Responsabilità condivisa - Guida sulla risposta agli incidenti di sicurezza di AWS

Responsabilità condivisa

La responsabilità per la sicurezza e la conformità è condivisa tra te e AWS. Tale modello condiviso riduce l'onere operativo del cliente, dato che AWS rende operativi, gestisce e controlla tutti i componenti, dal sistema operativo host al livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui operano i servizi.

Sei responsabile della gestione dei sistemi operativi guest (inclusi aggiornamenti e patch di sicurezza) e del software applicativo, nonché della configurazione dei controlli di sicurezza forniti da AWS, come gruppi di sicurezza, liste di controllo accessi alla rete e gestione delle identità e degli accessi. I clienti devono valutare con attenzione i servizi utilizzati, dato che le loro responsabilità variano in base ai servizi utilizzati, all'integrazione di tali servizi nel loro ambiente IT e alle leggi e ai regolamenti applicabili. La Figura 2 mostra una rappresentazione tipica del modello di responsabilità condivisa applicato ai servizi infrastrutturali, come Amazon Elastic Compute Cloud (Amazon EC2). Divide la maggior parte delle responsabilità in due categorie: sicurezza del cloud (gestita da AWS) e sicurezza nel cloud (gestita dal cliente). Le responsabilità possono cambiare a seconda dei servizi utilizzati. Per servizi astratti come Simple Storage Service (Amazon S3) e Amazon DynamoDB, AWS opera al livello dell'infrastruttura, il sistema operativo e le piattaforme e i clienti accedono agli endpoint per archiviare e recuperare i dati. I clienti sono responsabili della gestione dei dati (incluse le opzioni di crittografia), di classificare le risorse e utilizzare gli strumenti IAM per applicare le autorizzazioni appropriate.

Tuttavia, il modello di responsabilità condivisa cambia con l'aggiunta di container e altri servizi che spostano il modello operativo al fornitore di servizi. Man mano che ci spostiamo a sinistra del modello operativo, lontano da IaaS e data center e verso PaaS, la responsabilità del fornitore di servizi aumenta. Un cliente ha meno responsabilità nel cloud e più facilità a operare quando utilizza la migrazione a sinistra del grafico. Notare le seguenti figure e le differenze nella capacità di operare o funzionare nel cloud. Man mano che la responsabilità condivisa nel cloud cambia, cambiano anche le opzioni per la risposta agli incidenti o le indagini forensi. In qualità di cliente, mentre pianifichi la risposta agli incidenti, dovrai anche assicurarti di pianificare in base alle capacità che hai nel tuo modello operativo e di pianificare le possibili interazioni prima che si verifichino nel modello che hai scelto. La pianificazione e la comprensione di questi compromessi e la loro corrispondenza con le esigenze di governance è una fase cruciale nella risposta agli incidenti.

Modello di responsabilità condivisa

Figura 1: Modello di responsabilità condivisa

Figura 2: Amazon Elastic Container Service (Amazon ECS) con modello di responsabilità condivisa di tipo AWS Fargate

Oltre al rapporto diretto che hai con AWS, potrebbero esserci altre entità che hanno responsabilità nel tuo particolare modello di responsabilità. Ad esempio, potresti avere unità organizzative interne che si assumono la responsabilità di alcuni aspetti delle tue operazioni. Potresti anche avere partner o altre terze parti che sviluppano, gestiscono o operano su parte della tua tecnologia cloud.

La creazione di un appropriato runbook di risposta agli incidenti e forense che corrisponda al tuo modello operativo è estremamente importante. Il tuo successo dipende dalla comprensione dei tipi di strumenti che devi creare, o degli strumenti che devi acquistare, per il modello operativo che hai selezionato. Più la tua organizzazione comprende gli strumenti disponibili, più sarai preparato a soddisfare le esigenze del modello GRC (Governance Risk and Compliance) della tua azienda.