A estas alturas, todos tenemos claro ya que las reglas del juego han cambiado con el modelo de computación en la nube.
Además tenemos claro que nuestra organización tiene que aceptar que debe cambiar el modo en el que trabaja en muchos sentidos y que cuando nosotros empezamos a trabajar en un modelo híbrido o completamente basado en la nube, ya no tenemos que tener expertos de todo tipo para cuidar nuestra infraestructura.
En el mundo actual, por lo general, deberemos tener un equipo de trabajo para las operaciones y para algunos temas más en nuestra empresa, mientras que para otras gestiones, podremos contar con expertos de alguna consultora o los propios técnicos o sistemas del proveedor de servicios en la nube, en este caso en Azure.
La responsabilidad, en este caso, pasa de ser propia del personal de IT de la empresa, a ser compartida por ambos, por el proveedor y por el cliente.
Antes, las fronteras estaban mucho mas claras, pero al diluirse las fronteras entre el cliente y el proveedor también lo hacen algunas responsabilidades.
Algunas responsabilidades y tareas de protección van a ser responsabilidad del proveedor, y del equipo que gestione estos servicios en el integrador, pero otras gestiones seguirán siendo responsabilidad del cliente.
Para gestionar bien la situación y que no se produzcan problemas de «gaps» en la gestión de la seguridad habrá que analizar cuidadosamente los servicios y la situación en la que se encuentran, quien los gestiona, quien provee el servicio, etc.
Para hacer este análisis, tendremos múltiples herramientas de análisis de responsabilidades u otras herramientas similares que podemos encontrar en gestión de proyectos de ISO 27001, ISO 22301, etc.
Además contaremos con algunos elementos, como todas las herramientas de cumplimiento de las que nos provee Azure que nos ayudará a dar solución a esta situación.
Cuando pasamos de un modelo on-premises a un Iaa,S en el que tenemos la infraestructura virtualizada, la responsabilidad de aplicar actualizaciones, monitorización y proteción en los SSOO, software y red es del cliente.
La mayor ventaja de este modelo es quitarse la protección de los elementos físicos de la red, ya que será responsabilidad del proveedor, en este caso Azure.
Cuando se hace el salto a PaaS, Azure se encarga de gestionar y mantener casi todo el software, los SSOO y los sistemas de BBDD.
Las actualizaciones y la revisión del estado de seguridad es gestionado por Microsoft, además, permite integración con AAD (Azure Active Directory) que nos provee de access control en la infraestructura.
Con PaaS gracias a Azure Portal, Azure CLI y los scripts de gestión podemos activar o desactivar entornos, escalarlos y reducirlos (elasticidad).
Con SaaS la externalización es completa ya que Microsoft se encargara de controlar el código que se prepara para ser gestionado por el cliente.
Espero que os resulte útil.
Un saludo