共享責任模型對云安全的意義
發(fā)布時間:2025-06-13 點擊:14
隨著企業(yè)在疫情期間致力于為遠程工作的員工提供支持,云計算的采用在過去一年中加速增長。盡管這種采用增長迅速,但企業(yè)經(jīng)常誤解一個關(guān)鍵的云計算概念:共享責任模型(srm)。
許多企業(yè)管理者仍然在問“云計算安全嗎”?這個問題在現(xiàn)在來說并不恰當。對于他們來說,更恰當?shù)膯栴}應(yīng)該是,“作為安全團隊,是否在保護我們在云中的份額?”。絕大多數(shù)云數(shù)據(jù)泄露/泄漏都是由企業(yè)本身造成的。根據(jù)調(diào)研機構(gòu)gartner公司的預(yù)測,到2025年,99%的云安全故障將是企業(yè)所犯的錯誤。因此,所有安全從業(yè)人員都必須了解他們的職責。
什么是共享責任模型?
共享責任模型描述了作為云計算客戶的企業(yè)的責任以及云計算服務(wù)提供商的責任。云計算服務(wù)提供商負責云計算物理設(shè)施的安全,例如數(shù)據(jù)中心、電源、電纜、硬件等。企業(yè)負責云計算服務(wù)的安全,例如網(wǎng)絡(luò)控制、身份和訪問管理、應(yīng)用程序配置和數(shù)據(jù)等。
也就是說,這種職責分工可以根據(jù)企業(yè)使用的服務(wù)模式而改變。在基本層面上,美國國家標準和技術(shù)研究院(nist)定義了三種主要的云服務(wù)模型:
基礎(chǔ)設(shè)施即服務(wù)(iaas):在基礎(chǔ)設(shè)施即服務(wù)(iaas)模式下,云計算服務(wù)提供商負責物理數(shù)據(jù)中心、物理網(wǎng)絡(luò)和物理服務(wù)器/托管的安全。
平臺即服務(wù)(paas):在平臺即服務(wù)(paas)模式中,云計算服務(wù)提供商承擔更多的責任,例如修補(客戶通常在這方面很糟糕,是導(dǎo)致安全事件的主要途徑)和維護操作系統(tǒng)。
軟件即服務(wù)(saas):在軟件即服務(wù)(saas)中,企業(yè)只能在應(yīng)用程序的配置設(shè)置中進行更改,其他一切的控制權(quán)都交給云計算服務(wù)提供商(例如gmail)。
使用每種云計算服務(wù)都有一個權(quán)衡,企業(yè)需要放棄控制權(quán)以換取更多的交鑰匙/管理經(jīng)驗,讓云計算服務(wù)提供商處理更多的安全事項,并讓企業(yè)專注于他們的核心競爭力。
每個云計算服務(wù)提供商都有不同版本的共享責任模型(srm)。
安全從業(yè)人員如何為共享責任模型(srm)做準備
雖然共享責任模型(srm)涉及合同和財務(wù)影響等非安全問題,但它也包括若干安全考慮因素。安全從業(yè)者必須了解他們在共享責任模型(srm)中的職責,基于他們使用的服務(wù)以及他們組織的實現(xiàn)和架構(gòu)。還記得幾乎所有的云計算數(shù)據(jù)事件都發(fā)生在共享責任模型(srm)的客戶端嗎?這是理解共享責任模型(srm)并確保完成了模型的一部分的主要原因。
企業(yè)的職責取決于其兩個主要的安全角色:技術(shù)安全從業(yè)者或安全主管。技術(shù)安全從業(yè)者(如云安全工程師或云安全架構(gòu)師)需要了解企業(yè)正在使用哪些云計算服務(wù),如何安全地構(gòu)建這些解決方案,以及企業(yè)的權(quán)限范圍內(nèi)哪些配置、設(shè)置和控制可以影響和引導(dǎo)更強健的安全態(tài)勢。
技術(shù)安全專業(yè)人員還應(yīng)該非常熟悉他們的公司正在使用的平臺和服務(wù),并了解如何安全地實現(xiàn)。云安全工程師/架構(gòu)師通常與工程和開發(fā)團隊合作。如果不能引導(dǎo)他們使用安全的解決方案,或者發(fā)現(xiàn)有風險的配置(記住這些配置是如何導(dǎo)致大多數(shù)云計算數(shù)據(jù)事件的),那么其所在的公司就可能面臨巨大的風險。
企業(yè)可以向其合作的云計算服務(wù)提供商尋求安全資源。例如,aws公司提供了一個令人難以置信的安全文檔數(shù)據(jù)庫,按類別(例如,計算、存儲、安全、身份和合規(guī)性)細分,企業(yè)可以在其中找到與其組織所使用的每項服務(wù)相關(guān)的細節(jié)。這包括關(guān)于如何安全地配置服務(wù)、企業(yè)以操縱哪些配置以及故障排除指南的大量信息。
安全主管的主要考慮事項包括清點服務(wù)使用情況(必須知道企業(yè)內(nèi)部正在使用什么服務(wù),否則無法進行保護)、確保企業(yè)使用的服務(wù)符合適用的監(jiān)管框架,以及了解合同/法律方面,例如云計算服務(wù)提供商服務(wù)等級協(xié)議(sla),尤其是在事件響應(yīng)計劃等方面。
許多企業(yè)與云計算服務(wù)提供商建立伙伴關(guān)系并分擔責任。這包括確保企業(yè)使用的服務(wù)符合其必須遵守的監(jiān)管框架。超大規(guī)模云計算服務(wù)提供商使這些信息易于查找,aws和microsoft azure等云計算供應(yīng)商提供“范圍內(nèi)的服務(wù)”頁面,企業(yè)可以在其中確定哪些服務(wù)符合哪些框架以及哪些仍在審批過程中。這有助于確保企業(yè)的團隊不僅在云中構(gòu)建強大且安全的架構(gòu)和工作負載,也使用符合其適用框架的服務(wù)來避免合規(guī)性或監(jiān)管問題。
各級安全從業(yè)人員應(yīng)努力在其云環(huán)境中實現(xiàn)安全標準和好實踐。這可能意味著從各自的云計算服務(wù)提供商實現(xiàn)安全好實踐,或者為各自的云計算環(huán)境實施諸如互聯(lián)網(wǎng)安全中心(cis)基準之類的實踐。
客戶責任矩陣
處理共享責任模型(srm)時的一個基本工件是客戶責任矩陣(crm),它列出了云計算服務(wù)提供商提供的控制以及留給云計算消費者的責任。美國聯(lián)邦風險和授權(quán)管理計劃(fedramp)是找到模板客戶責任矩陣(crm)并了解更多相關(guān)信息的好地方。fedramp是一個用于處理跨聯(lián)邦政府消費的云服務(wù)產(chǎn)品的授權(quán)程序。
客戶責任矩陣(crm)是安全從業(yè)人員使用的重要工具。在共享責任模型(srm)中,安全控制或者完全由云計算服務(wù)提供商提供,混合控制(責任落在云計算服務(wù)提供商和云客戶身上),或者完全留給客戶。安全從業(yè)人員可以利用客戶責任矩陣(crm)來清楚地了解這種安全控制描述。
使用云計算服務(wù)可以將某些安全控制和活動的責任轉(zhuǎn)移給云計算服務(wù)提供商,讓企業(yè)專注于他們的核心競爭力。也就是說,它創(chuàng)建了安全專業(yè)人員必須理解和適當處理的責任關(guān)系。需要記住的是,大多數(shù)云計算數(shù)據(jù)泄露都發(fā)生在共享責任模型(srm)的客戶端,歸根結(jié)底,企業(yè)對自身的數(shù)據(jù)安全和聲譽負有全部責任。
2023中小企業(yè)如何抓住互聯(lián)網(wǎng)機遇和挑戰(zhàn)
重慶企業(yè)網(wǎng)站Blog的三種價值
開發(fā)者必看2023年網(wǎng)頁設(shè)計的10大發(fā)展趨勢
香港高防服務(wù)器為什么貴?香港高防服務(wù)器成本分析
怎么制作網(wǎng)站?如何建立自己的網(wǎng)站?
網(wǎng)站加載速度對SEO優(yōu)化有哪些影響?
這些英文網(wǎng)站SEO常用工具是外貿(mào)網(wǎng)站推廣的必備!
用戶體驗對SEO有多重要?
許多企業(yè)管理者仍然在問“云計算安全嗎”?這個問題在現(xiàn)在來說并不恰當。對于他們來說,更恰當?shù)膯栴}應(yīng)該是,“作為安全團隊,是否在保護我們在云中的份額?”。絕大多數(shù)云數(shù)據(jù)泄露/泄漏都是由企業(yè)本身造成的。根據(jù)調(diào)研機構(gòu)gartner公司的預(yù)測,到2025年,99%的云安全故障將是企業(yè)所犯的錯誤。因此,所有安全從業(yè)人員都必須了解他們的職責。
什么是共享責任模型?
共享責任模型描述了作為云計算客戶的企業(yè)的責任以及云計算服務(wù)提供商的責任。云計算服務(wù)提供商負責云計算物理設(shè)施的安全,例如數(shù)據(jù)中心、電源、電纜、硬件等。企業(yè)負責云計算服務(wù)的安全,例如網(wǎng)絡(luò)控制、身份和訪問管理、應(yīng)用程序配置和數(shù)據(jù)等。
也就是說,這種職責分工可以根據(jù)企業(yè)使用的服務(wù)模式而改變。在基本層面上,美國國家標準和技術(shù)研究院(nist)定義了三種主要的云服務(wù)模型:
基礎(chǔ)設(shè)施即服務(wù)(iaas):在基礎(chǔ)設(shè)施即服務(wù)(iaas)模式下,云計算服務(wù)提供商負責物理數(shù)據(jù)中心、物理網(wǎng)絡(luò)和物理服務(wù)器/托管的安全。
平臺即服務(wù)(paas):在平臺即服務(wù)(paas)模式中,云計算服務(wù)提供商承擔更多的責任,例如修補(客戶通常在這方面很糟糕,是導(dǎo)致安全事件的主要途徑)和維護操作系統(tǒng)。
軟件即服務(wù)(saas):在軟件即服務(wù)(saas)中,企業(yè)只能在應(yīng)用程序的配置設(shè)置中進行更改,其他一切的控制權(quán)都交給云計算服務(wù)提供商(例如gmail)。
使用每種云計算服務(wù)都有一個權(quán)衡,企業(yè)需要放棄控制權(quán)以換取更多的交鑰匙/管理經(jīng)驗,讓云計算服務(wù)提供商處理更多的安全事項,并讓企業(yè)專注于他們的核心競爭力。
每個云計算服務(wù)提供商都有不同版本的共享責任模型(srm)。
安全從業(yè)人員如何為共享責任模型(srm)做準備
雖然共享責任模型(srm)涉及合同和財務(wù)影響等非安全問題,但它也包括若干安全考慮因素。安全從業(yè)者必須了解他們在共享責任模型(srm)中的職責,基于他們使用的服務(wù)以及他們組織的實現(xiàn)和架構(gòu)。還記得幾乎所有的云計算數(shù)據(jù)事件都發(fā)生在共享責任模型(srm)的客戶端嗎?這是理解共享責任模型(srm)并確保完成了模型的一部分的主要原因。
企業(yè)的職責取決于其兩個主要的安全角色:技術(shù)安全從業(yè)者或安全主管。技術(shù)安全從業(yè)者(如云安全工程師或云安全架構(gòu)師)需要了解企業(yè)正在使用哪些云計算服務(wù),如何安全地構(gòu)建這些解決方案,以及企業(yè)的權(quán)限范圍內(nèi)哪些配置、設(shè)置和控制可以影響和引導(dǎo)更強健的安全態(tài)勢。
技術(shù)安全專業(yè)人員還應(yīng)該非常熟悉他們的公司正在使用的平臺和服務(wù),并了解如何安全地實現(xiàn)。云安全工程師/架構(gòu)師通常與工程和開發(fā)團隊合作。如果不能引導(dǎo)他們使用安全的解決方案,或者發(fā)現(xiàn)有風險的配置(記住這些配置是如何導(dǎo)致大多數(shù)云計算數(shù)據(jù)事件的),那么其所在的公司就可能面臨巨大的風險。
企業(yè)可以向其合作的云計算服務(wù)提供商尋求安全資源。例如,aws公司提供了一個令人難以置信的安全文檔數(shù)據(jù)庫,按類別(例如,計算、存儲、安全、身份和合規(guī)性)細分,企業(yè)可以在其中找到與其組織所使用的每項服務(wù)相關(guān)的細節(jié)。這包括關(guān)于如何安全地配置服務(wù)、企業(yè)以操縱哪些配置以及故障排除指南的大量信息。
安全主管的主要考慮事項包括清點服務(wù)使用情況(必須知道企業(yè)內(nèi)部正在使用什么服務(wù),否則無法進行保護)、確保企業(yè)使用的服務(wù)符合適用的監(jiān)管框架,以及了解合同/法律方面,例如云計算服務(wù)提供商服務(wù)等級協(xié)議(sla),尤其是在事件響應(yīng)計劃等方面。
許多企業(yè)與云計算服務(wù)提供商建立伙伴關(guān)系并分擔責任。這包括確保企業(yè)使用的服務(wù)符合其必須遵守的監(jiān)管框架。超大規(guī)模云計算服務(wù)提供商使這些信息易于查找,aws和microsoft azure等云計算供應(yīng)商提供“范圍內(nèi)的服務(wù)”頁面,企業(yè)可以在其中確定哪些服務(wù)符合哪些框架以及哪些仍在審批過程中。這有助于確保企業(yè)的團隊不僅在云中構(gòu)建強大且安全的架構(gòu)和工作負載,也使用符合其適用框架的服務(wù)來避免合規(guī)性或監(jiān)管問題。
各級安全從業(yè)人員應(yīng)努力在其云環(huán)境中實現(xiàn)安全標準和好實踐。這可能意味著從各自的云計算服務(wù)提供商實現(xiàn)安全好實踐,或者為各自的云計算環(huán)境實施諸如互聯(lián)網(wǎng)安全中心(cis)基準之類的實踐。
客戶責任矩陣
處理共享責任模型(srm)時的一個基本工件是客戶責任矩陣(crm),它列出了云計算服務(wù)提供商提供的控制以及留給云計算消費者的責任。美國聯(lián)邦風險和授權(quán)管理計劃(fedramp)是找到模板客戶責任矩陣(crm)并了解更多相關(guān)信息的好地方。fedramp是一個用于處理跨聯(lián)邦政府消費的云服務(wù)產(chǎn)品的授權(quán)程序。
客戶責任矩陣(crm)是安全從業(yè)人員使用的重要工具。在共享責任模型(srm)中,安全控制或者完全由云計算服務(wù)提供商提供,混合控制(責任落在云計算服務(wù)提供商和云客戶身上),或者完全留給客戶。安全從業(yè)人員可以利用客戶責任矩陣(crm)來清楚地了解這種安全控制描述。
使用云計算服務(wù)可以將某些安全控制和活動的責任轉(zhuǎn)移給云計算服務(wù)提供商,讓企業(yè)專注于他們的核心競爭力。也就是說,它創(chuàng)建了安全專業(yè)人員必須理解和適當處理的責任關(guān)系。需要記住的是,大多數(shù)云計算數(shù)據(jù)泄露都發(fā)生在共享責任模型(srm)的客戶端,歸根結(jié)底,企業(yè)對自身的數(shù)據(jù)安全和聲譽負有全部責任。
2023中小企業(yè)如何抓住互聯(lián)網(wǎng)機遇和挑戰(zhàn)
重慶企業(yè)網(wǎng)站Blog的三種價值
開發(fā)者必看2023年網(wǎng)頁設(shè)計的10大發(fā)展趨勢
香港高防服務(wù)器為什么貴?香港高防服務(wù)器成本分析
怎么制作網(wǎng)站?如何建立自己的網(wǎng)站?
網(wǎng)站加載速度對SEO優(yōu)化有哪些影響?
這些英文網(wǎng)站SEO常用工具是外貿(mào)網(wǎng)站推廣的必備!
用戶體驗對SEO有多重要?