Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u openbare cloudservices bekijkt en evalueert, is het essentieel om inzicht te hebben in het model voor gedeelde verantwoordelijkheid en welke beveiligingstaken de cloudprovider afhandelt en welke taken u afhandelt. De workloadverantwoordelijkheden variëren, afhankelijk van of de workload wordt gehost op SaaS (Software as a Service), Platform as a Service (PaaS), Infrastructure as a Service (IaaS) of in een on-premises datacenter:
- IaaS (Infrastructure as a Service): u beheert virtuele machines, besturingssystemen en toepassingen. Voorbeelden hiervan zijn Azure Virtual Machines, Azure Disk Storage en virtuele netwerken.
- PaaS (Platform as a Service): U implementeert toepassingen zonder vm's of besturingssystemen te beheren. Voorbeelden hiervan zijn Azure App Service, Azure Functions, Azure SQL Database en Azure Storage.
- SaaS (Software as a Service): U gebruikt kant-en-klare toepassingen. Voorbeelden hiervan zijn Microsoft 365, Dynamics 365 en andere cloudtoepassingen.
Veel Azure-oplossingen maken gebruik van een combinatie van servicemodellen. Zie Een Azure-rekenservice kiezen voor gedetailleerdere richtlijnen voor het kiezen van rekenservices.
Verdeling van verantwoordelijkheid
In een on-premises datacenter bent u eigenaar van de hele stack. Wanneer u overstapt naar de cloud, worden sommige verantwoordelijkheden overgedragen naar Microsoft. In het volgende diagram ziet u de verantwoordelijkheidsgebieden tussen u en Microsoft, afhankelijk van het type implementatie van uw stack.
Voor alle typen cloudimplementaties bent u eigenaar van uw gegevens en identiteiten. U bent verantwoordelijk voor het beschermen van uw gegevens en identiteiten, lokale middelen, en de cloudcomponenten die u beheert. Cloudonderdelen die u bepaalt, variëren per servicetype.
Verantwoordelijkheidsmatrix
De volgende tabel bevat informatie over de verdeling van verantwoordelijkheid tussen u en Microsoft voor elk gebied van uw stack:
| Verantwoordelijkheidsgebied | Op locatie | IaaS | Platform as a Service (PaaS) | SaaS |
|---|---|---|---|---|
| Klantgegevens | Customer | Customer | Customer | Customer |
| Configuratie en instellingen | Customer | Customer | Customer | Customer |
| Identiteiten en gebruikers | Customer | Customer | Customer | Customer |
| Clientapparaten | Customer | Customer | Customer | Shared |
| Applications | Customer | Customer | Shared | Shared |
| Netwerkbediening | Customer | Customer | Shared | Microsoft |
| besturingssysteem | Customer | Customer | Microsoft | Microsoft |
| Fysieke servers | Customer | Microsoft | Microsoft | Microsoft |
| Fysiek netwerk | Customer | Microsoft | Microsoft | Microsoft |
| Fysiek datacenter | Customer | Microsoft | Microsoft | Microsoft |
Verantwoordelijkheden die u altijd behoudt
Ongeacht het type implementatie behoudt u altijd de volgende verantwoordelijkheden:
- Gegevens : u bent verantwoordelijk voor uw gegevens, waaronder gegevensclassificatie, gegevensbescherming, beslissingen over versleuteling en naleving van vereisten voor gegevensbeheer.
- Eindpunten : u bent verantwoordelijk voor het beveiligen van clientapparaten en -eindpunten die toegang hebben tot uw cloudservices, waaronder mobiele apparaten, laptops en desktops.
- Accounts : u bent verantwoordelijk voor het beheren van gebruikersaccounts, waaronder het maken, beheren en verwijderen van gebruikerstoegang.
- Toegangsbeheer : u bent verantwoordelijk voor het implementeren en beheren van toegangsbeheer, waaronder op rollen gebaseerd toegangsbeheer (RBAC), meervoudige verificatie en beleid voor voorwaardelijke toegang.
Uitleg over gedeelde verantwoordelijkheden
Sommige verantwoordelijkheden worden gedeeld tussen u en Microsoft, waarbij de verdeling verschilt per servicemodel:
- Toepassingen : in IaaS bent u volledig verantwoordelijk voor geïmplementeerde toepassingen. In PaaS en SaaS beheert Microsoft onderdelen van de toepassingsstack, maar u bent verantwoordelijk voor toepassingsconfiguratie, codebeveiliging en toegangsbeheer.
- Netwerkbesturingselementen : in IaaS configureert u alle netwerkbeveiliging, inclusief firewalls en netwerksegmentatie. In PaaS biedt Microsoft basislijnnetwerkbeveiliging, maar u configureert netwerkbesturingselementen op toepassingsniveau. In SaaS beheert Microsoft de netwerkbeveiliging.
- Clientapparaten : in SaaS-scenario's biedt Microsoft mogelijk enkele mogelijkheden voor apparaatbeheer, maar u bent verantwoordelijk voor endpoint protection en naleving.
Microsoft-verantwoordelijkheden
Microsoft is verantwoordelijk voor de onderliggende cloudinfrastructuur, waaronder:
- Fysieke beveiliging : datacenters beveiligen, waaronder faciliteiten, fysieke toegangsbeheer en omgevingscontroles.
- Fysiek netwerk : netwerkinfrastructuur beheren, waaronder routers, switches en kabels binnen datacenters.
- Fysieke hosts : de fysieke servers beheren en onderhouden die cloudservices hosten.
- Hypervisor : de virtualisatielaag beheren die virtuele machines in IaaS en PaaS mogelijk maakt.
- Platformservices : In PaaS en SaaS beheert Microsoft besturingssystemen, runtime-omgevingen en middleware.
Gedeelde AI-verantwoordelijkheid
Bij het gebruik van AI-services introduceert het model voor gedeelde verantwoordelijkheid unieke overwegingen buiten traditionele IaaS, PaaS en SaaS. Microsoft is verantwoordelijk voor het beveiligen van de AI-infrastructuur, het hosten van modellen en beveiliging op platformniveau. Klanten blijven echter verantwoordelijk voor de manier waarop AI in hun omgeving wordt toegepast. Dit omvat het beveiligen van gevoelige gegevens, het beheren van promptbeveiliging, het beperken van risico's voor promptinjectie en het waarborgen van naleving van de vereisten van de organisatie en regelgeving.
Omdat verantwoordelijkheden aanzienlijk verschillen voor AI-workloads, moet u het AI Shared Responsibility Model controleren voor gedetailleerde richtlijnen over rollen, best practices en risicobeheer.
Voordelen van cloudbeveiliging
De cloud biedt aanzienlijke voordelen voor het oplossen van langdurige uitdagingen op het gebied van informatiebeveiliging. In een on-premises omgeving hebben organisaties waarschijnlijk onmete verantwoordelijkheden en beperkte resources die beschikbaar zijn om te investeren in beveiliging, waardoor aanvallers beveiligingsproblemen op alle lagen kunnen misbruiken.
Veelvoorkomende voorbeelden van onvermette verantwoordelijkheden in traditionele on-premises omgevingen zijn:
- Vertraagde patching : beveiligingsupdates worden niet onmiddellijk toegepast vanwege beperkte IT-medewerkers of zorgen over systeemuitvaltijd, waardoor bekende beveiligingsproblemen zichtbaar blijven.
- Onvoldoende fysieke beveiliging - Serverruimten kunnen door budgetbeperkingen onvoldoende toegangsbeheer, omgevingsbewaking of bewakingssystemen hebben.
- Onvolledige netwerkbewaking : organisaties hebben mogelijk geen hulpprogramma's of expertise om indringers te detecteren, verkeersafwijkingen te bewaken of in realtime op bedreigingen te reageren.
- Verouderde hardware : verouderde infrastructuur ontvangt mogelijk geen beveiligingsupdates meer van leveranciers, waardoor er permanente beveiligingsproblemen ontstaan.
- Onvoldoende back-up en herstel na noodgevallen : back-ups kunnen onregelmatig, niet-getest of opgeslagen on-site zijn, waardoor gegevens kwetsbaar zijn voor ransomware of fysieke rampen.
In het volgende diagram ziet u een traditionele benadering waarbij veel beveiligingsverantwoordelijkheden niet worden uitgevoerd vanwege beperkte resources. In de cloudbenadering kunt u dagelijkse beveiligingsverantwoordelijkheden verplaatsen naar uw cloudprovider en uw resources opnieuw toewijzen.
In de cloudbenadering kunt u ook cloudbeveiligingsmogelijkheden toepassen voor meer effectiviteit en cloudintelligentie gebruiken om uw detectie en reactietijd van bedreigingen te verbeteren. Door de verantwoordelijkheden naar de cloudprovider te verplaatsen, kunnen organisaties meer beveiligingsdekking krijgen, zodat ze beveiligingsresources en budget kunnen toewijzen aan andere zakelijke prioriteiten.
Volgende stap
Meer informatie over gedeelde verantwoordelijkheid en strategieën om uw beveiligingssituatie te verbeteren in het overzicht van de beveiligingspijler van het Well-Architected Framework.