Cloud y el modelo de responsabilidad compartida
Una de las frases mas habituales cuando hablamos de seguridad y de cumplimiento normativo en el Public Cloud es la responsabilidad compartida, y en este artículo queremos explicar que es esto de responsabilidad compartida.
Lo primero que debe de quedar claro es que este concepto de responsabilidad compartida es aplicable a cualquier nube pública independientemente del proveedor que contratemos, ya que todas ellas tienen un apartado donde explican como ellos ven la responsabilidad compartida.
Responsabilidad compartida significa que en los asuntos relacionados con la seguridad y el cumplimiento normativo existe una responsabilidad compartida entre el proveedor de nube pública y el cliente
Lo segundo es el significado de responsabilidad compartida. Responsabilidad compartida significa que en los asuntos relacionados con la seguridad y la conformidad/cumplimiento normativo existe una responsabilidad compartida entre el proveedor de nube pública y el cliente. En este modelo compartido el cliente se libera de cierta carga operativa sobre los diferentes entornos, ya que los proveedores de nube pública operan, administran y controlan todos los componentes del sistema operativo host físico y la capa de virtualización, así como la seguridad física de las instalaciones en las que funcionan los servicios.
Por otro lado, el cliente debe de asumir la administración y responsabilidad del sistema operativo invitado (incluidas las actualizaciones y los parches de seguridad), de cualquier otro software de aplicación desplegado bajo ese sistema operativo y de la configuración de seguridad del servicio/instancia como firewall, reglas de acceso e identidad. Cada servicio o tipo de servicio (SaaS, PaaS, IaaS) de un entorno Cloud exige a los clientes unas responsabilidades distintas de la integración de estos en su entorno de TI y de la legislación y los reglamentos correspondientes.
Visión de Microsoft de Responsabilidad Compartida
Visión de AWS de Responsabilidad Compartida
¿Cómo aplicamos este modelo?
Muchas veces los clientes tienen la percepción de que con el hecho de que un servicio en la nube cumpla con una determinada normativa (llámese PCI/DSS, EIOPA, ENS etc …) quedan exentos de tener responsabilidad sobre el entorno, ya que el servicio ya cumple, y no perciben que esa normativa requiera por ejemplo un cifrado en reposo o una gestión de identidad, elementos cuya configuración o implantación corresponde al cliente, es decir, el cliente debe de distinguir entre cumplimiento de la nube y cumplimiento en la nube, o seguridad de la nube y seguridad en la nube.
Para concluir y que todos podamos entender que es el modelo de responsabilidad compartida lo voy a explicar con un símil. El cumplimiento de la nube seria como tener un coche con el número máximo de estrellas y máxima puntuación en las pruebas de choque, y el cumplimiento en la nube es ir con ese coche por la carretera por debajo de la velocidad máxima marcada en la carretera. Al final el cumplir con la norma y la seguridad es algo compartido entre el fabricante del vehículo que pone todos los medios para que sea seguro y el nosotros como conductores aplicando las normas de seguridad vial.