隨著云計算使用不斷增加,數據保護和網絡安全的共同責任模式概念也在改變。雖然這并不是新概念,我們已經與大多數外包共享安全責任多年,但共同安全責任的性質已經隨著云計算的出現而改變。在最近的白皮書中,微軟已經明確表示支持云端共同責任,但并非所有共同責任模式都一樣。微軟表明定義數據分類和保護控制是客戶的責任,而提供商的責任包括通過云計算堆棧的流程,描述應用和操作系統控制、網絡功能和底層主機基礎設施(包括管理程序、存儲組件、冗余和可擴展性工具等)。下面是微軟在其白皮書中描述的基本責任模型:
數據保護和分類:在所有模型中這都是客戶的責任;
端點和客戶端保護:除了在軟件即服務環境中責任共同承擔外,這都是客戶的責任。例如在使用微軟InTune時的移動設備安全;
身份和訪問管理:對于SaaS和平臺即服務(PaaS)產品,身份和訪問管理是共同責任,但在IaaS環境則是客戶的責任;
應用水平控制:SaaS產品內的應用水平控制由提供商提供保護。PaaS產品是共同責任,而基礎設施即服務(IaaS)則需要客戶保護他們部署的應用堆棧;
網絡控制:這非常有限,只有部分網絡配置在IaaS內可用;提供商控制一切;
主機基礎設施:與網絡非常相似,底層計算堆棧完全由提供商管理--只有在IaaS環境,客戶可訪問或控制某些功能。
其他云服務提供商的共同責任模型
亞馬遜云計算服務提供類似的模型,他們將責任模型分為兩大類:云中的安全以及云的安全。云中安全是客戶的責任,這包括數據保護、身份和訪問管理、操作系統配置、網絡安全--訪問控制--以及加密。AWS負責基礎設施的底層部分,包括計算組件、存儲基礎設施、數據庫和網絡。
大多數其他云服務提供商遵循與微軟及亞馬遜相似的模型。CenturyLink的共同責任模型也指明安全編碼是其核心職責。谷歌并沒有描述其谷歌云計算平臺共同責任模型的文件,但他們在一個文檔中明確列出其云計算中的共同責任以滿足PCI DSS合規性。所有云服務提供商都完全負責其數據中心環境的物理安全。
共同責任模型缺少什么?
共同責任模型很少涵蓋的領域是安全流程和工作流程。例如,誰負責云計算中事件響應的哪些方面?微軟試圖在另一份白皮書中解決這個問題,該白皮書主要描述了對事件響應共同責任的概念。對于客戶的所有責任領域(例如在Azure IaaS云中運行的虛擬機),微軟不會執行入侵監測或事件響應。對于微軟的責任領域,他們詳細介紹了所有團隊成員的角色和職責,以及每個階段的通知和通信,還有內部事件響應團隊采取的措施。
目前,大多數其他提供商在安全流程責任方面沒有提供任何文檔介紹,只有在查看合同后,客戶才會了解。希望更多的大型提供商會按照微軟的做法,記錄安全控制維護以及安全流程及工作流程所有方面的責任分配。
京公網安備 11010502049343號