Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Rozważanie i ocenianie usług w chmurze publicznej ma kluczowe znaczenie dla zrozumienia modelu wspólnej odpowiedzialności oraz zadań związanych z zabezpieczeniami obsługiwanych przez dostawcę usług w chmurze oraz zadań, które obsługujesz. Obowiązki związane z obciążeniem różnią się w zależności od tego, czy obciążenie jest hostowane w oprogramowaniu jako usłudze (SaaS), platformie jako usługi (PaaS), infrastrukturze jako usłudze (IaaS) lub w lokalnym centrum danych:
- IaaS (infrastruktura jako usługa): zarządzasz maszynami wirtualnymi, systemami operacyjnymi i aplikacjami. Przykłady obejmują usługi Azure Virtual Machines, Azure Disk Storage i sieci wirtualne.
- PaaS (platforma jako usługa): wdrażasz aplikacje bez zarządzania maszynami wirtualnymi lub systemami operacyjnymi. Przykłady obejmują usługę Azure App Service, usługę Azure Functions, usługę Azure SQL Database i usługę Azure Storage.
- SaaS (oprogramowanie jako usługa): używasz gotowych aplikacji. Przykłady obejmują platformę Microsoft 365, usługę Dynamics 365 i inne aplikacje w chmurze.
Wiele rozwiązań platformy Azure używa kombinacji modeli usług. Aby uzyskać bardziej szczegółowe wskazówki dotyczące wybierania usług obliczeniowych, zobacz Wybieranie usługi obliczeniowej platformy Azure.
Podział odpowiedzialności
W lokalnym centrum danych jesteś właścicielem całego stosu. W miarę przechodzenia do chmury niektóre obowiązki są przenoszone do firmy Microsoft. Na poniższym diagramie przedstawiono obszary odpowiedzialności między Tobą a firmą Microsoft zgodnie z typem wdrożenia stosu.
W przypadku wszystkich typów wdrożeń w chmurze posiadasz swoje dane i tożsamości. Odpowiadasz za ochronę bezpieczeństwa danych i tożsamości, zasobów lokalnych i składników chmury, które kontrolujesz. Składniki chmury, które kontrolujesz, różnią się w zależności od typu usługi.
Macierz odpowiedzialności
W poniższej tabeli przedstawiono podział odpowiedzialności między Tobą a firmą Microsoft dla każdego obszaru Twojego stosu technologicznego:
| Obszar odpowiedzialności | Na miejscu | IaaS | PaaS | SaaS |
|---|---|---|---|---|
| Dane klienta | Klient | Klient | Klient | Klient |
| Konfiguracje i ustawienia | Klient | Klient | Klient | Klient |
| Tożsamości i użytkownicy | Klient | Klient | Klient | Klient |
| Urządzenia klienckie | Klient | Klient | Klient | Udostępniona |
| Aplikacje | Klient | Klient | Udostępniona | Udostępniona |
| Kontrole sieciowe | Klient | Klient | Udostępniona | Microsoft |
| System operacyjny | Klient | Klient | Microsoft | Microsoft |
| Fizyczne hosty | Klient | Microsoft | Microsoft | Microsoft |
| Sieć fizyczna | Klient | Microsoft | Microsoft | Microsoft |
| Fizyczne centrum danych | Klient | Microsoft | Microsoft | Microsoft |
Obowiązki, które zawsze zachowujesz
Niezależnie od typu wdrożenia zawsze zachowujesz następujące obowiązki:
- Dane — odpowiadasz za dane, w tym klasyfikację danych, ochronę danych, decyzje dotyczące szyfrowania i zgodność z wymaganiami dotyczącymi ładu danych.
- Punkty końcowe — odpowiadasz za ochronę urządzeń klienckich i punktów końcowych, które uzyskują dostęp do usług w chmurze, w tym urządzeń przenośnych, laptopów i komputerów stacjonarnych.
- Konta — odpowiadasz za zarządzanie kontami użytkowników, w tym tworzenie, zarządzanie i usuwanie dostępu użytkowników.
- Zarządzanie dostępem — odpowiadasz za implementowanie kontroli dostępu i zarządzanie nimi, w tym kontrolę dostępu opartą na rolach (RBAC), uwierzytelnianie wieloskładnikowe i zasady dostępu warunkowego.
Wyjaśnione wspólne obowiązki
Niektóre obowiązki są współdzielone między Tobą a firmą Microsoft, a dział różni się w zależności od modelu usług:
- Aplikacje — w usłudze IaaS jesteś w pełni odpowiedzialny za wdrożone aplikacje. W usługach PaaS i SaaS firma Microsoft zarządza częściami stosu aplikacji, ale odpowiadasz za konfigurację aplikacji, zabezpieczenia kodu i kontrolę dostępu.
- Kontrolki sieci — w usłudze IaaS należy skonfigurować wszystkie zabezpieczenia sieciowe, w tym zapory i segmentację sieci. W usłudze PaaS firma Microsoft zapewnia podstawowe zabezpieczenia sieci, ale konfigurujesz mechanizmy kontroli sieci na poziomie aplikacji. W modelu SaaS firma Microsoft zarządza zabezpieczeniami sieci.
- Urządzenia klienckie — w scenariuszach SaaS firma Microsoft może zapewnić pewne możliwości zarządzania urządzeniami, ale odpowiadasz za ochronę punktu końcowego i zgodność.
Obowiązki firmy Microsoft
Firma Microsoft jest odpowiedzialna za podstawową infrastrukturę chmury, która obejmuje:
- Zabezpieczenia fizyczne — zabezpieczanie centrów danych, w tym obiektów, kontroli dostępu fizycznego i kontroli środowiska.
- Sieć fizyczna — zarządzanie infrastrukturą sieciową, w tym routerami, przełącznikami i kablami w centrach danych.
- Hosty fizyczne — zarządzanie i utrzymywanie serwerów fizycznych hostujących usługi w chmurze.
- Hypervisor — zarządzanie warstwą wirtualizacji, która umożliwia maszyny wirtualne w modelach IaaS i PaaS.
- Usługi platformy — w usługach PaaS i SaaS firma Microsoft zarządza systemami operacyjnymi, środowiskami uruchomieniowymi i oprogramowaniem pośredniczącym.
Wspólna odpowiedzialność za sztuczną inteligencję
W przypadku korzystania z usług sztucznej inteligencji model wspólnej odpowiedzialności wprowadza unikatowe zagadnienia wykraczające poza tradycyjne rozwiązania IaaS, PaaS i SaaS. Firma Microsoft jest odpowiedzialna za zabezpieczanie infrastruktury sztucznej inteligencji, hostowania modeli i zabezpieczeń na poziomie platformy. Klienci pozostają jednak odpowiedzialni za sposób stosowania sztucznej inteligencji w swoim środowisku — obejmuje to ochronę poufnych danych, zarządzanie bezpieczeństwem poleceń, ograniczanie ryzyka wstrzyknięcia poleceń oraz zapewnianie zgodności z wymaganiami organizacyjnymi i prawnymi.
Ponieważ obowiązki różnią się znacząco w przypadku obciążeń sztucznej inteligencji, należy przejrzeć model wspólnej odpowiedzialności sztucznej inteligencji, aby uzyskać szczegółowe wskazówki dotyczące ról, najlepszych rozwiązań i zarządzania ryzykiem.
Zalety zabezpieczeń chmury
Chmura oferuje znaczne korzyści w rozwiązywaniu długotrwałych wyzwań związanych z bezpieczeństwem informacji. W środowisku lokalnym organizacje prawdopodobnie mają niezaspokojonych obowiązków i ograniczone zasoby dostępne do inwestowania w zabezpieczenia, co tworzy środowisko, w którym osoby atakujące mogą wykorzystać luki w zabezpieczeniach we wszystkich warstwach.
Typowe przykłady niezaspokojonych obowiązków w tradycyjnych środowiskach lokalnych obejmują:
- Opóźnione stosowanie poprawek — aktualizacje zabezpieczeń nie są stosowane szybko ze względu na ograniczoną liczbę pracowników IT lub obawy dotyczące przestoju systemu, co powoduje ujawnienie znanych luk w zabezpieczeniach.
- Nieodpowiednie zabezpieczenia fizyczne — serwery mogą nie mieć odpowiednich kontroli dostępu, monitorowania środowiska lub nadzoru ze względu na ograniczenia budżetowe.
- Niepełne monitorowanie sieci — organizacje mogą nie mieć narzędzi ani wiedzy specjalistycznej w celu wykrywania nieautoryzowanego dostępu, monitorowania anomalii ruchu lub reagowania na zagrożenia w czasie rzeczywistym.
- Nieaktualny sprzęt — starzejąca się infrastruktura może już nie otrzymywać aktualizacji zabezpieczeń od dostawców, tworząc trwałe luki w zabezpieczeniach.
- Niewystarczająca kopia zapasowa i odzyskiwanie po awarii — kopie zapasowe mogą być rzadko, nietestowane lub przechowywane w lokacji, pozostawiając dane narażone na oprogramowanie wymuszające okup lub awarie fizyczne.
Na poniższym diagramie przedstawiono tradycyjne podejście, w którym wiele obowiązków związanych z zabezpieczeniami jest niezaspokojonych z powodu ograniczonych zasobów. W podejściu z obsługą chmury możesz przenieść codzienne obowiązki związane z zabezpieczeniami do dostawcy usług w chmurze i reallokować zasoby.
W podejściu opartym na chmurze możesz również zastosować możliwości zabezpieczeń oparte na chmurze w celu zwiększenia skuteczności i korzystania z analizy w chmurze w celu poprawy czasu wykrywania zagrożeń i reagowania na nie. Przenosząc obowiązki do dostawcy usług w chmurze, organizacje mogą uzyskać więcej pokrycia zabezpieczeń, co umożliwia im reallokowanie zasobów zabezpieczeń i budżetu na inne priorytety biznesowe.
Następny krok
Dowiedz się więcej na temat wspólnej odpowiedzialności i strategii poprawy stanu zabezpieczeń w ramach Well-Architected Framework — omówienie filaru zabezpieczeń.