《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 云服務(wù)中的安全責(zé)任共擔(dān)模型

云服務(wù)中的安全責(zé)任共擔(dān)模型

2022-11-08
來(lái)源:安全牛
關(guān)鍵詞: 云服務(wù)

  所有組織,無(wú)論是小型,、中型還是大型組織,都在通過(guò)采用云服務(wù)進(jìn)行快速轉(zhuǎn)型,?!霸啤边@個(gè)術(shù)語(yǔ)很寬泛,但它可以被定義為按需交付或作為服務(wù)交付的IT服務(wù)組合,。向云服務(wù)的轉(zhuǎn)型最初預(yù)計(jì)會(huì)在未來(lái)五年內(nèi)完成,,但現(xiàn)在正在加速。

  許多組織使用基于云的解決方案并采用云優(yōu)先戰(zhàn)略來(lái)快速發(fā)展其數(shù)字基礎(chǔ)設(shè)施建設(shè),。這幫助了通過(guò)混合多云架構(gòu)從任何地方實(shí)現(xiàn)順暢,、安全的連接,并提高了敏捷性以滿足快速發(fā)展的業(yè)務(wù)需求,。因此,,云運(yùn)營(yíng)已經(jīng)達(dá)到了意想不到的成熟度和可用性水平。

  云服務(wù)部署模式

  云服務(wù)提供商根據(jù)客戶的需求提供各種類(lèi)型的云環(huán)境,,這些需求可以大致分為所有權(quán),、訪問(wèn)級(jí)別和規(guī)模。這些云部署模式包括公有云,、私有云,、混合云和社區(qū)云。

  公有云

  公有云部署模式是第三方按使用付費(fèi)的方式通過(guò)互聯(lián)網(wǎng)向其客戶提供的計(jì)算服務(wù),。這使客戶能夠利用云提供的可伸縮性和靈活性,,而無(wú)需承擔(dān)與購(gòu)買(mǎi)、管理和維護(hù)底層基礎(chǔ)設(shè)施相關(guān)的成本,。

  由于其多租戶架構(gòu),,公有云確實(shí)有其局限性。例如,它不提供對(duì)底層基礎(chǔ)設(shè)施(如管理程序,、網(wǎng)絡(luò)設(shè)備或其他服務(wù))的控制,。對(duì)于在國(guó)防、政府,、銀行等領(lǐng)域從事敏感工作的一些組織來(lái)說(shuō),,這可能是一個(gè)高風(fēng)險(xiǎn)因素,。公有云的其他主要限制包括:

  公有云服務(wù)提供商提供了一種一刀切的方法,,這可能不適用于某些組織。

  公有云模式中提供的服務(wù)可能不符合某些政府法規(guī),,這對(duì)金融業(yè)尤其重要,。

  云基礎(chǔ)設(shè)施中的一個(gè)安全漏洞可能容易使整個(gè)環(huán)境及其所有客戶受到攻擊。

  “這場(chǎng)疫情提供了充分的證據(jù),,表明在一個(gè)組織的過(guò)程中保持韌性,,以迅速應(yīng)對(duì)市場(chǎng)中斷并從市場(chǎng)中斷中恢復(fù)是至關(guān)重要的?!?/p>

  私有云

  私有云是專用于某一企業(yè)或組織的云計(jì)算環(huán)境,。它通過(guò)額外的控制以及更高級(jí)別的安全和隱私來(lái)提供公有云的所有優(yōu)勢(shì)。私有云中的服務(wù)和基礎(chǔ)架構(gòu)始終在私有網(wǎng)絡(luò)上維護(hù),。云本身可以位于組織的數(shù)據(jù)中心,,也可以由第三方服務(wù)提供商托管。但是,,在選擇云部署模式時(shí)還有其他考慮因素:

  私有云提供專用計(jì)算資源,,其成本高于公有云,后者的成本在多個(gè)租戶之間分配,。

  私有云需要云基礎(chǔ)設(shè)施的持續(xù)支持和維護(hù),。

  私有云適用于需要對(duì)其數(shù)據(jù)或運(yùn)營(yíng)進(jìn)行更高控制的組織,如政府機(jī)構(gòu),、金融機(jī)構(gòu)或醫(yī)療保健組織,。

  “責(zé)任共擔(dān)模型是定義云服務(wù)提供商與其客戶之間安全責(zé)任的框架?!?/p>

  混合云

  混合云將私有云和公有云結(jié)合在一起,。此方法適用于具有關(guān)鍵業(yè)務(wù)需求的大型組織,例如監(jiān)管要求特殊而無(wú)法移入公有云的遺留應(yīng)用程序,、安全要求高或延遲要求低的系統(tǒng),。混合云模式使組織能夠從公有云的靈活性和私有云的安全性中獲益,。

  社區(qū)云

  在社區(qū)云計(jì)算模式中,,云基礎(chǔ)設(shè)施在來(lái)自特定社區(qū)的不同組織之間共享,例如銀行,、貿(mào)易公司或醫(yī)療器械制造商,。此模式介于公有云和私有云之間,,非常適合受類(lèi)似監(jiān)管要求約束、開(kāi)展聯(lián)合合作項(xiàng)目或共享貿(mào)易資源的組織,。

  服務(wù)模式

  云服務(wù)提供商主要基于三種標(biāo)準(zhǔn)服務(wù)模式提供服務(wù):基礎(chǔ)設(shè)施即服務(wù)(IaaS),、平臺(tái)即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)。這些模型提供了不同程度的抽象,,因此被描述為堆棧中的不同層:基礎(chǔ)設(shè)施,、平臺(tái)和應(yīng)用程序服務(wù)。

  基礎(chǔ)設(shè)施即服務(wù)

  IaaS也稱為硬件即服務(wù)(HaaS),,它通過(guò)互聯(lián)網(wǎng)按需向客戶提供服務(wù)提供商擁有的計(jì)算資源,。服務(wù)提供商管理和維護(hù)基礎(chǔ)設(shè)施,這包含了幾個(gè)好處,,例如幫助組織省去購(gòu)買(mǎi)和管理物理基礎(chǔ)設(shè)施相關(guān)的成本,,并且能夠根據(jù)需求擴(kuò)展和縮減資源。

  平臺(tái)即服務(wù)

  PaaS提供商提供軟件和硬件計(jì)算資源,,允許開(kāi)發(fā)人員創(chuàng)建,、測(cè)試和運(yùn)行應(yīng)用程序,而無(wú)需維護(hù)物理基礎(chǔ)設(shè)施或軟件,。它提供了一個(gè)運(yùn)行時(shí)環(huán)境,,提供了幾個(gè)好處:

  由于云服務(wù)提供商提供了安全功能和目錄等應(yīng)用程序組件,因此大大縮短了編碼時(shí)間,。

  對(duì)于沒(méi)有資源購(gòu)買(mǎi)軟件的組織來(lái)說(shuō),,按使用付費(fèi)模式使其成為一種經(jīng)濟(jì)高效的選擇。

  客戶可以專注于其核心競(jìng)爭(zhēng)力,,而無(wú)需維護(hù)和管理底層資源,。

  軟件即服務(wù)

  SaaS是一種服務(wù)交付模式,通過(guò)這種模式,,完整的應(yīng)用程序通過(guò)互聯(lián)網(wǎng)交付給客戶,。SaaS客戶無(wú)需購(gòu)買(mǎi)、管理或維護(hù)復(fù)雜的硬件或軟件,。SaaS的主要優(yōu)勢(shì)包括:

  具有顯著的成本效益優(yōu)勢(shì),,因?yàn)镾aaS應(yīng)用程序通常托管在多租戶環(huán)境中,與硬件和軟件許可證相關(guān)的成本是分散的,。

  能夠根據(jù)需求擴(kuò)展和縮減資源,,而無(wú)需考慮硬件或軟件管理或成本。

  責(zé)任共擔(dān)模型

  責(zé)任共擔(dān)模型是定義云服務(wù)提供商及其客戶之間的安全責(zé)任的框架(圖1),。對(duì)于計(jì)劃遷移到云或已經(jīng)遷移到云的組織來(lái)說(shuō),,它已經(jīng)發(fā)展成為一個(gè)有趣的新概念。客戶的責(zé)任取決于他們選擇使用的服務(wù)類(lèi)型,。一般來(lái)說(shuō),,云服務(wù)提供商負(fù)責(zé)管理安全,客戶負(fù)責(zé)保護(hù)自己在云中的資產(chǎn),。

  微信圖片_20221108142507.jpg

  由于云服務(wù)類(lèi)型之間以及相同類(lèi)型的服務(wù)提供商之間的差異,,增加了復(fù)雜性??刂祁I(lǐng)域是雙方的責(zé)任,,如合規(guī)性。

  在IaaS中,,服務(wù)提供商的責(zé)任包括設(shè)施,、數(shù)據(jù)中心和網(wǎng)絡(luò)組件等物理區(qū)域,。云服務(wù)提供商的責(zé)任還延伸到運(yùn)行應(yīng)用程序和代碼的主機(jī)操作系統(tǒng),。

  客戶可能需要承擔(dān)的責(zé)任:

  安全配置云服務(wù)器工作負(fù)載;

  識(shí)別和修復(fù)已知漏洞,;

  實(shí)施分段規(guī)則,;

  應(yīng)用運(yùn)行時(shí)預(yù)防、檢測(cè)和糾正控制,。

  在PaaS模式中,,服務(wù)提供商還管理客戶操作系統(tǒng),以便客戶可以專注于應(yīng)用程序開(kāi)發(fā),,確保應(yīng)用程序和數(shù)據(jù)安全控制到位,。

  SaaS模式讓服務(wù)提供商承擔(dān)最大責(zé)任,例如管理物理,、基礎(chǔ)設(shè)施和應(yīng)用程序級(jí)別的控制,。但是,客戶仍然擁有數(shù)據(jù)和與訪問(wèn)相關(guān)的流程,。

  圖2提供了每個(gè)模式中典型云服務(wù)提供商與其客戶擁有的控制的摘要,。

  微信圖片_20221108142510.png

  采用云面臨的主要挑戰(zhàn)

  補(bǔ)充性用戶實(shí)體控制(CUECs),也稱為用戶控制注意事項(xiàng)(UCCs),,包含在供應(yīng)商的系統(tǒng)中,,客戶必須實(shí)施這些控制,以確保實(shí)現(xiàn)供應(yīng)商的控制目標(biāo),。將其資源轉(zhuǎn)移到云的組織通常認(rèn)為,,與這些資源的管理和安全相關(guān)的所有責(zé)任都已轉(zhuǎn)移到云服務(wù)提供商。然而,,事實(shí)并非如此,。在《揭開(kāi)云的神秘面紗:責(zé)任共擔(dān)安全模型》報(bào)告中,只有18%的受訪者提到他們完全理解他們?cè)谒蟹?wù)類(lèi)型中使用云的責(zé)任。這令人擔(dān)憂,。

  客戶應(yīng)注意的服務(wù)組織控制報(bào)告中的CUECs示例包括:

  邏輯訪問(wèn)-應(yīng)定期監(jiān)測(cè)對(duì)應(yīng)用程序的訪問(wèn)權(quán)限是否適當(dāng),,并驗(yàn)證職責(zé)是否充分分離。

  變更管理-客戶應(yīng)確定如何設(shè)置和管理變更,,并對(duì)照已建立的變更管理流程審查變更單的完整性,。

  接口管理-接口應(yīng)該被監(jiān)控,以確認(rèn)所有數(shù)據(jù)均已被接受和處理,,并已收到了預(yù)期結(jié)果,。

  業(yè)務(wù)連續(xù)性計(jì)劃實(shí)施-客戶應(yīng)審查業(yè)務(wù)連續(xù)性計(jì)劃是否到位,并確保其遵守業(yè)務(wù)恢復(fù)戰(zhàn)略,。

  “將資源轉(zhuǎn)移到云的組織往往以為,,與這些資源的管理和安全相關(guān)的所有責(zé)任都已轉(zhuǎn)移到了云服務(wù)提供商那里?!?/p>

  結(jié)論

  一旦客戶根據(jù)其云服務(wù)提供商的責(zé)任共擔(dān)模型了解到自己應(yīng)負(fù)的安全相關(guān)責(zé)任,,他們就必須確定適用于其用例的控制措施??蛻舻呢?zé)任因多種因素而異,,包括云服務(wù)及其選擇的模式、這些服務(wù)與其IT環(huán)境的集成以及適用于其組織和工作負(fù)擔(dān)的法律法規(guī),。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]