云服務(wù)提供商該為安全負(fù)什么責(zé)任?

責(zé)任編輯:editor005

作者:Dave Shackleford

2016-12-05 14:19:06

摘自:TechTarget中國(guó)

隨著云計(jì)算使用不斷增加,數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)安全的共同責(zé)任模式概念也在改變。主機(jī)基礎(chǔ)設(shè)施:與網(wǎng)絡(luò)非常相似,底層計(jì)算堆棧完全由提供商管理--只有在IaaS環(huán)境,客戶可訪問(wèn)或控制某些功能。

隨著云計(jì)算使用不斷增加,數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)安全的共同責(zé)任模式概念也在改變。雖然這并不是新概念,我們已經(jīng)與大多數(shù)外包共享安全責(zé)任多年,但共同安全責(zé)任的性質(zhì)已經(jīng)隨著云計(jì)算的出現(xiàn)而改變。在最近的白皮書(shū)中,微軟已經(jīng)明確表示支持云端共同責(zé)任,但并非所有共同責(zé)任模式都一樣。微軟表明定義數(shù)據(jù)分類和保護(hù)控制是客戶的責(zé)任,而提供商的責(zé)任包括通過(guò)云計(jì)算堆棧的流程,描述應(yīng)用和操作系統(tǒng)控制、網(wǎng)絡(luò)功能和底層主機(jī)基礎(chǔ)設(shè)施(包括管理程序、存儲(chǔ)組件、冗余和可擴(kuò)展性工具等)。下面是微軟在其白皮書(shū)中描述的基本責(zé)任模型:

數(shù)據(jù)保護(hù)和分類:在所有模型中這都是客戶的責(zé)任;

端點(diǎn)和客戶端保護(hù):除了在軟件即服務(wù)環(huán)境中責(zé)任共同承擔(dān)外,這都是客戶的責(zé)任。例如在使用微軟InTune時(shí)的移動(dòng)設(shè)備安全;

身份和訪問(wèn)管理:對(duì)于SaaS和平臺(tái)即服務(wù)(PaaS)產(chǎn)品,身份和訪問(wèn)管理是共同責(zé)任,但在IaaS環(huán)境則是客戶的責(zé)任;

應(yīng)用水平控制:SaaS產(chǎn)品內(nèi)的應(yīng)用水平控制由提供商提供保護(hù)。PaaS產(chǎn)品是共同責(zé)任,而基礎(chǔ)設(shè)施即服務(wù)(IaaS)則需要客戶保護(hù)他們部署的應(yīng)用堆棧;

網(wǎng)絡(luò)控制:這非常有限,只有部分網(wǎng)絡(luò)配置在IaaS內(nèi)可用;提供商控制一切;

主機(jī)基礎(chǔ)設(shè)施:與網(wǎng)絡(luò)非常相似,底層計(jì)算堆棧完全由提供商管理--只有在IaaS環(huán)境,客戶可訪問(wèn)或控制某些功能。

其他云服務(wù)提供商的共同責(zé)任模型

亞馬遜云計(jì)算服務(wù)提供類似的模型,他們將責(zé)任模型分為兩大類:云中的安全以及云的安全。云中安全是客戶的責(zé)任,這包括數(shù)據(jù)保護(hù)、身份和訪問(wèn)管理、操作系統(tǒng)配置、網(wǎng)絡(luò)安全--訪問(wèn)控制--以及加密。AWS負(fù)責(zé)基礎(chǔ)設(shè)施的底層部分,包括計(jì)算組件、存儲(chǔ)基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)。

大多數(shù)其他云服務(wù)提供商遵循與微軟及亞馬遜相似的模型。CenturyLink的共同責(zé)任模型也指明安全編碼是其核心職責(zé)。谷歌并沒(méi)有描述其谷歌云計(jì)算平臺(tái)共同責(zé)任模型的文件,但他們?cè)谝粋€(gè)文檔中明確列出其云計(jì)算中的共同責(zé)任以滿足PCI DSS合規(guī)性。所有云服務(wù)提供商都完全負(fù)責(zé)其數(shù)據(jù)中心環(huán)境的物理安全。

共同責(zé)任模型缺少什么?

共同責(zé)任模型很少涵蓋的領(lǐng)域是安全流程和工作流程。例如,誰(shuí)負(fù)責(zé)云計(jì)算中事件響應(yīng)的哪些方面?微軟試圖在另一份白皮書(shū)中解決這個(gè)問(wèn)題,該白皮書(shū)主要描述了對(duì)事件響應(yīng)共同責(zé)任的概念。對(duì)于客戶的所有責(zé)任領(lǐng)域(例如在Azure IaaS云中運(yùn)行的虛擬機(jī)),微軟不會(huì)執(zhí)行入侵監(jiān)測(cè)或事件響應(yīng)。對(duì)于微軟的責(zé)任領(lǐng)域,他們?cè)敿?xì)介紹了所有團(tuán)隊(duì)成員的角色和職責(zé),以及每個(gè)階段的通知和通信,還有內(nèi)部事件響應(yīng)團(tuán)隊(duì)采取的措施。

目前,大多數(shù)其他提供商在安全流程責(zé)任方面沒(méi)有提供任何文檔介紹,只有在查看合同后,客戶才會(huì)了解。希望更多的大型提供商會(huì)按照微軟的做法,記錄安全控制維護(hù)以及安全流程及工作流程所有方面的責(zé)任分配。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)