誰來負責雲安全？

09-16

誰來負責雲安全？

誰來負責雲計算安全：雲計算服務提供商還是客戶?許多人將其視為一種共擔責任的關係。以下是管理這種關係的最佳實踐。

在保護雲中的數據時，決定誰負責哪些部分的安全是至關重要的。目前有三種選擇：採用雲服務的客戶、雲計算服務提供商或共擔責任的客戶和提供商。

波洛蒙研究所進行的2018年全球雲計算數據安全研究(如圖所示)發現：「32%的受訪者在2017年表示是雲計算提供商和雲計算用戶之間的共同責任。34%的受訪者在2018年表示雲計算提供商和雲計算用戶共同承擔責任。」

共同責任模型

很多受訪者選擇共同承擔責任。在雲計算服務模型中分配雲計算服務客戶和雲計算服務提供商之間劃分責任的一種方法：基礎設施即服務(IaaS)、平台即服務(PaaS)、軟體即服務(SaaS)。

?IaaS解決方案：在IaaS中，雲計算服務提供商管理設施、數據中心、網路介面、處理和管理程序。雲計算服務客戶負責虛擬網路、虛擬機、操作系統、中間件、應用程序、界面和數據。

?PaaS解決方案：通過PaaS模型，Kersten將虛擬網路、虛擬機、操作系統和中間件添加到雲計算服務提供商的職責中。客戶仍負責保護和管理應用程序、界面和數據。

?SaaS解決方案：根據Kersten的說法，SaaS模式將除界面和數據之外的所有內容的責任移交給雲計算服務提供商。

「雲計算服務提供商和雲計算服務客戶都有責任保護數據，」Kersten表示，「同樣重要的是要注意，個別安全管理任務的執行可以外包，但責任不能外包。驗證安全要求得到滿足的責任始終在客戶身上。」

物理安全性

雲中的數據仍然駐留在物理設備(即伺服器、硬碟驅動器等IT設備)上。由於共同承擔責任，客戶和提供商都需要確保建築物、計算設備和物理基礎設施的安全。企業員工也是一個重要的考慮因素，因為社交工程已經成為網路犯罪分子的首選攻擊方法。

如何管理共同責任關係

Kersten表示，客戶與雲計算服務的各方以及提供商的位置如何更好地管理共擔責任關係，需要進行研究和分析。那麼先從雲計算服務提供商開始：

?從客戶的角度考慮風險，然後實施控制，展示可以降低風險的一切措施。

?記錄用於管理風險的內部控制。

?提供有關客戶如何使用提供的安全功能的文檔。Kersten補充道，「通過他們的教育計劃，AWS公司在安全方面做得很好。」

?創建責任矩陣，定義解決方案如何幫助企業客戶滿足其各種合規性要求。轉向雲安全聯盟(CSA)的共識評估問卷(CAIQ)和雲計算控制矩陣(CCM)作為建立共享責任模型的起點。

Kersten表示，接下來是採用雲計算服務的客戶：

?在選擇雲計算服務提供商之前定義雲安全要求。「如果你知道在雲計算服務提供商中尋找什麼，那麼你可以更好地優先考慮自己的需求。」Kersten補充道。

?協調傳統和基於雲計算的IT交付之間的企業治理計劃。將系統和應用程序遷移到雲中將需要更改策略。

?建立合同明確各方的角色和責任，特別是在公共雲方面，其中包括：

（1）誰負責雲安全?

（2）雲計算服務提供商將承擔多少責任?

?制定責任矩陣，為企業和每個供應商(包括雲計算服務提供商)定義安全形色和職責。

不要忘記合規性

合規性和雲計算的安全性可能被視為一種數字共生關係，如果沒有另一種規則的結構，就不可能存在這種關係。

在討論合規性和安全性時，Kersten表示：「一個原因是監管。企業必須遵守監管制度。另一個原因是恐懼，額外安全投資可能防止將來出現不良情況，這是一個積極的回報。」