0x00 前言
云安全的职责范围实际上一直遵循的是,谁提供谁负责,如果交付给云消费者的时候,交付者使用过程中就要自行负责,也就是我们经常遇到的配置不当等问题,在三层服务模式中,责任互相嵌套,最后形成了责任共享的机制。
0x01 宏观拆分
根据NIST提供的云计算模型,三种云计算模式承担不同的责任。
1.IaaS
云服务商提供基本虚拟机机器服务,和服务器相关的问题由云服务商进行负责,而运行在上面的中间件和软件以及其他的内容都由云消费者来进行承担
2.PaaS
云服务商提供IaaS的内容+运行环境中间件,那么云消费者只需要关注运行软件的安全性即可。
3.SaaS
这种模式对于云消费者来说是非常省事的模式,只要关注使用过程中的管理即可,其余所有的安全都由云服务商来进行完成,非常适合中小型企业的业务快速展开,并且节省安全运维的费用和成本。
0x02 责任相关
- 云提供商需要明确自身责任范围,需要正确的设计实施这些安全职责和内容
- 云消费者需要建立责任矩阵,确定职责范围,满足合规标准。
其实就是需要一个统一的责任和负责表,相当于是基线,谁提供,那对应的部分的基线就由谁去做。云消费者一部分,云提供商一部分,出问题了自己担责处理即可。
目前找到的资料就是CAIQ以及云控制矩阵CCM。但是CAIQ目前没有找到中文的。
其实就是相当于是一个表,里面包含了很多责任划分的项,并且多达200,如果是要求安全合规的话,这里面的内容还是需要熟练掌握的才可以。
0x03 后记
云安全,可以划分为两个基础方向,一个是云安全合规,一个是云安全攻防。攻防的话只需要在意可能存在的攻击点即可,但是在云安全合规上来说,就是需要系统的了解学习每个合规项的内容,当然学习成本也会增加。就对于甲方安全的角度而言,云安全合规是必不可少的。
责任共担主要分为云提供商,以及云消费者,云提供商又分为IaaS,PaaS和SaaS三种提供商,可能是一个,也可能是三个提供商,要做的安全以及安全角度肯定就是综合的模式以及不同的角度,而单纯的云攻防就只需要关注攻击点即可。
