小谈云安全责任共担模型

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全态势管理CSPM免费试用,1000次1年
云安全中心 免费版,不限时长
简介: 云上安全,谁来负责



     随着业务的快速发展,云计算有可能成为继大型计算机、PC机和互联网之后的第四次IT产业革命。与此同时,安全也从企业上云的顾虑变为云计算的核心竞争力。CSA云安全联盟统计,64%的企业认为云上更安全。“传统IDC要求用户对所有安全问题负责,到了云上,安全迎来责任共担新时代,安全问题变成厂商与用户共同解决。”7132016阿里安全峰会上,阿里云安全事业群资深总监肖力总结七年实践,重新定义云计算时代的安全本质。 

 
 
      事实上,责任共担模式并非云计算厂商独创。小区公共治安维护依靠保安和片警,各家各户防火防盗业主己要承担起相应的责任,就是典型的责任共担模式。对云计算厂商来说,责任共担即是厂商充分承担起云平台本身的安全保障责任,并全力维护云上客户的安全。 
 
 
      目前,云安全责任共担模式在业界已经达成共识。在海外,亚马逊AWS、微软Azure均采用了与用户共担风险的安全策略。例如,AWS 作为IaaS+PaaS为主的服务提供商,负责管理云本身的安全,业务系统安全则由客户负责。客户可以在AWS安全市场里挑选合适的产品来保护自己的内容、平台、应用程序、系统和网络安全。而微软Azure则用一张图解释了IaaS, PaaS和SaaS用户的“责任递减”模式。总的来说 
 
 

1. 云服务商对基础设施的安全负责基本形成了共识。例如AWS会对构成云平台的网络、数据、甚至应用负责。同时维护用户的业务连续性、控制云平台上的风险。 也就是阿里云的责任共担模型里面所说的“提供保护云基础设施的安全”。虽然AWS的责任范围在他们的通用模型中看起来非常少,但对于不同的用户案例,AWS会有很多的细分模型——例如API、访问控制、数据安全领域,很多都是由AWS和用户共同负责的。


2. 用户需要负责虚拟化层以上的安全,而具体负责的部分,以及用户购买的产品组合、或使用的服务。例如,Azure指出云服务商有保护用户数据安全的义务,但云服务商对SaaS用户的责任范围是大于IaaS用户的。例如身份和访问控制 (Identity and Access Management),IaaS用户就应完全由自己负责,而SaaS用户就会和云平台将责任“对半分”。 


3. 对于责任的具体划分,业界还没有达成一致,各大云服务商根据自己服务层面和用户性质的不同,去界定自己的标准。 
 
 
 
 
图:AWS责任共担模型——Amazon Web Services: Overview of Security Processes 
http://aws.amazon.com/security/ 
 
 
 
 
图:Azure责任共担模型——Shared Responsibilities for Cloud Computing 

https://azure.microsoft.com/en-us/blog/microsoft-incident-response-and-shared-responsibility-for-cloud-computing/

 
 

肖力介绍,“在阿里云,从安全责任划分的角度来讲,即阿里云负责云基础设施层面的安全,用户责任虚拟化层以上的安全”。 

 
 
 
 
 
 

       为了云计算安全全新的职责,阿里云内部早在几年前就从架构设计、产品研发以及服务模式等方面开始备战。要知道,云计算时代所面临的安全挑战并不比传统安全所面临的问题要少,甚至于相较之下更加复杂。举个例子来说,阿里云云盾每天需要抵抗2亿次密码暴力破解,应对2000万次的Web应用攻击,抵御1000DDoS攻击。 

 
 

       都说专业的事情要交给专业的人来做。既然云计算厂商做安全如此专业,为什么不能把所有的安全问题都托管给厂商肖力透露,阿里云一直认为数据是客户的资产。云计算平台不得以任何理由将这些数据移作它用。如此一来,厂商将不可能知道客户在哪个中了木马的终端上登陆了业务系统,结果被黑客窃取到管理员用户和口令。正如保安和片警不会知道业主小刘家钥匙被朋友复制,从而发生大白天的被盗事件一样。 


       除此之外,责任共担模型还可以明确自己所要去保护的“领地”,让用户和云服务商在危急情况下能够“分工明确,共同应对”,减少不必要的纠纷,特别是在安全事件发生后犹豫责任不明确而造成的用户资产损失。


       同时,责任共担模型还是一种很好的用户安全意识教育方式。在国内市场,很多用户仍会有“上云,安全就由云服务商负责”的误解。但其实这样一来,用户的隐私和安全能力都会处在一个相对被动的位置。


        安全不是云平台、用户或者安全厂商某一方的单打独斗。云计算厂商需要建立强大的生态让用户个性化的安全需求能够快速有效的解决,云上客户需要与SaaS服务商和安全厂商的虚拟化产品协同作战。攻击者从不考虑安全漏洞的归属,但防御方却需要有这个能力识别和处置。




本文在阿里安全峰会新闻稿:《肖力——阿里云重新定义云时代的安全本质》基础上修改。感谢原作者。

目录
打赏
0
0
0
0
1081
分享
相关文章
带你读《CloudOps云上自动化运维 白皮书2.0》之26:4.云安全成熟度模型
带你读《CloudOps云上自动化运维 白皮书2.0》之26:4.云安全成熟度模型
253 0
云安全:云计算安全
云安全是指在云计算环境中保护数据、应用程序和相关服务不受威胁的一系列策略、技术和控制措施。随着云计算的快速发展,云安全已成为企业和个人用户最关心的问题之一。云安全的目标是确保云环境中数据的机密性、完整性和可用性,同时防止数据丢失、服务中断和不正当访问。
122 81
阿里云服务器安全攻略参考:基础防护与云安全产品简介
在使用云服务器的过程中,云服务器的安全问题是很多用户非常关心的问题,阿里云服务器除了提供基础的防护之外,我们也可以选择其他的云安全类产品来确保我们云服务器的安全。本文为您介绍阿里云服务器的基础安全防护机制,以及阿里云提供的各类云安全产品,帮助用户全面了解并选择合适的防护手段,为云上业务保驾护航。
用AI来做云安全是怎样一种体验?阿里云安全AI能力大曝光
用AI来做云安全是怎样一种体验?阿里云安全AI能力大曝光
课时12:阿里云安全产品之态势感知
阿里云态势感知是基于人工智能的安全产品,帮助企业应对高隐蔽性网络攻击。它通过机器学习全面感知网络威胁,覆盖网络层、主机层和应用层,提供实时入侵检测与响应。具备威胁模型、专家定制、超强检索及全网威胁情报等六大核心优势,显著增强企业网络安全防御能力。在G20峰会期间,成功实现平台用户网站安全运营零干扰。
云安全中心:保护您的多云产品安全
阿里云安全中心提供统一的多云环境安全防护,涵盖病毒查杀、漏洞扫描、防勒索等功能,支持ECS、OSS等云产品配置风险检测。首次使用需关注主机安全授权、配置检查策略及恶意文件检测三大功能,确保系统安全合规,降低管理成本,提升整体安全水平。了解更多可关注阿里云中小企业直播间。
阿里云容器服务&云安全中心团队荣获信通院“云原生安全标杆案例”奖
2024年12月24日,阿里云容器服务团队与云安全中心团队获得中国信息通信研究院「云原生安全标杆案例」奖。
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。

热门文章

最新文章

相关产品

  • 云安全中心