Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A nyilvános felhőszolgáltatások mérlegelése és értékelése során fontos tisztában lenni a megosztott felelősségi modellel, valamint a felhőszolgáltató által kezelt biztonsági feladatokkal, valamint az Ön által kezelt feladatokkal. A számítási feladatok feladatai attól függően változnak, hogy a számítási feladat szolgáltatott szoftveren (SaaS), szolgáltatásként nyújtott platformon (PaaS), szolgáltatásként nyújtott infrastruktúrán (IaaS) vagy helyszíni adatközpontban található-e:
- IaaS (Infrastruktúra szolgáltatásként): Virtuális gépeket, operációs rendszereket és alkalmazásokat kezel. Ilyenek például az Azure Virtual Machines, az Azure Disk Storage és a virtuális hálózatok.
- PaaS (Szolgáltatásként nyújtott platform): Virtuális gépek vagy operációs rendszerek kezelése nélkül telepíthet alkalmazásokat. Ilyenek például az Azure App Service, az Azure Functions, az Azure SQL Database és az Azure Storage.
- SaaS (Szoftver mint szolgáltatás): Kész alkalmazásokat használ. Ilyenek például a Microsoft 365, a Dynamics 365 és más felhőalapú alkalmazások.
Számos Azure-megoldás a szolgáltatásmodellek kombinációját használja. A számítási szolgáltatások kiválasztásával kapcsolatos részletesebb útmutatásért tekintse meg az Azure számítási szolgáltatás kiválasztása című témakört.
A felelősség megosztása
Egy helyszíni adatközpontban az egész verem a tulajdonosa. Amikor a felhőbe költözik, bizonyos feladatok átkerülnek a Microsoftra. Az alábbi ábra az Ön és a Microsoft közötti felelősségi területeket mutatja be a verem üzembe helyezésének típusától függően.
Az összes felhőbeli üzembe helyezési típus esetében Ön az adatok és az identitások tulajdonosa. Ön felel az adatok és identitások, a helyszíni erőforrások és az Ön által felügyelt felhőösszetevők biztonságának védelméért. Az Ön által vezérelt felhőösszetevők szolgáltatástípusonként eltérőek.
Felelősségi mátrix
Az alábbi táblázat az Ön és a Microsoft közötti felelősség megosztását ismerteti a technológiai stack egyes területeire vonatkozóan.
| Felelősségi terület | On-premises | IaaS | PaaS | SaaS |
|---|---|---|---|---|
| Ügyféladatok | Ügyfél | Ügyfél | Ügyfél | Ügyfél |
| Konfigurációk és beállítások | Ügyfél | Ügyfél | Ügyfél | Ügyfél |
| Identitások és felhasználók | Ügyfél | Ügyfél | Ügyfél | Ügyfél |
| Ügyféleszközök | Ügyfél | Ügyfél | Ügyfél | Közös |
| Alkalmazások | Ügyfél | Ügyfél | Közös | Közös |
| Hálózati vezérlők | Ügyfél | Ügyfél | Közös | Microsoft |
| Operációs rendszer | Ügyfél | Ügyfél | Microsoft | Microsoft |
| Fizikai gazdagépek | Ügyfél | Microsoft | Microsoft | Microsoft |
| Fizikai hálózat | Ügyfél | Microsoft | Microsoft | Microsoft |
| Fizikai adatközpont | Ügyfél | Microsoft | Microsoft | Microsoft |
Mindig megtartott feladatok
Az üzembe helyezés típusától függetlenül mindig a következő felelősségi körök maradnak meg:
- Adatok – Ön felel az adatokért, beleértve az adatbesorolást, az adatvédelemet, a titkosítási döntéseket és az adatszabályozási követelményeknek való megfelelést.
- Végpontok – Ön felel a felhőszolgáltatásokhoz hozzáférő ügyféleszközök és végpontok védelméért, beleértve a mobileszközöket, laptopokat és asztali számítógépeket.
- Fiókok – Ön a felelős a felhasználói fiókok kezeléséért, beleértve a felhasználói hozzáférés létrehozását, kezelését és eltávolítását.
- Hozzáférés-kezelés – Ön a felelős a hozzáférés-vezérlések implementálásáért és kezeléséért, beleértve a szerepköralapú hozzáférés-vezérlést (RBAC), a többtényezős hitelesítést és a feltételes hozzáférési szabályzatokat.
A megosztott feladatok ismertetése
Bizonyos feladatok ön és a Microsoft között meg vannak osztva, és az osztás szolgáltatási modell szerint változik:
- Alkalmazások – Az IaaS-ben teljes mértékben Ön felelős az üzembe helyezett alkalmazásokért. A PaaS-ben és az SaaS-ben a Microsoft kezeli az alkalmazásverem egyes részeit, de Ön felel az alkalmazáskonfigurációért, a kódbiztonságért és a hozzáférés-vezérlésért.
- Hálózati vezérlők – Az IaaS-ben minden hálózati biztonságot konfigurálhat, beleértve a tűzfalakat és a hálózatszegmentációt. A PaaS-ben a Microsoft alapszintű hálózati biztonságot nyújt, de ön alkalmazásszintű hálózati vezérlőket konfigurál. Az SaaS-ben a Microsoft kezeli a hálózati biztonságot.
- Ügyféleszközök – SaaS-forgatókönyvekben a Microsoft bizonyos eszközfelügyeleti képességeket biztosíthat, de Ön felel a végpontvédelemért és a megfelelőségért.
A Microsoft feladatai
A Microsoft felelős a mögöttes felhőinfrastruktúraért, amely a következőket foglalja magában:
- Fizikai biztonság – Adatközpontok védelme, beleértve a létesítményeket, a fizikai hozzáférés-vezérlést és a környezetvédelmi ellenőrzéseket.
- Fizikai hálózat – Hálózati infrastruktúra kezelése, beleértve az útválasztókat, kapcsolókat és kábeleket az adatközpontokban.
- Fizikai gazdagépek – A felhőszolgáltatásokat üzemeltető fizikai kiszolgálók kezelése és karbantartása.
- Hipervizor – A virtualizálási réteg kezelése, amely lehetővé teszi a virtuális gépeket az IaaS-ben és a PaaS-ben.
- Platformszolgáltatások – A PaaS-ben és az SaaS-ben a Microsoft kezeli az operációs rendszereket, a futtatókörnyezeteket és a köztes szoftvereket.
AI megosztott felelőssége
A mi-szolgáltatások használatakor a megosztott felelősségi modell a hagyományos IaaS, PaaS és SaaS mellett egyedi szempontokat is figyelembe veszi. A Microsoft felelős az AI-infrastruktúra, a modell üzemeltetése és a platformszintű védelem biztosításáért. Az ügyfelek azonban továbbra is elszámoltathatók az MI alkalmazásával kapcsolatban környezetükön belül – ez magában foglalja a bizalmas adatok védelmét, a promptok biztonságának kezelését, a promptinjektálási kockázatok mérséklését, valamint a szervezeti és szabályozási követelményeknek való megfelelést.
Mivel a feladatkörök jelentősen eltérnek az AI-számítási feladatoktól, a szerepkörökre, az ajánlott eljárásokra és a kockázatkezelésre vonatkozó részletes útmutatásért tekintse át az AI megosztott felelősségi modelljét .
Felhőbeli biztonsági előnyök
A felhő jelentős előnyöket kínál a hosszú ideje fennálló információbiztonsági kihívások megoldásához. Helyszíni környezetben a szervezetek valószínűleg nem megfelelő felelősségekkel és korlátozott erőforrásokkal rendelkeznek a biztonságba való befektetéshez, ami olyan környezetet hoz létre, amelyben a támadók minden rétegben kihasználhatják a biztonsági réseket.
A hagyományos helyszíni környezetekben a nem megfelelő feladatok gyakori példái a következők:
- Késleltetett javítás – A biztonsági frissítéseket nem alkalmazzák időben a korlátozott informatikai személyzet vagy a rendszer leállásával kapcsolatos aggodalmak miatt, ezáltal ismert biztonsági sebezhetőségek maradnak védelem nélkül.
- Nem megfelelő fizikai biztonság – A kiszolgálótermekben a költségvetési korlátozások miatt előfordulhat, hogy a megfelelő hozzáférés-vezérlés, a környezetvédelmi monitorozás vagy a felügyelet nem megfelelő.
- Hiányos hálózatfigyelés – Előfordulhat, hogy a szervezetek nem rendelkeznek eszközökkel vagy szakértelemmel a behatolások észleléséhez, a forgalmi rendellenességek monitorozásához vagy a fenyegetésekre való valós idejű reagáláshoz.
- Elavult hardver – Előfordulhat, hogy az elavult infrastruktúra többé nem kap biztonsági frissítéseket a szállítóktól, így állandó biztonsági rések keletkeznek.
- Elégtelen biztonsági mentés és vészhelyreállítás – Előfordulhat, hogy a biztonsági mentések ritkán, nem tesztelve vagy a helyszínen vannak tárolva, így az adatok sebezhetőek maradnak a zsarolóprogramokkal vagy a fizikai katasztrófákkal szemben.
Az alábbi ábra egy hagyományos megközelítést mutat be, ahol számos biztonsági feladat nem felel meg a korlátozott erőforrások miatt. A felhőalapú megközelítésben napi szintű biztonsági feladatokat válthat át a felhőszolgáltatóra, és átcsoportosíthatja erőforrásait.
A felhőalapú megközelítésben felhőalapú biztonsági képességeket is alkalmazhat a hatékonyabb hatékonyság érdekében, és a felhőintelligencia használatával javíthatja a fenyegetésészlelési és válaszidőt. Ha a felelősségeket a felhőszolgáltatóra helyezi át, a szervezetek nagyobb biztonsági lefedettséget érhetnek el, ami lehetővé teszi számukra, hogy a biztonsági erőforrásokat és a költségvetést más üzleti prioritásokra helyezjék át.
Következő lépés
A közös felelősségről és a biztonsági helyzet javításának stratégiáiról a Well-Architected-keretrendszer biztonsági pillérének áttekintésében olvashat bővebben.