• Responsabilidade Compartilhada

Este documento destaca os papéis e responsabilidades de cada parte quando as organizações usam a Plataforma de Edge da Azion. Segurança e conformidade são uma responsabilidade compartilhada entre os clientes e a Azion. A Azion é responsável pela segurança e pela conformidade de sua Plataforma de Edge, e os clientes são responsáveis pelo conteúdo, sua aplicação e pela operação correta dos controles fornecidos.

Os clientes são aconselhados a selecionar cuidadosamente os Produtos e Serviços da Azion e operá-los de acordo com os requisitos de conformidade, leis e regulamentos aplicáveis.

A Publicação Especial NIST 500-292 define cinco características essenciais dos serviços de cloud:

• Autoatendimento sob demanda
• Amplo acesso à rede
• Agrupamento de recursos
• Elasticidade rápida
• Serviço medido

A publicação também fornece uma categorização simples e inequívoca dos modelos de serviços em nuvem:

• Software como serviço (SaaS)
• Plataforma como serviço (PaaS)
• Infraestrutura como serviço (IaaS)

A Plataforma de Edge da Azion não se encaixa precisamente em nenhum dos três modelos de entrega e pode ser descrita como uma mistura dos modelos PaaS e SaaS.

O Modelo de Responsabilidade Compartilhada é central para entender os papéis dos clientes e da Azion no contexto da segurança de aplicações e do uso da Plataforma de Edge da Azion.

Os clientes são responsáveis pela configuração correta e uso dos controles e pela aplicação e conteúdo que colocam na ou através da Plataforma de Edge da Azion.

O diagrama abaixo ilustra este conceito.

Este modelo compartilhado pode ajudar a aliviar o ônus operacional do cliente, pois a Azion opera, gerencia e controla os componentes, desde o tempo de execução da aplicação até o sistema operacional do host até a segurança física das instalações em que os Produtos e Serviços operam.

“Segurança da Plataforma de Edge” - A Azion desenvolve, opera, protege e controla a infraestrutura que executa seus Produtos e Serviços quando oferecidos como serviço, e é responsável pelos seguintes aspectos de sua segurança:

• Segurança física.
• Desenvolvimento de software seguro.
• Gerenciamento de vulnerabilidades e patches dos sistemas que hospedam as plataformas.
• Continuidade de negócios e recuperação de desastres das plataformas e operações.
• Proteção e gerenciamento de segredos na plataforma, como chaves privadas.
• Gerenciamento de configuração da plataforma.
• Segurança operacional.
• Treinamento e segurança do pessoal.

Garantia de Controle da Azion

A Azion avalia o design e a eficácia de seus controles sob uma série de regimes de conformidade e relatórios, como PCI DSS e SOC 2 Type 2.

Os clientes podem usar os documentos de conformidade da Azion para realizar quaisquer avaliações de controle da Azion necessárias.

“Segurança na Plataforma de Edge” – A responsabilidade do cliente será determinada pelo Produto e Serviço da Azion que um cliente seleciona. Isso determina a quantidade de trabalho de configuração que o cliente deve realizar como parte de suas responsabilidades de segurança.

Para Produtos e Serviços abstratos em um modelo como serviço ou serverless, que usa a Rede Global da Azion, a Azion desenvolve, opera, protege e controla a infraestrutura, enquanto os clientes acessam as interfaces de Produtos e Serviços para armazenar, gerenciar e recuperar dados. Os clientes são responsáveis por itens como:

• Configuração correta dos Produtos e Serviços da Azion.
• Controle de mudança de configuração.
• Gerenciamento de seus dados, como conteúdo e aplicativo e código-fonte (incluindo opções de criptografia).
• Gerenciamento de identidade e acesso, incluindo provisionamento de usuários e seus papéis.
• Monitoramento de cotas e limites.
• Monitoramento de consumo e faturamento.
• Uso correto da plataforma da Azion.

Os clientes também são responsáveis por:

• Adesão à Política de Uso Aceitável da Azion e todas as leis e regulamentos aplicáveis.
• Classificação de informações.
• Conformidade regulatória do cliente.
• Treinamento e segurança do pessoal.

Os clientes que implantam Produtos e Serviços em suas próprias instalações, dispositivos remotos ou infraestrutura de terceiros também são responsáveis por gerenciar o sistema operacional convidado e qualquer software da Azion que esteja executando nessa infraestrutura (incluindo atualizações de software e patches de segurança), bem como o software de aplicação ou utilitários instalados pelo cliente nessa infraestrutura e a configuração do Produto e Serviço fornecido pela Azion.

Controles Compartilhados – Azion e cliente trabalham colaborativamente para melhorar a segurança geral e a conformidade dos recursos, que se aplicam tanto à Azion quanto aos clientes, mas em contextos ou perspectivas completamente separados:

• Gerenciamento de Logs – Enquanto a Azion exige que você tenha seu produto Real-Time Events para fornecer acesso a logs de curto prazo para fins de depuração, é responsabilidade do cliente configurar drenos de log com o Azion Data Stream para retenção de log de longo prazo, auditoria de dados ou visibilidade adicional no desempenho e segurança de sua aplicação.
• Gerenciamento de Patches – A Azion é responsável por corrigir e corrigir falhas em sua Plataforma de Edge, mas os clientes são responsáveis por corrigir seu próprio código e aplicações.
• Autenticação – Os clientes devem garantir que suas informações de autenticação — senha, tokens, credenciais, etc. — atendam aos critérios gerais de segurança e sejam mantidas em segurança. A Azion deve garantir a segurança e proteção da plataforma em relação à autenticação.

Note que este Modelo de Responsabilidade Compartilhada é um framework generalizado, e as responsabilidades e ofertas específicas podem variar com base nos serviços e soluções exatos que você contratou. É aconselhável consultar diretamente com a equipe da Azion para obter detalhes mais específicos, quando necessário. Além disso, a Azion fornece matrizes de responsabilidade para ajudar os clientes a cumprir o PCI DSS e outras regulamentações específicas ao usar os Produtos e Serviços da Azion. Consulte nossa equipe de suporte para acessar estas informações.