وقتی حرف از امنیت در Cloud می‌زنیم…

اگه تا حالا با فضای ابری کار کرده باشی یا حتی فقط دربارش شنیده باشی، احتمالاً این سؤال برات پیش اومده:

امنیت داده‌ها توی Cloud به عهده کیه؟ خودم یا ارائه‌دهنده سرویس؟

اینجاست که مفهوم مدل مسئولیت مشترک یا همون Shared Responsibility Model وارد می‌شه.
این مدل دقیقاً مشخص می‌کنه که چه بخشی از امنیت و مدیریت منابع، وظیفه شماست و چه بخشی بر عهده ارائه‌دهنده‌ی Cloud مثل Microsoft Azure یا Amazon Web Services.

مدل مسئولیت مشترک یعنی چی؟

بذار ساده بگم:
تو فضای ابری، شما بخشی از کار رو به ارائه‌دهنده می‌سپارید، ولی همه‌چیز رو نه!

ارائه‌دهنده‌ی Cloud مسئول امنیت “زیرساخت” هست، اما شما مسئول امنیت “محتوا و تنظیمات” خودتون هستید.

تقسیم مسئولیت در سه مدل اصلی Cloud

1. SaaS – نرم‌افزار به عنوان سرویس

 ارائه‌دهنده مسئول:

• اپلیکیشن

• زیرساخت

• سیستم‌عامل

• پچ‌ها و آپدیت‌ها

  شما مسئول:

• دسترسی کاربران

• داده‌هایی که وارد می‌کنید

• سیاست‌های استفاده

مثال: از Microsoft 365 استفاده می‌کنی؟ مایکروسافت سرویس رو نگه‌می‌داره، ولی تو باید مراقب باشی کی دسترسی داره و چه داده‌هایی آپلود می‌شن.

2. PaaS – پلتفرم به عنوان سرویس

 ارائه‌دهنده مسئول:

• سخت‌افزار و شبکه

• سیستم‌عامل

• پلتفرم اجرایی (مثل دیتابیس یا .NET runtime)

 شما مسئول:

• تنظیمات اپلیکیشن

• داده‌ها

• امنیت اپلیکیشن و کدنویسی درست

مثال: تو Azure App Services اپتو می‌ذاری رو Cloud، ولی امنیت کدت و APIهات همچنان بر عهده خودته.

3. IaaS – زیرساخت به عنوان سرویس

 ارائه‌دهنده مسئول:

• دیتاسنتر

• هاست فیزیکی

• مجازی‌سازی

 شما مسئول:

• سیستم‌عامل ماشین مجازی

• نصب و پیکربندی نرم‌افزارها

• فایروال، آنتی‌ویروس، آپدیت‌ها

مثال: یه ماشین مجازی تو Azure راه انداختی؟ مدیریت اون VM، از رمز عبور گرفته تا باز بودن پورت‌ها، وظیفه‌ی خودته.

چرا این مدل انقدر مهمه؟

خیلی‌ها فکر می‌کنن وقتی رفتن سراغ Cloud، همه‌چیز امنه چون “مایکروسافت حواسش هست”.
در حالی که بخش زیادی از نشت‌های اطلاعاتی و حفره‌های امنیتی، دقیقاً از همین سوءتفاهم ایجاد می‌شن.

درک مدل مسئولیت مشترک باعث می‌شه بدونی دقیقاً کجای کار باید مراقب باشی.

اشتباهات رایج درباره مسئولیت امنیت

•  فکر می‌کنیم Cloud یعنی امنیت کامل

•  همه‌چیز رو رها می‌کنیم و پشتیبان نمی‌گیریم

•  دسترسی‌های بی‌مورد به کاربران می‌دیم

•  سیاست رمز عبور رو جدی نمی‌گیریم

در صورتی که Cloud فقط ابزار رو برات فراهم می‌کنه؛ استفاده‌ی درست و امنش با خودته.

چطور از این مدل به نفع خودمون استفاده کنیم؟

• تنظیم دسترسی‌ها با دقت

• پشتیبان‌گیری منظم از داده‌ها

• نظارت مداوم با ابزارهایی مثل Microsoft Defender for Cloud

• استفاده از راهکارهای امنیتی مکمل (مثل MFA، Conditional Access)

جمع‌بندی

Cloud دنیای جدید و پرسرعتیه، اما باید بدونیم تو این دنیا مسئولیت‌ها کاملاً تقسیم‌شده‌ست.
Shared Responsibility Model یه نقشه راهه که بهمون نشون می‌ده چقدر از امنیت در دست ارائه‌دهنده‌ست و کجاها خودمون باید خودمون وارد عمل شیم.