Seguridad en los Servicios en la Nube
Los modelos de servicio en la nube más utilizados y comúnmente aceptados se clasifican de acuerdo con el nivel de administración de las capas de tecnología asignado al proveedor; si bien en cualquiera de estos modelos se deben aplicar todos los controles de seguridad necesarios para cumplir con las directrices, normas y lineamientos de seguridad de la información definidos, la administración de algunos controles será delegada al proveedor del servicio, de manera general:
El proveedor del servicio debe garantizar todos los controles de seguridad relacionados con el plano de gestión de su infraestructura, con la consola de aprovisionamiento y administración de los servicios, con la infraestructura de virtualización y orquestación, con las APIs de integración y con el almacenamiento de las máquinas virtuales.
Consulta los términos y condiciones de uso para el servicio Iaas Azure
Adicional a los controles establecidos para IaaS, el proveedor del servicio debe garantizar los controles de seguridad relacionados con el sistema operativo, software base y software aplicativo, actualización de versiones y parches de seguridad, almacenamiento de información y conectividad de red.
Adicional a los controles establecidos para IaaS y PaaS, el proveedor del servicio debe garantizar los controles de seguridad relacionados con el software aplicativo, la gestión de vulnerabilidades y brindar los mecanismos para establecer una adecuada segregación de funciones.