinear claramente as responsabilidades de segurança na infraestrutura na nuvem reduz o risco de erros que levam a vulnerabilidades e violações de dados.
  • Redução da sobrecarga operacional: quanto maior a responsabilidade de segurança que seu CSP assumir, mais tempo sua equipe terá para se concentrar em outras prioridades.

Desafios da responsabilidade compartilhada

Adotar a nuvem e compartilhar responsabilidades tem muitas vantagens, mas ainda há certos desafios potenciais a serem considerados.

Conformidade e responsabilidade final

Antes de mais nada, você precisa poder confiar seus dados ao seu provedor. As políticas de segurança de dados da sua organização, sejam elas regras internas ou regulamentações externas, têm muita influência aqui. Se você estiver selecionando um provedor, certifique-se de entender o que está aceitando. Em muitos casos, sua organização ainda será culpada se essas regras ou regulamentos forem violados em um vazamento de dados.

Compreensão e adaptação

Para cumprir sua parte no acordo de segurança, você precisa entender exatamente onde suas responsabilidades terminam e as do CSP começam. Sua equipe também precisa saber como usar as ferramentas do CSP e seus controles para evitar a introdução de vulnerabilidades. Além disso, você precisa ser capaz de se adaptar quando as arquiteturas e os sistemas mudam (como quando novas integrações são introduzidas) para que você e suas cargas de trabalho permaneçam seguros.

Práticas recomendadas de responsabilidade compartilhada

As práticas recomendadas específicas para um determinado modelo de responsabilidade dependem das suas necessidades específicas e do produto do provedor, mas há algumas práticas gerais a serem lembradas em qualquer situação de responsabilidade de segurança compartilhada:

  • Priorize a segurança dos dados e suas outras responsabilidades. Como você é responsável por proteger seus dados, dispositivos, credenciais de usuário e gerenciamento de acesso, independentemente do tipo de serviço de nuvem que estiver usando, priorize o cumprimento dessas obrigações. Isso se estende à definição de deveres e responsabilidades dentro da sua própria organização.
  • Saiba ao que você se comprometeu e prepare-se para responder a mudanças. O acordo de nível de serviço (SLA) de um provedor definirá precisamente as responsabilidades dele e as suas. No entanto, eles raramente são definitivos, por isso é importante ficar atento às atualizações que um CSP pode fazer em seus SLAs e agir adequadamente se elas afetarem seu ambiente na nuvem.
  • Utilize ferramentas modernas de segurança e visibilidade. Gerenciar a segurança em um ambiente na nuvem pode ser extremamente complicado devido à grande quantidade de recursos, níveis de permissão, APIs, possíveis vetores de ataque e assim por diante. Mantenha-se em dia sobre as últimas inovações em operações de segurança e recursos de detecção de ameaças e como você pode adotá-las.

Como sua organização pode permanecer segura na nuvem

A nuvem é onde os negócios modernos estão. Poucos discordariam disso. O que é igualmente inegável, porém, é que o uso de serviços na nuvem expõe seus usuários, terminais e dados a novos riscos. Uma parte crucial da proteção contra esses riscos é garantir que você entenda completamente suas responsabilidades de segurança.

Mas isso é apenas uma parte. Assumir suas responsabilidades pode ser uma tarefa assustadora quando você lida com parceiros terceirizados, diversas cadeias de suprimentos e os riscos crescentes de ransomware, phishing e outros ataques avançados que têm como alvo seus terminais, credenciais e dados. Essas facetas da sua segurança sempre serão de sua responsabilidade e, com tantas possibilidades de ataques e perda de dados, é fundamental que você escolha os parceiros de segurança certos.

Proteja sua transformação digital com a Zscaler

A Zscaler pode ajudar você a aproveitar tudo o que a nuvem tem a oferecer (flexibilidade, escala, alcance, facilidade de uso e muito mais) com segurança.

O Zscaler Posture Control é uma plataforma nativa da nuvem, unificada e de alto desempenho, desenvolvida do zero para priorizar riscos de segurança de infraestrutura e aplicativos em nuvens distribuídas e em todos os ciclos de vida de desenvolvimento e DevOps, ajudando você a manter:

Proteja as configurações

Mantenha controles abrangentes de CSPM em infraestrutura, recursos, dados e identidades na nuvem.

Saiba mais

Permissões seguras

Proteja identidades humanas e de máquina ao mesmo tempo em que aplica o acesso de privilégio mínimo.

Saiba mais

Segurança de infraestrutura como código

Antecipe a segurança com os fluxos de trabalho do desenvolvedor e de DevOps para corrigir vulnerabilidades e problemas de conformidade.

Saiba mais

Proteja os dados

Proteja dados confidenciais em vários repositórios na nuvem e mantenha a visibilidade, o controle e a conformidade.

Saiba mais

Proteja as cargas de trabalho e os aplicativos

Aproveite o zero trust para proteger hosts, contêineres e funções sem servidor por todo o ciclo de vida do aplicativo.

Saiba mais

Recursos sugeridos

SaaS, IaaS e PaaS: o que o modelo de responsabilidade compartilhada significa para o zero trust
Leia o blog
O que é uma plataforma de proteção de aplicativos nativa da nuvem (CNAPP)?
Saiba mais
Posture Control para aplicativos nativos da nuvem
Dê uma olhada
Zscaler Posture Control
Saiba mais

01 / 02