如何在提供商和客户共担责任时管理云安全

谁来负责云计算安全：云计算服务提供商还是客户?许多人将其视为一种共担责任的关系。以下是管理这类关系的最好实践。

　　在保护云中的数据时，决定谁负责哪些部份的安全是相当重要的。至今为止有3种选择：采取云服务的客户、云计算服务提供商或共担责任的客户和提供商。

　　由Gemalto公司拜托波洛蒙研究所进行的2018年全世界云计算数据安全研究(如图所示)发现：“32%的受访者在2017年表示是云计算提供商和云计算用户之间的共同责任。34%的受访者在2018年表示云计算提供商和云计算用户共同承当责任。”

　　共同责任模型

　　KirkpatrickPrice公司内容营销专家Jenna Kersten在其博客文章“谁负责云安全?”中表示，很多受访者选择共同承当责任。Kersten在文章中进一步讨论了在云计算服务模型中分配云计算服务客户和云计算服务提供商之间划分责任的一种方法：基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)。

　　IaaS解决方案：在IaaS中，云计算服务提供商管理设施、数据中心、网络接口、处理和管理程序。云计算服务客户负责虚拟网络、虚拟机、操作系统、中间件、利用程序、界面和数据。

　　PaaS解决方案：经过PaaS模型，Kersten将虚拟网络、虚拟机、操作系统和中间件添加到云计算服务提供商的职责中。客户仍负责保护和管理利用程序、界面和数据。

　　SaaS解决方案：针对Kersten的说法，SaaS模式将除界面和数据以外的所有内容的责任移交给云计算服务提供商。

　　“云计算服务提供商和云计算服务客户都有责任保护数据，”Kersten表示，“一样重要的是要注意，个别安全管理任务的履行可之外包，但责任不能外包。验证安全要求得到满足的责任始终在客户身上。”

　　亚马逊网络服务公司的责任权限

　　亚马逊网络服务(AWS)的责任权限与Kersten的观点一致。从AWS公司的网站可以了解其共同责任愿景：“这类同享模式可以帮助减轻客户的运营负担，由于AWS公司可以运行、管理和控制主机操作系统、虚拟化层、服务运营所在设施的物理安全性的组件。客户在管理操作系统(包括更新和安全补钉)、其他相干利用软件，和AWS提供的安全组防火墙的配置承当自己的责任。”

　　物理安全性

　　云中的数据依然驻留在物理装备(即服务器、硬盘驱动器等IT装备)上。由于共同承当责任，客户和提供商都需要确保建筑物、计算装备和物理基础设施的安全。企业员工也是一个重要的斟酌因素，由于社交工程已成为网络犯法份子的首选攻击方法。

　　如何管理共同责任关系

　　Kersten表示，客户与云计算服务的各方和提供商的位置如何更好地管理共担责任关系，需要进行研究和分析。那末先从云计算服务提供商开始：

　　从客户的角度斟酌风险，然后实行控制，展现可以下降风险的一切措施。

　　记录用于管理风险的内部控制。

　　提供有关客户如何使用提供的安全功能的文档。Kersten补充道，“经过他们的教育计划，AWS公司在安全方面做得很好。”

　　创建责任矩阵，定义内涵解决方案如何帮助企业客户满足其各种合规性要求。转向云安全同盟(CSA)的共鸣评估问卷(CAIQ)和云计算控制矩阵(CCM)作为建立同享责任模型的出发点。

　　Kersten表示，接下来是采取云计算服务的客户：

　　在选择云计算服务提供商之前定义内涵云安全要求。“如果你知道在云计算服务提供商中寻觅甚么，那末你可以更好地优先斟酌自己的需求。”Kersten补充道。

　　调和传统和基于云计算的IT交付之间的企业治理计划。将系统和利用程序迁移到云中将需要更改策略。

　　建立合同明确各方的角色和责任，特别是在公共云方面，其中包括：

　　*谁负责云安全?

　　*云计算服务提供商将承当多少责任?

　　制定责任矩阵，为企业和每一个供应商(包括云计算服务提供商)定义内涵安全角色和职责。

　　不要忘记合规性

　　合规性和云计算的安全性可能被视为一种数字共生关系，如果没有另外一种规则的结构，就不可能存在这类关系。

　　在讨论合规性和安全性时，Kersten表示：“一个缘由是监管。企业必须遵照监管制度。另外一个缘由是恐惧，额外安全投资可能避免将来出现不良情况，这是一个积极的回报。”

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。