Descrivere il modello di responsabilità condivisa

  • 3 minuti

Nelle organizzazioni che eseguono solo hardware e software in locale, l'organizzazione è responsabile al 100% dell'implementazione della sicurezza e della conformità. Con i servizi basati sul cloud, tale responsabilità è condivisa tra il cliente e il provider di servizi cloud.

Il modello di responsabilità condivisa identifica le attività di sicurezza gestite dal provider di servizi cloud e quelle gestite dal cliente. Le responsabilità variano a seconda della posizione in cui è ospitato il carico di lavoro:

  • Software as a Service (SaaS)
  • Piattaforma distribuita come servizio (PaaS)
  • Infrastruttura distribuita come servizio (IaaS)
  • Data center locale

Il modello di responsabilità condivisa rende chiare le responsabilità. Quando le organizzazioni passano al cloud, alcune responsabilità vengono trasferite al provider di servizi cloud e altre all'organizzazione del cliente.

Il diagramma seguente illustra le aree di responsabilità tra il cliente e il provider di servizi cloud, in base alla posizione in cui vengono conservati i dati.

Diagram showing the Shared responsibility model responsibilities by type.

  • Data center locali. In un data center locale si è responsabili di tutto, dalla sicurezza fisica alla crittografia dei dati sensibili.

  • Infrastruttura distribuita come servizio (IaaS). Per tutti i servizi cloud, con IaaS la maggior parte della gestione è a carico del cliente. Con IaaS si usa l'infrastruttura di elaborazione del provider di servizi cloud. Il cliente del cloud non è responsabile per i componenti fisici, ad esempio i computer, la rete oppure la sicurezza fisica del data center. Tuttavia, il cliente del cloud è ancora responsabile di componenti software eseguiti su tale infrastruttura di calcolo, quali sistemi operativi, controlli di rete, applicazioni e protezione dei dati.

  • Piattaforma distribuita come servizio (PaaS). Il modello PaaS offre un ambiente per la compilazione, i test e la distribuzione di applicazioni software. L'obiettivo del modello PaaS è aiutare a creare rapidamente un'applicazione senza doversi preoccupare di gestire l'infrastruttura sottostante. Con il modello PaaS, il provider di servizi cloud gestisce l'hardware e i sistemi operativi e il cliente è responsabile di applicazioni e dati.

  • Software come un servizio (SaaS). Le applicazioni SaaS sono ospitate e gestite dal provider di servizi cloud, per il cliente. Sono in genere concesse in licenza tramite una sottoscrizione mensile o annuale. Microsoft 365, Skype e Dynamics CRM Online sono tutti esempi di software SaaS. SaaS è il modello che richiede il minor carico di gestione da parte del cliente del cloud. Il provider di servizi cloud è responsabile della gestione di tutto, ad eccezione di dati, dispositivi, account e identità.

Per tutti i tipi di distribuzione cloud, il cliente ha la proprietà di dati e identità. L'utente è responsabile della protezione dei dati e delle identità e delle risorse locali, inclusi dispositivi mobili, PC, stampanti e altro ancora.

In sintesi, le responsabilità che rimangono sempre a carico dall'organizzazione del cliente includono:

  • Informazioni e dati
  • Dispositivi (dispositivi mobili e PC)
  • Account e identità

Il vantaggio del modello di responsabilità condivisa è che è chiara la suddivisione delle responsabilità tra le organizzazioni e il provider di servizi cloud.