وعود SLA ، الحقائق الأمنية: التنقل في فجوة المسؤولية المشتركة

يشكل SRM بشكل أساسي نطاق وتأثير SLAs في البيئات السحابية. دعونا نتفهم بسرعة حقيقة SRM لخطوطي السحابة.

• مزودي السحابة يؤمنون البنية التحتية هم يدير؛ أنت تضمن ماذا أنت نشر.
• العملاء مسؤولون عن البيانات والتكوينات والهويات والتطبيقات.
• غالبًا ما يستشهد مقدمو الخدمات السحابية بالنموذج لإلغاء اللوم أثناء الانتهاكات.
• يجب على العملاء تأمين المكدس بأنفسهم ، لأن Cloud لا تساوي آمنًا-لا تزال السياسة والسياسة والضوابط لا تزال عليك.

في حين أن SLA يضمن التزام مزود السحابة بـ “الأمن ل السحابة “، وضمان تشغيل البنية التحتية الأساسية والمرونة والأمن الأساسي ، لا تغطي بشكل صريح مسؤوليات العميل من أجل” الأمان في السحابة. “هذا يعني أنه حتى لو وعدت SLA بمزود الموفر بنسبة 99.99 ٪ من الوقت للبنية التحتية الخاصة بهم ، فإن سوء التكوينات للعميل ، أو إدارة الهوية الضعيفة أو التطبيقات غير المذهلة (جميعها جزء من مسؤوليتها) لا تزال تؤدي إلى انتهاكات البيانات أو انقطاع الخدمة بشكل فعال. مناسب الأمان والتوافر من قبل المؤسسة ، مما يجعل ممارسات الأمان من جانب العميل الدؤوب أمرًا بالغ الأهمية لتحقيق القيمة الكاملة لأي SLA السحابة.

يجب أن تكون العديد من الضوابط جزءًا من نهج شامل للوصول إلى التكنولوجيا السحابية المبتكرة مع حماية مؤسستك:

• العناية الواجبة ، تحليل الفجوة وتقدير المخاطر: قم بإجراء مراجعة شاملة لموقف الأمان لمزود السحابة إلى ما بعد SLA فقط. طلب وتدقيق الأمن البيضاء ، تقارير التدقيق المستقلة (مثل FedRamp ، SOC 2 Type 2 ، ISO 27001) وملخصات اختبار الاختراق. قم بتقييم مفصل للمخاطر يحدد التأثير المحتمل لأي نقص في SLA على عمليات عملك وخصوصية البيانات والالتزامات التنظيمية. فهم بالضبط أين أمن “الموفر” ل السحابة “تنتهي وأمانك” في تبدأ مسؤوليات “السحابة” ، خاصة فيما يتعلق بتشفير البيانات ، وضوابط الوصول والاستجابة للحوادث.
• التفاوض الاستراتيجي للعقود والبنود المخصصة: الانخراط في التفاوض المباشر مع مزود السحابة لتكييف SLA بمتطلبات البنية التحتية الخاصة بك. بالنسبة للعقود المهمة ، يجب أن يكون مقدمو الخدمات السحابية على استعداد لتضمين بنود مخصصة تتناول التزامات الأمن الهامة وإجراءات معالجة البيانات وجداول الزمن الإخطار الحوادث وحقوق التدقيق التي تتجاوز عروضها القياسية. تأكد من أن العقد يتضمن تعويضات عن خرق البيانات أو تعطلات الخدمة التي تعزى مباشرة إلى فشل الأمن في المزود ، وتحدد بوضوح بروتوكولات قابلية نقل البيانات وتدميرها لاستراتيجية خروج فعالة.
• تنفيذ أمان قوي الطبقات (Defence-in Depth): أدرك أن نموذج المسؤولية المشتركة يستلزم مشاركتك النشطة. أناإضافة إلى العروض الأصلية للمزود ، قم بتنفيذ ضوابط أمان إضافية تغطي ، من بين أمور أخرى ، إدارة الهوية والوصول (IAM) ، وإدارة وضعية الأمان السحابية (CSPM) ، وحماية عبء العمل السحابي (CWP) ، والوقاية من فقدان البيانات (DLP) والوصول إلى شبكة الثقة الصفرية (ZTNA).

• مراقبة الأمن المعززة والتكامل: دمج سجلات السحابة للخدمة السحابية والقياس عن بُعد الأمن في معلومات الأمان وإدارة الأحداث في مؤسستك (SIEM) ومنصات الأمن الأمنية والأتمتة والاستجابة (SOAR). تتيح قدرة الرؤية المركزية والارتباط هذه على مركز عمليات الأمان (SOC) اكتشاف التهديدات وتحليلها والاستجابة لها في كل من البيئات المحلية والأسود ، وسد أي فجوات محتملة تتركها المراقبة الافتراضية للمزود.

• الحوكمة الاستباقية والمخاطر والامتثال (GRC): قم بتحديث سياسات وإجراءات الأمان الداخلية الخاصة بك للاستمتاع بوضوح عن الخدمة السحابية الجديدة وملفها الشخصي المحدد للمخاطر. قم بتخطيط أدوات التحكم في أمان المزود وعناصر التحكم في التعويض مباشرةً إلى المتطلبات التنظيمية ذات الصلة (مثل الناتج المحلي الإجمالي ، HIPAA ، PCI DSS). الحفاظ على الوثائق الدقيقة لتقييم المخاطر الخاص بك ، واستراتيجيات التخفيف وأي قرارات قبول المخاطر الرسمية.

من خلال تبني هذه الاستراتيجيات ، يمكن لقادة تكنولوجيا المعلومات وتكنولوجيا المعلومات تبني بثقة تقنيات سحابية مبتكرة ، مما يقلل من المخاطر المتأصلة وضمان وضع امتثال قوي ، حتى عندما يواجه SLAs التي لا تفي في البداية بكل معيار مرغوب فيه.