在保护云中的数据时,决定谁负责哪些部分的安全是至关重要的。目前有三种选择:采用云服务的客户、云计算服务提供商或共担责任的客户和提供商。
由Gemalto公司委托波洛蒙研究所进行的2018年全球云计算数据安全研究(如图所示)发现:“32%的受访者在2017年表示是云计算提供商和云计算用户之间的共同责任。34%的受访者在2018年表示云计算提供商和云计算用户共同承担责任。”
共同责任模型
KirkpatrickPrice公司内容营销专家Jenna Kersten在其博客文章“谁负责云安全?”中表示,很多受访者选择共同承担责任。Kersten在文章中进一步讨论了在云计算服务模型中分配云计算服务客户和云计算服务提供商之间划分责任的一种方法:基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)。
•IaaS解决方案:在IaaS中,云计算服务提供商管理设施、数据中心、网络接口、处理和管理程序。云计算服务客户负责虚拟网络、虚拟机、操作系统、中间件、应用程序、界面和数据。
•PaaS解决方案:通过PaaS模型,Kersten将虚拟网络、虚拟机、操作系统和中间件添加到云计算服务提供商的职责中。客户仍负责保护和管理应用程序、界面和数据。
•SaaS解决方案:根据Kersten的说法,SaaS模式将除界面和数据之外的所有内容的责任移交给云计算服务提供商。
“云计算服务提供商和云计算服务客户都有责任保护数据,”Kersten表示,“同样重要的是要注意,个别安全管理任务的执行可以外包,但责任不能外包。验证安全要求得到满足的责任始终在客户身上。”
亚马逊网络服务公司的责任权限
亚马逊网络服务(AWS)的责任权限与Kersten的观点一致。从AWS公司的网站可以了解其共同责任愿景:“这种共享模式可以帮助减轻客户的运营负担,因为AWS公司可以运行、管理和控制主机操作系统、虚拟化层、服务运营所在设施的物理安全性的组件。客户在管理操作系统(包括更新和安全补丁)、其他相关应用软件,以及AWS提供的安全组防火墙的配置承担自己的责任。”
物理安全性
云中的数据仍然驻留在物理设备(即服务器、硬盘驱动器等IT设备)上。由于共同承担责任,客户和提供商都需要确保建筑物、计算设备和物理基础设施的安全。企业员工也是一个重要的考虑因素,因为社交工程已经成为网络犯罪分子的首选攻击方法。
如何管理共同责任关系
Kersten表示,客户与云计算服务的各方以及提供商的位置如何更好地管理共担责任关系,需要进行研究和分析。那么先从云计算服务提供商开始:
•从客户的角度考虑风险,然后实施控制,展示可以降低风险的一切措施。
•记录用于管理风险的内部控制。
•提供有关客户如何使用提供的安全功能的文档。Kersten补充道,“通过他们的教育计划,AWS公司在安全方面做得很好。”
•创建责任矩阵,定义解决方案如何帮助企业客户满足其各种合规性要求。转向云安全联盟(CSA)的共识评估问卷(CAIQ)和云计算控制矩阵(CCM)作为建立共享责任模型的起点。
Kersten表示,接下来是采用云计算服务的客户:
•在选择云计算服务提供商之前定义云安全要求。“如果你知道在云计算服务提供商中寻找什么,那么你可以更好地优先考虑自己的需求。”Kersten补充道。
•协调传统和基于云计算的IT交付之间的企业治理计划。将系统和应用程序迁移到云中将需要更改策略。
•建立合同明确各方的角色和责任,特别是在公共云方面,其中包括:
*谁负责云安全?
*云计算服务提供商将承担多少责任?
•制定责任矩阵,为企业和每个供应商(包括云计算服务提供商)定义安全角色和职责。
不要忘记合规性
合规性和云计算的安全性可能被视为一种数字共生关系,如果没有另一种规则的结构,就不可能存在这种关系。
在讨论合规性和安全性时,Kersten表示:“一个原因是监管。企业必须遵守监管制度。另一个原因是恐惧,额外安全投资可能防止将来出现不良情况,这是一个积极的回报。”
京公网安备 11010502049343号