阅读“云” | 云安全责任共担模型解读

自从大雄在阿尔法星球担任云计算厂商的安全岗位后，越来越多的朋友入驻了他公司的公有云，但大雄的烦恼也随之增多。

有些朋友经常抱怨大雄，因为他们的业务安全问题被攻击了，但大家的语气基本一致：我的业务在你的云上，我们上云时无法部署安全设备。制造商的责任。

就这样，大雄不得不耐心的向朋友解释一下，公有云的安全是大雄和朋友共同保障的。云计算厂商负责云平台本身的安全，而云的内部应用系统本身是安全的，云计算厂商对它们没有权限。，需要对朋友的公司负责。

就这样，在听到大雄的抱怨后，远在地球上的无牙高手给大雄寄了一个包裹。

一、大雄的时间胶囊

早上，快递小哥送了一个包裹。大雄打开一看，竟然是一个精致的锡盒，里面装着一个胶囊。胶囊标有日期：2010 年 8 月 5 日，坐标：圣何塞矿山，智利科皮亚波矿工计算的是什么，南美洲。

他按捺不住好奇，拧开胶囊，砰的一声，大雄头晕目眩，醒来发现一群人哭着跑来跑去，离黑森矿不远，像怪物一样喷着沙尘.

没错，大雄不小心打开了一个时间胶囊，体验了智利圣何塞的矿难。

当智利矿业部长找到矿主进行营救时，矿主表示，他一生经历过五次矿难，但无一获救。

全球每年有10000多名矿工死于采矿事故，但被发现的概率不到1%，幸存者的数量非常少。在地下 622 米的深处，有 33 条生命不确定。尽管如此，智利政府还是决定进行救援。

奇迹总是在绝望之后出现。第17天，被困矿工通过检测仪向地上传递了一张纸条：33人全部生还！第69天，33名被困矿工全部获救。

看着最后一名矿工登上救援舱，大雄在 622 米深的避难所内环顾四周。岩壁上挂满了矿工的遗言，与地面相连的DV播放着矿工与家人的欢乐对话。这种对比让大雄情绪激动，仿佛一觉醒来发现自己在家，手里还多了一张小纸片，上面写着：

“共同责任”。

共担责任是一个简单的词，却是对圣何塞矿难救援奇迹的全部概括。

一方面，智利政府充分承担了保护公民生命安全的责任。

规定矿山必须设置应急避难所，储备大量救生物资，以备不时之需，这是制度保障的前提。灾后，他们不遗余力地组织世界各地的力量开展人性化救援，利用高科技手段突破救援研究，在最短的时间内将所有人救起。

云计算厂商和智利政府一样，全面承担云平台本身的安全责任，全力维护云上客户的安全。

另一方面，被困矿工自愿承担井下自救责任。生死关头，33人之间没有内讧。他们团结互助，有条不紊地分发有限的食物和水，对获救始终抱有希望和信心。

另一方面，云客户就像自救的被困矿工。他们没有将安全保证完全放在云计算供应商身上，而忽略了自己的安全工作。

一方面依托云计算厂商的安全基础，另一方面利用各安全厂商的云产品安全功能、SaaS服务和虚拟化安全产品等，加强自身业务安全建设通过这些手段。

接到无牙大师的电话后，大雄意识到了大师的好意，想着下次遇到这些朋友，可以利用时间囊来对付他们。

二、打击更多人的故事

责任共担的模式自古就有。

除了向居民报告北京时间的功能外，还兼顾了发布警报、驱逐小偷、警告村民等服务。

半夜，老胖子从邻村回来，发现村东王寡妇家的窗户是开着的。他试图利用酒瘿来利用窗户。张梆子敲门的时候，用最大的声音喊道：海狮二更时关好门窗，防盗防盗。

昏昏欲睡的王寡妇被棒子吵醒了。她不经意地瞥了一眼窗外，发现一个猥琐的老头正盯着她发呆。成员们惊慌失措，消失在夜色中。

随着时间的推移，看守的工作逐渐消失，社区保安开始担负起公共安全的责任，安排专人三班倒巡逻，每家每户负责防火防盗他们自己的家。

老李中午躺在客厅沙发上打呼噜，忘记关门了。被拿出来的小哥在门廊上拿走了钱包和手机。老李生气了。这个臭毛病一直没有改正，不好意思把责任推到保安身上，只好拨打110联系保安获取监控录像。

社区治安的维护，要靠保安和民警，每家每户的防火防盗业主也必须承担相应的责任。这也是典型的责任分担模式。

就在保安和电影警察不会知道，主人小刘家的钥匙被朋友抄袭，盗窃事件发生在光天化日之下。云计算厂商不会知道客户在中马终端登录业务系统，导致管理员用户和密码被黑客窃取，这也是分担云安全责任的原因之一。

三、历史的必然性

云安全是一个复杂的系统，涵盖了云计算基础设施、操作系统、应用程序和数据等多个维度。云安全责任共担的模式也在业界达成共识。

中央网信办印发的《关于加强党政部门云计算服务网络安全管理的意见》明确党政部门在购买和使用云计算服务过程中应当遵循四大原则：

安全管理责任不变，数据归属不变，安全管理标准不变，敏感信息不出境。

从上面的引文可以看出，安全管理职责不会因为计算环境的变化而转移。用户之前在传统计算环境中面临的安全威胁同样存在于云计算环境中。

因此，无论是IaaS、PaaS，还是SaaS模式，安全责任总是分为两部分，一部分由云计算提供商承担矿工计算的是什么，另一部分由云客户承担，比如亚马逊AWS，微软 Azure 和阿里云。类模式。

有人可能会问，为什么公有云有责任共担模型？把所有的安全都留给 CSP 不是更好吗？

笔者也认同，依靠CSP专业安全团队的安全来运作无疑是最理想的方式，从而避免客户在云上安全能力参差不齐的被动局面。

但是，由于云服务模型的限制，对于 CSP，操作系统、应用程序和数据无法在预设的场景中进行控制。因此，CSP 注定无法承担 XaaS 模型中的所有安全责任。因此，云客户需要与SaaS服务商和安全厂商的虚拟化产品合作。

归根结底，共享安全责任是公共云安全最合适的解决方案。

对于 IaaS 服务，CSP 需要保证物理层、网络层和虚拟化层的安全，而用户需要保证操作系统、应用程序和数据的安全；

对于 PaaS 服务，操作系统安全也是 CSP 的责任，用户只需要对应用和数据的安全负责；

对于 SaaS 服务，用户负责数据安全，其他部分由 CSP 覆盖。

共享安全责任模型是公有云生存的基石，也是抵御黑客攻击的最有效策略。攻击者从不考虑安全漏洞的归属，但防御者需要具备识别和处理漏洞的能力。

对于 CSP 而言，数以万计的云上客户不断变化的安全需求促使其安全团队不断提升其底层安全能力。

如何解决云客户安全能力参差不齐的问题？这正是公有云安全生态建设要解决的核心问题。一朵盛开的花朵并不意味着冬天很远。只有百花盛开，预示着春天的到来。

归根结底，安全是我们的，也是你的。

* 作者：s3curity，本文属于FreeBuf原创打赏计划文章，未经允许禁止转载

漏洞框 VulBox

中国领先的互联网安全服务商

让安全仍然根深蒂固

原文源自微信公众号（漏洞框VulBox）：阅读“云” | 云安全责任共担模型解读