在保護云中的數據時，決定誰負責哪些部分的安全是至關重要的。目前有三種選擇：采用云服務的客戶、云計算服務提供商或共擔責任的客戶和提供商。

 

由Gemalto公司委托波洛蒙研究所進行的2018年全球云計算數據安全研究(如圖所示)發現：“32%的受訪者在2017年表示是云計算提供商和云計算用戶之間的共同責任。34%的受訪者在2018年表示云計算提供商和云計算用戶共同承擔責任。”

 

 

 

KirkpatrickPrice公司內容營銷專家Jenna Kersten在其博客文章“誰負責云安全?”中表示，很多受訪者選擇共同承擔責任。Kersten在文章中進一步討論了在云計算服務模型中分配云計算服務客戶和云計算服務提供商之間劃分責任的一種方法：基礎設施即服務(IaaS)、平臺即服務(PaaS)、軟件即服務(SaaS)。

 

•IaaS解決方案：在IaaS中，云計算服務提供商管理設施、數據中心、網絡接口、處理和管理程序。云計算服務客戶負責虛擬網絡、虛擬機、操作系統、中間件、應用程序、界面和數據。

 

•PaaS解決方案：通過PaaS模型，Kersten將虛擬網絡、虛擬機、操作系統和中間件添加到云計算服務提供商的職責中。客戶仍負責保護和管理應用程序、界面和數據。

 

•SaaS解決方案：根據Kersten的說法，SaaS模式將除界面和數據之外的所有內容的責任移交給云計算服務提供商。

 

“云計算服務提供商和云計算服務客戶都有責任保護數據，”Kersten表示，“同樣重要的是要注意，個別安全管理任務的執行可以外包，但責任不能外包。驗證安全要求得到滿足的責任始終在客戶身上。”

 

 

亞馬遜網絡服務(AWS)的責任權限與Kersten的觀點一致。從AWS公司的網站可以了解其共同責任愿景：“這種共享模式可以幫助減輕客戶的運營負擔，因為AWS公司可以運行、管理和控制主機操作系統、虛擬化層、服務運營所在設施的物理安全性的組件。客戶在管理操作系統(包括更新和安全補丁)、其他相關應用軟件，以及AWS提供的安全組防火墻的配置承擔自己的責任。”

 

 

云中的數據仍然駐留在物理設備(即服務器、硬盤驅動器等IT設備)上。由于共同承擔責任，客戶和提供商都需要確保建筑物、計算設備和物理基礎設施的安全。企業員工也是一個重要的考慮因素，因為社交工程已經成為網絡犯罪分子的首選攻擊方法。

 

 

Kersten表示，客戶與云計算服務的各方以及提供商的位置如何更好地管理共擔責任關系，需要進行研究和分析。那么先從云計算服務提供商開始：

 

•從客戶的角度考慮風險，然后實施控制，展示可以降低風險的一切措施。

 

•記錄用于管理風險的內部控制。

 

•提供有關客戶如何使用提供的安全功能的文檔。Kersten補充道，“通過他們的教育計劃，AWS公司在安全方面做得很好。”

 

•創建責任矩陣，定義解決方案如何幫助企業客戶滿足其各種合規性要求。轉向云安全聯盟(CSA)的共識評估問卷(CAIQ)和云計算控制矩陣(CCM)作為建立共享責任模型的起點。

 

Kersten表示，接下來是采用云計算服務的客戶：

 

•在選擇云計算服務提供商之前定義云安全要求。“如果你知道在云計算服務提供商中尋找什么，那么你可以更好地優先考慮自己的需求。”Kersten補充道。

 

•協調傳統和基于云計算的IT交付之間的企業治理計劃。將系統和應用程序遷移到云中將需要更改策略。

 

•建立合同明確各方的角色和責任，特別是在公共云方面，其中包括：

 

*誰負責云安全?

 

*云計算服務提供商將承擔多少責任?

 

•制定責任矩陣，為企業和每個供應商(包括云計算服務提供商)定義安全角色和職責。

 

 

合規性和云計算的安全性可能被視為一種數字共生關系，如果沒有另一種規則的結構，就不可能存在這種關系。

 

在討論合規性和安全性時，Kersten表示：“一個原因是監管。企業必須遵守監管制度。另一個原因是恐懼，額外安全投資可能防止將來出現不良情況，這是一個積極的回報。”