在保護(hù)云中的數(shù)據(jù)時(shí),決定誰(shuí)負(fù)責(zé)哪些部分的安全是至關(guān)重要的。目前有三種選擇:采用云服務(wù)的客戶(hù)、云計(jì)算服務(wù)提供商或共擔(dān)責(zé)任的客戶(hù)和提供商。
由Gemalto公司委托波洛蒙研究所進(jìn)行的2018年全球云計(jì)算數(shù)據(jù)安全研究(如圖所示)發(fā)現(xiàn):“32%的受訪者在2017年表示是云計(jì)算提供商和云計(jì)算用戶(hù)之間的共同責(zé)任。34%的受訪者在2018年表示云計(jì)算提供商和云計(jì)算用戶(hù)共同承擔(dān)責(zé)任。”
共同責(zé)任模型
KirkpatrickPrice公司內(nèi)容營(yíng)銷(xiāo)專(zhuān)家Jenna Kersten在其博客文章“誰(shuí)負(fù)責(zé)云安全?”中表示,很多受訪者選擇共同承擔(dān)責(zé)任。Kersten在文章中進(jìn)一步討論了在云計(jì)算服務(wù)模型中分配云計(jì)算服務(wù)客戶(hù)和云計(jì)算服務(wù)提供商之間劃分責(zé)任的一種方法:基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺(tái)即服務(wù)(PaaS)、軟件即服務(wù)(SaaS)。
•IaaS解決方案:在IaaS中,云計(jì)算服務(wù)提供商管理設(shè)施、數(shù)據(jù)中心、網(wǎng)絡(luò)接口、處理和管理程序。云計(jì)算服務(wù)客戶(hù)負(fù)責(zé)虛擬網(wǎng)絡(luò)、虛擬機(jī)、操作系統(tǒng)、中間件、應(yīng)用程序、界面和數(shù)據(jù)。
•PaaS解決方案:通過(guò)PaaS模型,Kersten將虛擬網(wǎng)絡(luò)、虛擬機(jī)、操作系統(tǒng)和中間件添加到云計(jì)算服務(wù)提供商的職責(zé)中??蛻?hù)仍負(fù)責(zé)保護(hù)和管理應(yīng)用程序、界面和數(shù)據(jù)。
•SaaS解決方案:根據(jù)Kersten的說(shuō)法,SaaS模式將除界面和數(shù)據(jù)之外的所有內(nèi)容的責(zé)任移交給云計(jì)算服務(wù)提供商。
“云計(jì)算服務(wù)提供商和云計(jì)算服務(wù)客戶(hù)都有責(zé)任保護(hù)數(shù)據(jù),”Kersten表示,“同樣重要的是要注意,個(gè)別安全管理任務(wù)的執(zhí)行可以外包,但責(zé)任不能外包。驗(yàn)證安全要求得到滿足的責(zé)任始終在客戶(hù)身上。”
亞馬遜網(wǎng)絡(luò)服務(wù)公司的責(zé)任權(quán)限
亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)的責(zé)任權(quán)限與Kersten的觀點(diǎn)一致。從AWS公司的網(wǎng)站可以了解其共同責(zé)任愿景:“這種共享模式可以幫助減輕客戶(hù)的運(yùn)營(yíng)負(fù)擔(dān),因?yàn)锳WS公司可以運(yùn)行、管理和控制主機(jī)操作系統(tǒng)、虛擬化層、服務(wù)運(yùn)營(yíng)所在設(shè)施的物理安全性的組件??蛻?hù)在管理操作系統(tǒng)(包括更新和安全補(bǔ)丁)、其他相關(guān)應(yīng)用軟件,以及AWS提供的安全組防火墻的配置承擔(dān)自己的責(zé)任。”
物理安全性
云中的數(shù)據(jù)仍然駐留在物理設(shè)備(即服務(wù)器、硬盤(pán)驅(qū)動(dòng)器等IT設(shè)備)上。由于共同承擔(dān)責(zé)任,客戶(hù)和提供商都需要確保建筑物、計(jì)算設(shè)備和物理基礎(chǔ)設(shè)施的安全。企業(yè)員工也是一個(gè)重要的考慮因素,因?yàn)樯缃还こ桃呀?jīng)成為網(wǎng)絡(luò)犯罪分子的首選攻擊方法。
如何管理共同責(zé)任關(guān)系
Kersten表示,客戶(hù)與云計(jì)算服務(wù)的各方以及提供商的位置如何更好地管理共擔(dān)責(zé)任關(guān)系,需要進(jìn)行研究和分析。那么先從云計(jì)算服務(wù)提供商開(kāi)始:
•從客戶(hù)的角度考慮風(fēng)險(xiǎn),然后實(shí)施控制,展示可以降低風(fēng)險(xiǎn)的一切措施。
•記錄用于管理風(fēng)險(xiǎn)的內(nèi)部控制。
•提供有關(guān)客戶(hù)如何使用提供的安全功能的文檔。Kersten補(bǔ)充道,“通過(guò)他們的教育計(jì)劃,AWS公司在安全方面做得很好。”
•創(chuàng)建責(zé)任矩陣,定義解決方案如何幫助企業(yè)客戶(hù)滿足其各種合規(guī)性要求。轉(zhuǎn)向云安全聯(lián)盟(CSA)的共識(shí)評(píng)估問(wèn)卷(CAIQ)和云計(jì)算控制矩陣(CCM)作為建立共享責(zé)任模型的起點(diǎn)。
Kersten表示,接下來(lái)是采用云計(jì)算服務(wù)的客戶(hù):
•在選擇云計(jì)算服務(wù)提供商之前定義云安全要求。“如果你知道在云計(jì)算服務(wù)提供商中尋找什么,那么你可以更好地優(yōu)先考慮自己的需求。”Kersten補(bǔ)充道。
•協(xié)調(diào)傳統(tǒng)和基于云計(jì)算的IT交付之間的企業(yè)治理計(jì)劃。將系統(tǒng)和應(yīng)用程序遷移到云中將需要更改策略。
•建立合同明確各方的角色和責(zé)任,特別是在公共云方面,其中包括:
*誰(shuí)負(fù)責(zé)云安全?
*云計(jì)算服務(wù)提供商將承擔(dān)多少責(zé)任?
•制定責(zé)任矩陣,為企業(yè)和每個(gè)供應(yīng)商(包括云計(jì)算服務(wù)提供商)定義安全角色和職責(zé)。
不要忘記合規(guī)性
合規(guī)性和云計(jì)算的安全性可能被視為一種數(shù)字共生關(guān)系,如果沒(méi)有另一種規(guī)則的結(jié)構(gòu),就不可能存在這種關(guān)系。
在討論合規(guī)性和安全性時(shí),Kersten表示:“一個(gè)原因是監(jiān)管。企業(yè)必須遵守監(jiān)管制度。另一個(gè)原因是恐懼,額外安全投資可能防止將來(lái)出現(xiàn)不良情況,這是一個(gè)積極的回報(bào)。”