Modelo de responsabilidade partilhada
%20(1).jpg)
Quando as organizações migram as suas aplicações e dados para a cloud, ganham escalabilidade, flexibilidade e eficiência de custos. Mas junto com estas vantagens surge a seguinte questão quem é responsável pelo quê?
É aqui que entra o Modelo de Responsabilidade Partilhada, este é um conceito fundamental para a segurança e conformidade na cloud. Uma má interpretação deste modelo pode levar a falhas graves, violações de dados e até multas por incumprimento.
Neste artigo, vamos explicar o que é o modelo de responsabilidade partilhada, porque é tão importante e dar exemplos práticos em diferentes modelos de serviço que o último post compartilhei que são o IaaS, PaaS e SaaS.
O Que é o Modelo de Responsabilidade Partilhada?
O Modelo de Responsabilidade Partilhada define como são divididas as responsabilidades de segurança e gestão entre o fornecedor da cloud (Cloud Service Provider – CSP) e o cliente.
Em termos simples:
- Fornecedor da Cloud: Garante a segurança da infraestrutura da cloud (hardware, rede, software e centros de dados).
- O Cliente: É responsável pelo que coloca na cloud (dados, aplicações, configurações e acessos).
A divisão das responsabilidades depende do modelo de serviço que estás a usar, quer seja Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS) ou Software como Serviço (SaaS).
Porque é Que Isto é Importante?
Pensemos na seguinte situação hipotética, você arrenda uma casa em um condomínio com segurança 24 horas por dia, onde o proprietário do condomínio é responsável pelos seguranças do condomínio, câmaras e portas de entrada, por outro lado, você como inquilino, é responsável por trancar as portas, e não deixar os teus bens à vista.
Na cloud é igual, o fornecedor da cloud, garante a segurança da infraestrutura, mas você sendo cliente é responsável por configurar os teus serviços correctamente. Um facto curioso é que pesquisas apontam que a maioria das falhas de segurança na cloud acontecem por erro do cliente e não por culpa do fornecedor.
Responsabilidades por Modelo de Serviço
1. Iaas (Infraestrutura como Serviço)
Alguns dos serviços incluem, AWS EC2, Azure Vitual Machines e Google Compute Engine. Nestes serviços podemos destacar o seguinte:
Fornecedor garante:
- Segurança física
- Rede e infraestrutura
- Virtualização
- Patches do sistema operativo
- Segurança das aplicações
- Encriptação dos dados
- Gestão de Identidates e Acessos (IAM)
2. PaaS (Plataforma como Serviço
Como exemplos de serviços temos, AWS Elastic Beanstalk, Azure App Service, Google App Engine. Para estes serviços, temos a seguinte divisão de responsabilidades:
Fornecedor garante:
- Ambiente de execução
- Middleware
- Sistema operativo
Cliente garante:
- Código da aplicação
- Proteção dos dados
- Controlo de acessos
3. SaaS (Software como Serviço)
Para este modelo, temos os seguintes serviços, Microsoft 365 (word, excel), Google Workspace(Drive, Gmail), Spotify(streaming de música). Este modelo tem as seguintes responsabilidades encarregadas para cada uma das partes:
Fornecedor trata de quase tudo:
- Aplicação
- Infraestrutura
- Actualizações e patches
Cliente ainda tem responsabilidades de:
- Gestão de utilizadores
- Classificação e privacidade dos dados
- Cumprimento de normas e regulamentos
De forma resumida quando falamos de modelo de responsabilidade partilhada, espera-se que:
- O fornecedor da cloud proteja a infraestrutura
- O cliente proteja os dados, acessos e configurações
Note que as responsabilidades mudam conforme o modelo (IaaS, PaaS, SaaS) e geralmente configurações erradas são apontadas como a principal causa de falhas de segurança na cloud.
.png)
Comentários