Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Při zvažování a vyhodnocování veřejných cloudových služeb je důležité porozumět modelu sdílené odpovědnosti a úkolům zabezpečení, které poskytovatel cloudu zpracovává a jaké úlohy zpracováváte. Odpovědnost za úlohy se liší v závislosti na tom, jestli je úloha hostovaná ve službě SaaS (Software as a Service), platformě jako službě (PaaS), infrastruktuře jako službě (IaaS) nebo v místním datacentru:
- IaaS (infrastruktura jako služba): Spravujete virtuální počítače, operační systémy a aplikace. Mezi příklady patří Virtuální počítače Azure, Azure Disk Storage a virtuální sítě.
- PaaS (platforma jako služba): Nasazujete aplikace bez správy virtuálních počítačů nebo operačních systémů. Mezi příklady patří Azure App Service, Azure Functions, Azure SQL Database a Azure Storage.
- SaaS (Software jako služba): Používáte připravené aplikace. Mezi příklady patří Microsoft 365, Dynamics 365 a další cloudové aplikace.
Řada řešení Azure používá kombinaci modelů služeb. Podrobnější pokyny k výběru výpočetních služeb najdete v tématu Volba výpočetní služby Azure.
Rozdělení odpovědnosti
V místním datacentru vlastníte celý zásobník. Při přechodu do cloudu se některé zodpovědnosti přenesou do Microsoftu. Následující diagram znázorňuje oblasti odpovědnosti mezi vámi a Microsoftem podle typu nasazení zásobníku.
Pro všechny typy nasazení v cloudu vlastníte svá data a identity. Zodpovídáte za ochranu zabezpečení dat a identit, místních prostředků a cloudových komponent, které řídíte. Cloudové komponenty, které řídíte, se liší podle typu služby.
Matice zodpovědností
Následující tabulka obsahuje podrobnosti o rozdělení odpovědnosti mezi vámi a společností Microsoft pro každou oblast vašeho technologického stacku:
| Oblast odpovědnosti | On-premises | IaaS | PaaS | SaaS |
|---|---|---|---|---|
| Data zákazníka | Zákazník | Zákazník | Zákazník | Zákazník |
| Konfigurace a nastavení | Zákazník | Zákazník | Zákazník | Zákazník |
| Identity a uživatelé | Zákazník | Zákazník | Zákazník | Zákazník |
| Klientská zařízení | Zákazník | Zákazník | Zákazník | Shared |
| Applications | Zákazník | Zákazník | Shared | Shared |
| Síťové ovládací prvky | Zákazník | Zákazník | Shared | Microsoft |
| Operační systém | Zákazník | Zákazník | Microsoft | Microsoft |
| Fyzičtí hostitelé | Zákazník | Microsoft | Microsoft | Microsoft |
| Fyzická síť | Zákazník | Microsoft | Microsoft | Microsoft |
| Fyzické datové centrum | Zákazník | Microsoft | Microsoft | Microsoft |
Povinnosti, které si vždy uchováváte
Bez ohledu na typ nasazení si vždy zachováte následující odpovědnosti:
- Data – Zodpovídáte za svá data, včetně klasifikace dat, ochrany dat, rozhodnutí o šifrování a dodržování požadavků na zásady správného řízení dat.
- Koncové body – Zodpovídáte za ochranu klientských zařízení a koncových bodů, které přistupují ke cloudovým službám, včetně mobilních zařízení, notebooků a stolních počítačů.
- Účty – Zodpovídáte za správu uživatelských účtů, včetně vytváření, správy a odebírání přístupu uživatelů.
- Správa přístupu – Zodpovídáte za implementaci a správu řízení přístupu, včetně řízení přístupu na základě role (RBAC), vícefaktorového ověřování a zásad podmíněného přístupu.
Vysvětlení sdílených odpovědností
Mezi vámi a Microsoftem jsou sdíleny některé odpovědnosti s rozdělením, které se liší podle modelu služby:
- Aplikace – V IaaS jste plně zodpovědní za nasazené aplikace. V PaaS a SaaS spravuje Microsoft části zásobníku aplikací, ale zodpovídáte za konfiguraci aplikací, zabezpečení kódu a řízení přístupu.
- Řízení sítě – V IaaS nakonfigurujete veškeré zabezpečení sítě, včetně bran firewall a segmentace sítě. V PaaS poskytuje Microsoft základní zabezpečení sítě, ale konfigurujete řízení sítě na úrovni aplikace. V SaaS spravuje Microsoft zabezpečení sítě.
- Klientská zařízení – Ve scénářích SaaS může Microsoft poskytovat některé možnosti správy zařízení, ale zodpovídáte za ochranu koncových bodů a dodržování předpisů.
Odpovědnosti Microsoftu
Microsoft zodpovídá za základní cloudovou infrastrukturu, která zahrnuje:
- Fyzické zabezpečení – zabezpečení datacenter, včetně zařízení, kontroly fyzického přístupu a řízení životního prostředí.
- Fyzická síť – Správa síťové infrastruktury, včetně směrovačů, přepínačů a kabelů v datacentrech
- Fyzické hostitele – Správa a údržba fyzických serverů, které hostují cloudové služby.
- Hypervisor – Správa vrstvy virtualizace, která umožňuje virtuální počítače v IaaS a PaaS.
- Služby platforem – V PaaS a SaaS spravuje Microsoft operační systémy, prostředí runtime a middleware.
Sdílená odpovědnost za umělou inteligenci
Při používání služeb AI představuje model sdílené odpovědnosti jedinečné aspekty nad rámec tradičních IaaS, PaaS a SaaS. Microsoft zodpovídá za zabezpečení infrastruktury AI, hostování modelů a zabezpečení na úrovni platformy. Zákazníci zůstávají zodpovědní za způsob použití umělé inteligence ve svém prostředí—včetně ochrany citlivých dat, správy bezpečnosti promptů, zmírnění rizik injekce promptů a zajištění souladu s organizačními a regulačními požadavky.
Vzhledem k tomu, že se odpovědnosti u úloh umělé inteligence výrazně liší, měli byste si projít model sdílené odpovědnosti AI , kde najdete podrobné pokyny k rolím, osvědčeným postupům a správě rizik.
Výhody zabezpečení cloudu
Cloud nabízí významné výhody pro řešení dlouhodobých výzev zabezpečení informací. V místním prostředí mají organizace pravděpodobně k dispozici nespravované zodpovědnosti a omezené prostředky pro investici do zabezpečení, což vytvoří prostředí, ve kterém útočníci můžou zneužít ohrožení zabezpečení ve všech vrstvách.
Mezi běžné příklady nesplněných odpovědností v tradičních on-premises prostředích patří:
- Zpožděné opravy – Aktualizace zabezpečení se neaplikují okamžitě kvůli omezenému počtu pracovníků IT nebo obavám z výpadků systému, ponechávajíc známá zranitelnost nechráněnou.
- Nedostatečné fyzické zabezpečení – Serverové místnosti můžou kvůli rozpočtovým omezením chybět řádné kontroly přístupu, monitorování životního prostředí nebo dohled.
- Nekompletní monitorování sítě – Organizace nemusí mít nástroje ani odborné znalosti pro detekci neoprávněných vniknutí, monitorování anomálií provozu nebo reakce na hrozby v reálném čase.
- Zastaralý hardware – Zastaralá infrastruktura už nemusí od dodavatelů přijímat aktualizace zabezpečení a vytvářet trvalé mezery v zabezpečení.
- Nedostatečné zálohování a zotavení po havárii – Zálohy můžou být občasné, neotestované nebo uložené v lokalitě, takže data jsou zranitelná vůči ransomwaru nebo fyzickým katastrofám.
Následující diagram znázorňuje tradiční přístup, kdy mnoho odpovědností za zabezpečení není kvůli omezeným prostředkům nedostupné. V přístupu s podporou cloudu můžete každodenní odpovědnost za zabezpečení převést na svého poskytovatele cloudu a prostředky znovu přidělit.
V přístupu s podporou cloudu můžete také využít cloudové funkce zabezpečení, které vám umožní zvýšit efektivitu a využít cloudovou inteligenci ke zlepšení detekce hrozeb a doby odezvy. Přesunutím odpovědnosti na poskytovatele cloudu mohou organizace získat větší pokrytí zabezpečením, což jim umožní přerozdělit bezpečnostní zdroje a rozpočet na jiné obchodní priority.
Další krok
Přečtěte si další informace o sdílené odpovědnosti a strategiích pro zlepšení stavu zabezpečení v přehledu pilíře zabezpečení Well-Architected Frameworku.