這是一個(gè)令人頭疼的問題：誰應(yīng)該保護(hù)您在云中的數(shù)據(jù) - 您還是您的云服務(wù)提供商 (CSP)？我們知道很容易說所有責(zé)任都應(yīng)該落在您的提供者身上。為什么不？你為他們的服務(wù)付費(fèi)，他們的團(tuán)隊(duì)中有一些人，他們唯一的工作就是確保服務(wù)安全。這應(yīng)該是不費(fèi)吹灰之力的吧？

不幸的是，事情并非如此簡單。從某種意義上說，云安全與您的網(wǎng)絡(luò)的網(wǎng)絡(luò)安全非常相似，因?yàn)樗且粋€(gè)團(tuán)隊(duì)的努力。雖然您的 CSP 負(fù)責(zé)保護(hù)云，但他們希望您在其中負(fù)責(zé)您的活動(dòng)。保護(hù)您的數(shù)據(jù)既是您的任務(wù)，也是他們的任務(wù)。

這是很多人沒有意識到的，這就是問題所在。因?yàn)槿绻恢滥?fù)責(zé)云安全的哪個(gè)方面，您如何執(zhí)行正確的策略來保護(hù)您的數(shù)據(jù)？它對你不利。事實(shí)上，Gartner 預(yù)測，從現(xiàn)在到 2025 年，幾乎所有或99% 的云安全故障都將是客戶（您）的錯(cuò)。為了幫助您劃清云安全責(zé)任所在，我們將深入探討以下內(nèi)容：

• 誰負(fù)責(zé)您的云安全？
• 您和您的 CSP 之間的責(zé)任劃分

誰負(fù)責(zé)您的云安全？

我們知道答案并不像您希望的那樣明確，很抱歉讓您失望了。這是因?yàn)檫@個(gè)問題真的沒有單一的答案。事實(shí)上，云安全是您和您的 CSP 之間的共同責(zé)任。您和您的 CSP 承擔(dān)的責(zé)任級別將根據(jù)誰提供服務(wù)以及他們提供的服務(wù)而變化。

根據(jù)運(yùn)營總監(jiān) Peter Swarowski 的說法，一個(gè)很好的起點(diǎn)是詢問您的 CSP 是否提供了一個(gè)矩陣來顯示誰負(fù)責(zé)什么。例如，微軟發(fā)布了他們自己的矩陣，其中概述了他們關(guān)注的內(nèi)容以及他們希望客戶處理的內(nèi)容。它甚至包括特定于 Microsoft 云產(chǎn)品的信息。

如您所見，根據(jù)您是部署軟件即服務(wù) (SaaS)、平臺(tái)即服務(wù) (PaaS) 還是基礎(chǔ)架構(gòu)即服務(wù) (IaaS)，您和您的 CSP 的職責(zé)會(huì)有所不同。此外，請記住，上面的矩陣僅適用于 Microsoft 云服務(wù)。其他云提供商，如 Amazon Web Services (AWS) 也有自己的。甚至有些 CSP 不提供共享責(zé)任矩陣。在這些情況下，施華洛世奇說，“你需要看看那里有什么，并提出問題來了解你的責(zé)任是什么。”

這是您需要盡快確定并完全理解的事情。坦率地說，這是一項(xiàng)乏味的任務(wù)。但是，它將為您提供有價(jià)值的信息，這些信息可能會(huì)影響您的安全策略并在出現(xiàn)問題時(shí)指導(dǎo)您的行動(dòng)。

您和您的 CSP 之間的責(zé)任劃分

正如我們上面提到的，您對云安全的責(zé)任將根據(jù)您的提供商和您使用的云服務(wù)而有所不同。但是，您可以查看一些可能有助于更輕松地確定責(zé)任分工的事項(xiàng)。

您的責(zé)任：云中的安全性

在大多數(shù)情況下，云提供商希望您擁有以下所有權(quán)：

• 身份 - 您將對團(tuán)隊(duì)中使用云服務(wù)的人員負(fù)責(zé)。
• 數(shù)據(jù) 保護(hù) - 此外，通過適當(dāng)?shù)拇鎯?chǔ)和文件共享策略保護(hù)您的數(shù)據(jù)也是您的責(zé)任的一部分。
• 訪問管理 - 您還需要管理誰可以訪問什么。這包括向組織內(nèi)和組織外的用戶授予權(quán)限。
• 端點(diǎn) - 這是指您在連接到服務(wù)時(shí)將使用的設(shè)備和端點(diǎn)安全性。您有責(zé)任確保它們始終處于修補(bǔ)和最新狀態(tài)。

雖然您肩上的責(zé)任級別可能會(huì)有一些細(xì)微的變化，但上述項(xiàng)目是您最終需要確保的關(guān)鍵事項(xiàng)。根據(jù)經(jīng)驗(yàn)，如果它是您可以控制的，例如授予數(shù)據(jù)訪問權(quán)限和在您的設(shè)備上使用端點(diǎn)保護(hù)，那么這是您的責(zé)任。

CSP 責(zé)任：云安全

除非您擁有本地云服務(wù)器，否則您的 CSP 將負(fù)責(zé)確保服務(wù)的軟件和硬件安全且正常工作。這包括操作系統(tǒng)、數(shù)據(jù)中心和網(wǎng)絡(luò)的物理安全以及主機(jī)基礎(chǔ)設(shè)施。換句話說，如果您無法觸摸的東西屬于您的提供者，那么責(zé)任就完全落在他們身上。

共同責(zé)任：取決于不同的因素

到目前為止，這非常簡單。然而，這就是它變得有點(diǎn)泥濘的地方。根據(jù) Swarowski 的說法，一些云提供商提供高級工具和設(shè)置，允許您自定義其服務(wù)的某些功能。

AWS 調(diào)用這些共享控件。它指的是適用于基礎(chǔ)設(shè)施和客戶層但在不同的上下文或視角中的控制。在共享控制中，您的 CSP 將提供對基礎(chǔ)架構(gòu)的要求，并且您必須在使用云服務(wù)時(shí)提供自己的控制實(shí)現(xiàn)。

例如，您的 CSP 將維護(hù)其基礎(chǔ)設(shè)施設(shè)備的配置。但是，您必須通過自己的配置來分擔(dān)責(zé)任，例如您的客戶操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序。雖然這種級別的控制非常適合幫助您根據(jù)需要定制事情，但它也使責(zé)任分工變得有些棘手。

“旋轉(zhuǎn)這些東西很容易，”施華洛世奇說。“但如果你只是[離開]默認(rèn)設(shè)置，它可能會(huì)完全暴露在互聯(lián)網(wǎng)上，任何人都可能偶然發(fā)現(xiàn)你的東西并獲得訪問權(quán)限，”他補(bǔ)充道。而且，如果發(fā)生這種情況，責(zé)任將落在您身上，而不是您的 CSP。

了解如何正確配置云設(shè)置對于從中獲得所需輸出和正確保護(hù)服務(wù)至關(guān)重要。那是你的責(zé)任。

準(zhǔn)備好承擔(dān)保護(hù)云的責(zé)任了嗎？

保護(hù)云是您和您的 CSP 共同的責(zé)任。雖然他們的任務(wù)是確保云服務(wù)的安全性，但您也需要負(fù)責(zé)保護(hù)您的數(shù)據(jù)。根據(jù)經(jīng)驗(yàn)，您可以控制的任何事情，例如授予訪問權(quán)限和其他設(shè)置配置，都是您的責(zé)任。您的 CSP 對它之外的一切負(fù)責(zé)，例如數(shù)據(jù)中心位置和安全性。