A Cloud e o modelo de responsabilidade partilhada
Uma das expressões mais comuns quando falamos de segurança e conformidade regulamentar em Public Cloud é a expressão “responsabilidade partilhada”, e neste artigo queremos explicar o que é isto de responsabilidade partilhada.
A primeira coisa que deve ficar claro, é que este conceito de responsabilidade partilhada é aplicável a qualquer cloud pública, independentemente do fornecedor que contratemos, uma vez que todas elas têm uma secção onde explicam como eles veem a responsabilidade partilhada.
A responsabilidade partilhada significa que nos assuntos relacionados com a segurança e a conformidade/cumprimento normativo existe uma responsabilidade partilhada entre o fornecedor da nuvem pública e o cliente
A segunda, é o significado de responsabilidade partilhada. A responsabilidade partilhada significa que nos assuntos relacionados com a segurança e a conformidade/cumprimento normativo existe uma responsabilidade partilhada entre o fornecedor da nuvem pública e o cliente. Neste modelo partilhado, o cliente é aliviado de alguma carga operacional sobre os diferentes ambientes, uma vez que os fornecedores de nuvens públicas operam, gerem e controlam todos os componentes do sistema operativo host físico e a camada de virtualização, bem como a segurança física das instalações em que os serviços funcionam.
Por outro lado, o cliente deve assumir a gestão e a responsabilidade pelo sistema operativo convidado (incluindo atualizações e patches de segurança), de qualquer outro software de aplicação implementado sob esse sistema operativo e pela configuração de segurança do serviço/instância, tais como firewall, regras de acesso e identidade. Cada serviço ou tipo de serviço (SaaS, PaaS, IaaS) num ambiente de Cloud, exige dos clientes responsabilidades diferentes para a integração destes no seu ambiente de TI e na legislação e regulamentação correspondente.
Visão da Microsoft de Responsabilidade Partilhada
Visão da AWS de Responsabilidade Partilhada
Como é que aplicamos este modelo?
Os clientes têm frequentemente a perceção de que o facto de um serviço na nuvem cumprir um determinado regulamento (seja PCI/DSS, EIOPA, ENS, etc.) os isenta de ter responsabilidade pelo ambiente, uma vez que o serviço já cumpre, e não percebem que este regulamento exige, por exemplo, encriptação em repouso ou gestão de identidade, elementos cuja configuração ou implementação é da responsabilidade do cliente, ou seja, o cliente deve distinguir entre conformidade da nuvem e conformidade na nuvem, ou segurança da nuvem e segurança na nuvem.
Para concluir e para que todos possamos compreender o que é o modelo de responsabilidade partilhada, explicá-lo-ei com uma analogia. A conformidade da nuvem seria como ter um carro com o número máximo de estrelas e a pontuação máxima nos testes de colisão, e a conformidade na nuvem é conduzir esse carro na estrada abaixo da velocidade máxima indicada. No final, a conformidade e a segurança são algo partilhado entre o fabricante do veículo, que fornece todos os meios para o tornar seguro, e nós, enquanto condutores que aplicamos as regras de segurança rodoviária.