Modelo de responsabilidad compartida
Última actualización
Última actualización
El modelo de responsabilidad compartida es un principio fundamental en la seguridad de la nube que define cómo se distribuyen las responsabilidades de seguridad entre el proveedor de servicios en la nube y el cliente. Este modelo varía según el tipo de servicio de nube utilizado (IaaS, PaaS, SaaS), pero la premisa básica es que mientras el proveedor es responsable de la seguridad "de" la nube, el cliente es responsable de la seguridad "en" la nube.
Seguridad de la Infraestructura de la Nube: El proveedor es responsable de proteger la infraestructura que ejecuta todos los servicios ofrecidos en la nube. Esto incluye el hardware, el software, las redes y las instalaciones que soportan los servicios de nube.
Gestión Física del Data Center: Incluye la protección física de los data centers, el mantenimiento de la infraestructura de hardware y la gestión de desastres.
Segmentación y Aislamiento de Recursos: Asegurar que los datos y aplicaciones de un cliente estén aislados y protegidos de los de otros clientes.
Seguridad a Nivel de Plataforma y Aplicación: En los modelos PaaS y SaaS, el proveedor también es responsable de asegurar la plataforma o las aplicaciones que gestiona.
Seguridad de los Datos: El cliente es responsable de proteger la integridad, la confidencialidad y la disponibilidad de sus datos en la nube.
Control de Acceso: Implementar y gestionar controles de acceso adecuados, incluyendo la autenticación, la autorización y la gestión de identidades.
Gestión de Interfaces y Endpoints de API: Asegurar las interfaces y puntos de conexión que se utilizan para interactuar con los servicios en la nube.
Cifrado de Datos: Decidir qué datos deben ser cifrados, en qué momento (en tránsito, en reposo) y gestionar las claves de cifrado.
Configuración y Parches de Seguridad: Mantener y gestionar la configuración de seguridad de las aplicaciones y los sistemas operativos, y aplicar parches de seguridad de manera oportuna.
Seguridad a Nivel de Aplicación: En el caso de IaaS y PaaS, el cliente es responsable de asegurar las aplicaciones que implementa en la nube.
Cumplimiento Normativo: Los clientes deben comprender y cumplir con las regulaciones y normativas específicas de su industria o región, como GDPR, HIPAA, entre otros.
Conciencia y Formación: Es crucial que el personal del cliente esté adecuadamente capacitado y sea consciente de las prácticas de seguridad en la nube.
Respuesta a Incidentes: Los clientes deben tener planes de respuesta a incidentes para abordar posibles violaciones de seguridad en sus entornos en la nube.
Se recomienda la siguiente lectura: