因用户部署的业务类型多样,架构比较灵活,给每个用户提供完整的安全解决方案并不是云服务商关注与擅长的领域。目前较理想的云安全责任模型当中,用户和云服务商负责的安全领域不一样,两者责任共担。
云服务商负责管理云本身的安全,但用户云空间内部的安全则由用户负责,用户可控制选择实施哪种安全措施保护自己的内容、平台、应用程序、系统和网络。安全管理责任并不会因计算环境发生变化而转移,在传统计算环境中需面对的安全问题,在云计算环境下同时有。因此,无论IaaS、PaaS,还是SaaS模式,安全责任均分为两部分,一部分由云服务提供商承担,另一部分则由云上用户承担。
最终,安全责任共担也许是一种合理的方式:
1.对IaaS服务而言,云服务商需保障物理、网络与虚拟化层面的安全,而用户需保障操作系统、应用程序与数据的安全。
2.对PaaS服务而言,操作系统安全也由云服务商负责,用户只用负责应用程序与数据安全。
3.对SaaS服务而言,用户要负责的是数据安全,而其他部分都是云服务商来保障。
对以上的安全责任共担模型,云计算安全措施的实施责任分为4类,如下表。
|
责任 |
示例 |
|
云服务商承担 |
在SaaS模式中,定期更新升级云平台上的软件 |
|
用户承担 云服务商和用户共同承担 |
在IaaS模式中,云平台用户对自己安装软件的行为审计云服务商的应急响应行动应该与用户共同联动,用户有配合云服务商应急响应的义务 |
|
其他组织承担 |
云服务商或用户使用第三方服务时,服务的提供与监管由对应第三方负责 |
对公共云而言,安全责任共担模式是其生存的基石,同时也是对抗黑客的最有用的策略。攻击者不用思考安全漏洞的归属,但是防御方却要有相应识别与处置的能力。
对云服务商而言,数以万计的云上用户安全保障需求不断变化,促使着其安全团队持续提升底层安全的能力,同时云上用户安全能力均不一样,如何给每个用户提供合适的安全服务也是云安全生态建设需解决的核心问题。
