Modelo de Responsabilidade Compartilhada

Este documento destaca os papéis e responsabilidades de cada parte quando as organizações usam a Plataforma de Edge da Azion. Segurança e conformidade são uma responsabilidade compartilhada entre os clientes e a Azion. A Azion é responsável pela segurança e pela conformidade de sua Plataforma de Edge, e os clientes são responsáveis pelo conteúdo, sua aplicação e pela operação correta dos controles fornecidos.

Os clientes são aconselhados a selecionar cuidadosamente os Produtos e Serviços da Azion e operá-los de acordo com os requisitos de conformidade, leis e regulamentos aplicáveis.


Modelos de entrega de Cloud

A Publicação Especial NIST 500-292 define cinco características essenciais dos serviços de cloud:

  • Autoatendimento sob demanda
  • Amplo acesso à rede
  • Agrupamento de recursos
  • Elasticidade rápida
  • Serviço medido

A publicação também fornece uma categorização simples e inequívoca dos modelos de serviços em nuvem:

  • Software como serviço (SaaS)
  • Plataforma como serviço (PaaS)
  • Infraestrutura como serviço (IaaS)

A Plataforma de Edge da Azion não se encaixa precisamente em nenhum dos três modelos de entrega e pode ser descrita como uma mistura dos modelos PaaS e SaaS.


Modelo de Responsabilidade Compartilhada

O Modelo de Responsabilidade Compartilhada é central para entender os papéis dos clientes e da Azion no contexto da segurança de aplicações e do uso da Plataforma de Edge da Azion.

Os clientes são responsáveis pela configuração correta e uso dos controles e pela aplicação e conteúdo que colocam na ou através da Plataforma de Edge da Azion.

O diagrama abaixo ilustra este conceito.

Diagrama descrevendo as responsabilidades do Cliente e da Azion

Este modelo compartilhado pode ajudar a aliviar o ônus operacional do cliente, pois a Azion opera, gerencia e controla os componentes, desde o tempo de execução da aplicação até o sistema operacional do host até a segurança física das instalações em que os Produtos e Serviços operam.

Responsabilidades da Azion

“Segurança da Plataforma de Edge” - A Azion desenvolve, opera, protege e controla a infraestrutura que executa seus Produtos e Serviços quando oferecidos como serviço, e é responsável pelos seguintes aspectos de sua segurança:

  • Segurança física.
  • Desenvolvimento de software seguro.
  • Gerenciamento de vulnerabilidades e patches dos sistemas que hospedam as plataformas.
  • Continuidade de negócios e recuperação de desastres das plataformas e operações.
  • Proteção e gerenciamento de segredos na plataforma, como chaves privadas.
  • Gerenciamento de configuração da plataforma.
  • Segurança operacional.
  • Treinamento e segurança do pessoal.

Garantia de Controle da Azion

A Azion avalia o design e a eficácia de seus controles sob uma série de regimes de conformidade e relatórios, como PCI DSS e SOC 2 Type 2.

Os clientes podem usar os documentos de conformidade da Azion para realizar quaisquer avaliações de controle da Azion necessárias.

Responsabilidades do Cliente

“Segurança na Plataforma de Edge” – A responsabilidade do cliente será determinada pelo Produto e Serviço da Azion que um cliente seleciona. Isso determina a quantidade de trabalho de configuração que o cliente deve realizar como parte de suas responsabilidades de segurança.

Para Produtos e Serviços abstratos em um modelo como serviço ou serverless, que usa a Rede Global da Azion, a Azion desenvolve, opera, protege e controla a infraestrutura, enquanto os clientes acessam as interfaces de Produtos e Serviços para armazenar, gerenciar e recuperar dados. Os clientes são responsáveis por itens como:

  • Configuração correta dos Produtos e Serviços da Azion.
  • Controle de mudança de configuração.
  • Gerenciamento de seus dados, como conteúdo e aplicativo e código-fonte (incluindo opções de criptografia).
  • Gerenciamento de identidade e acesso, incluindo provisionamento de usuários e seus papéis.
  • Monitoramento de cotas e limites.
  • Monitoramento de consumo e faturamento.
  • Uso correto da plataforma da Azion.

Os clientes também são responsáveis por:

  • Adesão à Política de Uso Aceitável da Azion e todas as leis e regulamentos aplicáveis.
  • Classificação de informações.
  • Conformidade regulatória do cliente.
  • Treinamento e segurança do pessoal.

Os clientes que implantam Produtos e Serviços em suas próprias instalações, dispositivos remotos ou infraestrutura de terceiros também são responsáveis por gerenciar o sistema operacional convidado e qualquer software da Azion que esteja executando nessa infraestrutura (incluindo atualizações de software e patches de segurança), bem como o software de aplicação ou utilitários instalados pelo cliente nessa infraestrutura e a configuração do Produto e Serviço fornecido pela Azion.

Responsabilidade Compartilhada

Controles Compartilhados – Azion e cliente trabalham colaborativamente para melhorar a segurança geral e a conformidade dos recursos, que se aplicam tanto à Azion quanto aos clientes, mas em contextos ou perspectivas completamente separados:

  • Gerenciamento de Logs – Enquanto a Azion exige que você tenha seu produto Real-Time Events para fornecer acesso a logs de curto prazo para fins de depuração, é responsabilidade do cliente configurar drenos de log com o Azion Data Stream para retenção de log de longo prazo, auditoria de dados ou visibilidade adicional no desempenho e segurança de sua aplicação.
  • Gerenciamento de Patches – A Azion é responsável por corrigir e corrigir falhas em sua Plataforma de Edge, mas os clientes são responsáveis por corrigir seu próprio código e aplicações.
  • Autenticação – Os clientes devem garantir que suas informações de autenticação — senha, tokens, credenciais, etc. — atendam aos critérios gerais de segurança e sejam mantidas em segurança. A Azion deve garantir a segurança e proteção da plataforma em relação à autenticação.

Note que este Modelo de Responsabilidade Compartilhada é um framework generalizado, e as responsabilidades e ofertas específicas podem variar com base nos serviços e soluções exatos que você contratou. É aconselhável consultar diretamente com a equipe da Azion para obter detalhes mais específicos, quando necessário. Além disso, a Azion fornece matrizes de responsabilidade para ajudar os clientes a cumprir o PCI DSS e outras regulamentações específicas ao usar os Produtos e Serviços da Azion. Consulte nossa equipe de suporte para acessar estas informações.


Contribuidores