Modelo de Responsabilidade Compartilhada
Este documento destaca os papéis e responsabilidades de cada parte quando as organizações usam a Plataforma de Edge da Azion. Segurança e conformidade são uma responsabilidade compartilhada entre os clientes e a Azion. A Azion é responsável pela segurança e pela conformidade de sua Plataforma de Edge, e os clientes são responsáveis pelo conteúdo, sua aplicação e pela operação correta dos controles fornecidos.
Os clientes são aconselhados a selecionar cuidadosamente os Produtos e Serviços da Azion e operá-los de acordo com os requisitos de conformidade, leis e regulamentos aplicáveis.
Modelos de entrega de Cloud
Seção intitulada Modelos de entrega de CloudA Publicação Especial NIST 500-292 define cinco características essenciais dos serviços de cloud:
- Autoatendimento sob demanda
- Amplo acesso à rede
- Agrupamento de recursos
- Elasticidade rápida
- Serviço medido
A publicação também fornece uma categorização simples e inequívoca dos modelos de serviços em nuvem:
- Software como serviço (SaaS)
- Plataforma como serviço (PaaS)
- Infraestrutura como serviço (IaaS)
A Plataforma de Edge da Azion não se encaixa precisamente em nenhum dos três modelos de entrega e pode ser descrita como uma mistura dos modelos PaaS e SaaS.
Modelo de Responsabilidade Compartilhada
Seção intitulada Modelo de Responsabilidade CompartilhadaO Modelo de Responsabilidade Compartilhada é central para entender os papéis dos clientes e da Azion no contexto da segurança de aplicações e do uso da Plataforma de Edge da Azion.
Os clientes são responsáveis pela configuração correta e uso dos controles e pela aplicação e conteúdo que colocam na ou através da Plataforma de Edge da Azion.
O diagrama abaixo ilustra este conceito.
Este modelo compartilhado pode ajudar a aliviar o ônus operacional do cliente, pois a Azion opera, gerencia e controla os componentes, desde o tempo de execução da aplicação até o sistema operacional do host até a segurança física das instalações em que os Produtos e Serviços operam.
Responsabilidades da Azion
Seção intitulada Responsabilidades da Azion“Segurança da Plataforma de Edge” - A Azion desenvolve, opera, protege e controla a infraestrutura que executa seus Produtos e Serviços quando oferecidos como serviço, e é responsável pelos seguintes aspectos de sua segurança:
- Segurança física.
- Desenvolvimento de software seguro.
- Gerenciamento de vulnerabilidades e patches dos sistemas que hospedam as plataformas.
- Continuidade de negócios e recuperação de desastres das plataformas e operações.
- Proteção e gerenciamento de segredos na plataforma, como chaves privadas.
- Gerenciamento de configuração da plataforma.
- Segurança operacional.
- Treinamento e segurança do pessoal.
Garantia de Controle da Azion
A Azion avalia o design e a eficácia de seus controles sob uma série de regimes de conformidade e relatórios, como PCI DSS e SOC 2 Type 2.
Os clientes podem usar os documentos de conformidade da Azion para realizar quaisquer avaliações de controle da Azion necessárias.
Responsabilidades do Cliente
Seção intitulada Responsabilidades do Cliente“Segurança na Plataforma de Edge” – A responsabilidade do cliente será determinada pelo Produto e Serviço da Azion que um cliente seleciona. Isso determina a quantidade de trabalho de configuração que o cliente deve realizar como parte de suas responsabilidades de segurança.
Para Produtos e Serviços abstratos em um modelo como serviço ou serverless, que usa a Rede Global da Azion, a Azion desenvolve, opera, protege e controla a infraestrutura, enquanto os clientes acessam as interfaces de Produtos e Serviços para armazenar, gerenciar e recuperar dados. Os clientes são responsáveis por itens como:
- Configuração correta dos Produtos e Serviços da Azion.
- Controle de mudança de configuração.
- Gerenciamento de seus dados, como conteúdo e aplicativo e código-fonte (incluindo opções de criptografia).
- Gerenciamento de identidade e acesso, incluindo provisionamento de usuários e seus papéis.
- Monitoramento de cotas e limites.
- Monitoramento de consumo e faturamento.
- Uso correto da plataforma da Azion.
Os clientes também são responsáveis por:
- Adesão à Política de Uso Aceitável da Azion e todas as leis e regulamentos aplicáveis.
- Classificação de informações.
- Conformidade regulatória do cliente.
- Treinamento e segurança do pessoal.
Os clientes que implantam Produtos e Serviços em suas próprias instalações, dispositivos remotos ou infraestrutura de terceiros também são responsáveis por gerenciar o sistema operacional convidado e qualquer software da Azion que esteja executando nessa infraestrutura (incluindo atualizações de software e patches de segurança), bem como o software de aplicação ou utilitários instalados pelo cliente nessa infraestrutura e a configuração do Produto e Serviço fornecido pela Azion.
Responsabilidade Compartilhada
Seção intitulada Responsabilidade CompartilhadaControles Compartilhados – Azion e cliente trabalham colaborativamente para melhorar a segurança geral e a conformidade dos recursos, que se aplicam tanto à Azion quanto aos clientes, mas em contextos ou perspectivas completamente separados:
- Gerenciamento de Logs – Enquanto a Azion exige que você tenha seu produto Real-Time Events para fornecer acesso a logs de curto prazo para fins de depuração, é responsabilidade do cliente configurar drenos de log com o Azion Data Stream para retenção de log de longo prazo, auditoria de dados ou visibilidade adicional no desempenho e segurança de sua aplicação.
- Gerenciamento de Patches – A Azion é responsável por corrigir e corrigir falhas em sua Plataforma de Edge, mas os clientes são responsáveis por corrigir seu próprio código e aplicações.
- Autenticação – Os clientes devem garantir que suas informações de autenticação — senha, tokens, credenciais, etc. — atendam aos critérios gerais de segurança e sejam mantidas em segurança. A Azion deve garantir a segurança e proteção da plataforma em relação à autenticação.
Note que este Modelo de Responsabilidade Compartilhada é um framework generalizado, e as responsabilidades e ofertas específicas podem variar com base nos serviços e soluções exatos que você contratou. É aconselhável consultar diretamente com a equipe da Azion para obter detalhes mais específicos, quando necessário. Além disso, a Azion fornece matrizes de responsabilidade para ajudar os clientes a cumprir o PCI DSS e outras regulamentações específicas ao usar os Produtos e Serviços da Azion. Consulte nossa equipe de suporte para acessar estas informações.