Che cosa si intende per modello di responsabilità condivisa?

Perché i modelli di responsabilità condivisa sono importanti?

In un ambiente di data center on-premise, la responsabilità della sicurezza ricade esclusivamente sul proprietario. La responsabilità del mantenimento dei controlli di sicurezza, delle patch e dell'infrastruttura fisica ricade sul team di sicurezza dell'organizzazione (o su altri soggetti responsabili, come l'IT), mai sui fornitori dell'hardware. Tuttavia, quando delle porzioni di una rete utilizzano o sono composte da servizi cloud privati o pubblici, alcune responsabilità di sicurezza ricadono sul CSP.

È qui che entra in gioco un modello di responsabilità condivisa, che delinea con precisione quali compiti di sicurezza, stati dei dati, sedi e così via rientrano nel dominio del CSP e quali in quello del cliente. Microsoft Azure, Google Cloud, Amazon Web Services (AWS) e altri CSP hanno ciascuno il proprio modello, personalizzato in base alle loro offerte specifiche.

Come funzionano i modelli di responsabilità condivisa

Nella maggior parte dei modelli di responsabilità condivisa, il cliente è ritenuto responsabile di tutto ciò che rientra sotto il suo diretto controllo, ossia dati, credenziali, configurazioni ed eventuali funzionalità esterne rispetto alle risorse cloud del CSP, come i firewall della sua organizzazione e altre misure interne di sicurezza della rete.

Una mancanza di chiarezza sulle responsabilità può portare a errori di configurazione che indeboliscono il profilo di sicurezza aziendale e causano falle nella sicurezza sul cloud; per questo, è fondamentale comprendere chiaramente quali compiti spettano all'organizzazione e quali al provider.

I diversi tipi di modelli di responsabilità condivisa

La suddivisione delle responsabilità dipende dal tipo di servizio cloud utilizzato. Sarai sempre responsabile in prima persona della protezione dei tuoi dati, dispositivi, account e gestione degli accessi. Allo stesso modo, i CSP saranno sempre responsabili della protezione dell'infrastruttura fisica, ovvero dei loro host, data center e reti. Vediamo ora in quali altri aspetti emergono differenze:

• Software come servizio (Software as a service, SaaS): il CSP si assume la responsabilità della sicurezza dei sistemi operativi, dei controlli di rete, delle applicazioni che costituiscono il servizio e dei dati generati nell'ambito del servizio. La responsabilità varia a seconda dell'infrastruttura delle directory e delle identità.
• Piattaforma come servizio (Platform as a service, PaaS): il carico di responsabilità ricade in misura minore sul fornitore del servizio cloud, mentre gli obblighi di sicurezza relativi ai controlli di rete, alle applicazioni e all'infrastruttura di ID/directory variano da un servizio all'altro. Tuttavia, il sistema operativo è responsabilità del CSP.
• Infrastruttura come servizio (Infrastructure as a service, IaaS): in questo caso, il carico di responsabilità ricade in misura minore sui CSP, lasciando al cliente l'onere di proteggere tutto tranne l'infrastruttura fisica del CSP. Oltre a tutte le patch del sistema operativo e delle applicazioni, il cliente gestisce anche i controlli di rete.

I vantaggi di un modello di responsabilità condivisa

Di per sé, la ridotta responsabilità in capo al cliente offerta da un servizio cloud, rappresenta un vantaggio importante rispetto alla responsabilità complessiva che si assume con la propria infrastruttura privata on-premise, ma sono molti gli aspetti da considerare. Condividere le responsabilità relative alla sicurezza sul cloud con un fornitore di servizi consente inoltre all'organizzazione di ottenere i seguenti vantaggi:

• Costi inferiori: usare la sicurezza e l'infrastruttura di un provider significa alleggerire le operazioni di gestione in capo all'azienda, con un conseguente risparmio sul costo dell'acquisto di risorse aggiuntive che potrebbe mettere a dura prova il budget.
• Rafforzamento della sicurezza informatica: una chiara definizione delle responsabilità in materia di sicurezza dell'infrastruttura cloud riduce il rischio di errori che possono portare a vulnerabilità e violazioni dei dati.
• Riduzione del carico operativo: maggiore è la responsabilità di sicurezza assunta dal CSP, più il tuo team avrà tempo di concentrarsi su altre priorità.

Le sfide della responsabilità condivisa

L'adozione del cloud e la condivisione delle responsabilità presentano numerosi vantaggi, ma ci sono anche potenziali sfide da considerare.

Conformità e responsabilità a proprio carico

Innanzitutto, è fondamentale potersi fidare del proprio fornitore quando gli si affidano i propri dati. Le policy sulla sicurezza dei dati dell'organizzazione, siano esse norme interne o regolamenti esterni, sono determinanti in questo contesto. Quando si sceglie un fornitore, è bene assicurarsi di aver compreso appieno cosa si sta accettando. In caso di violazione dei dati, in molti casi l'organizzazione sarà comunque ritenuta responsabile se tali norme o regolamenti non vengono rispettati.

Comprensione e adattamento

Per rispettare la propria parte dell'accordo sulla sicurezza, è necessario capire esattamente dove finiscono le proprie responsabilità e dove iniziano quelle del CSP. Il personale deve inoltre sapere come utilizzare gli strumenti del CSP e come gestirne i controlli per evitare di introdurre vulnerabilità. Oltre a ciò, è necessario essere in grado di adattarsi ai cambiamenti delle architetture e dei sistemi, ad esempio quando vengono introdotte nuove integrazioni, in modo da garantire la sicurezza dell'azienda stessa e dei relativi workload.

Le best practice per la responsabilità condivisa

Le best practice specifiche per un dato modello di responsabilità dipendono dalle esigenze dell'azienda e dall'offerta del provider, ma ci sono alcune pratiche generali da tenere a mente che si applicano a un qualsiasi contesto di responsabilità condivisa della sicurezza:

• Dare la priorità alla sicurezza dei dati e alle altre responsabilità dell'azienda: dato che l'organizzazione è responsabile della protezione dei propri dati, dispositivi endpoint, credenziali utente e gestione degli accessi, indipendentemente dal tipo di servizio cloud che utilizza, rispettare tali obblighi deve essere una priorità. Questo si estende alla definizione dei doveri e delle responsabilità all'interno della propria organizzazione.
• Essere consapevoli di ciò che è stato concordato ed essere pronti a rispondere ai cambiamenti: l'accordo sul livello di servizio (SLA) di un fornitore definirà con precisione sia le sue responsabilità che quelle in capo all'azienda. Tuttavia, è raro che le stesse siano definitive e immutabili, quindi è importante tenere d'occhio gli aggiornamenti che un CSP potrebbe apportare ai propri accordi SLA e agire di conseguenza se questi incidono sul proprio ambiente cloud.
• Utilizzare strumenti moderni per la sicurezza e la visibilità: gestire la sicurezza in un ambiente cloud può diventare estremamente complicato, data l'enorme quantità di risorse, livelli di autorizzazione, API, potenziali vettori di attacco e altro. È dunque fondamentale essere sempre al corrente delle ultime innovazioni nell'ambito delle operazioni di sicurezza, delle capacità di ricerca delle minacce e del modo in cui adottarle.

Cosa può fare la tua azienda per preservare la sua sicurezza sul cloud?

Il business moderno si svolge sul cloud, e questa realtà è difficilmente contestabile. Altrettanto innegabilmente, però, l'utilizzo dei servizi cloud espone gli utenti, gli endpoint e i dati a dei nuovi rischi. Per proteggersi da questi rischi, è fondamentale comprendere appieno le proprie responsabilità in materia di sicurezza.

Ma questo è solo l'inizio. Rispettare le proprie responsabilità può essere un compito arduo quando si ha a che fare con partner terzi, più catene di approvvigionamento e rischi crescenti di subire minacce come ransomware, phishing e altri attacchi avanzati diretti a endpoint, credenziali e dati. Questi aspetti ricadranno sempre sull'organizzazione e, considerando i numerosi potenziali vettori di attacco e di perdita dei dati, è fondamentale scegliere i partner giusti per la sicurezza.

Proteggi la tua trasformazione digitale con Zscaler

Zscaler può aiutarti a sfruttare al meglio tutto ciò che il cloud ha da offrire: flessibilità, scalabilità, portata, semplicità d'uso e molto altro, in totale sicurezza.

Zscaler Posture Control è una piattaforma nativa del cloud, unificata e ad alte prestazioni, creata da zero per dare la priorità ai rischi per la sicurezza delle infrastrutture e delle applicazioni nei cloud distribuiti e nei cicli di sviluppo e di DevOps, per aiutarti a mantenere:

Configurazioni sicure

Esegui controlli CSPM completi su infrastruttura cloud, risorse, dati e identità.

Scopri di più

Sicurezza delle autorizzazioni

Proteggere le identità di persone e dispositivi, applicando l'accesso a privilegi minimi.

Scopri di più

Sicurezza dell'IaC

Shift left applicato alla sicurezza, con flussi di lavoro per sviluppatori e DevOps, per risolvere i problemi di vulnerabilità e conformità.

Scopri di più

Dati al sicuro

Proteggere i dati riservati su più repository cloud, preservando la visibilità, il controllo e la conformità.

Scopri di più

Proteggere i carichi di lavoro e le applicazioni

Usa lo zero trust per proteggere host, container e funzioni serverless nell'intero ciclo di vita delle app senza la necessità di un agente.

Scopri di più