隨著企業(yè)不斷進(jìn)入云端，選擇云廠商以及同這個(gè)廠商簽訂合同一項(xiàng)重要的考慮就是要明確規(guī)定責(zé)任。大多數(shù)云環(huán)境以共享安全責(zé)任為特征，形成連續(xù)體。對(duì)于SaaS環(huán)境，SaaS提供商承擔(dān)了大部分的責(zé)任。對(duì)于基礎(chǔ)架構(gòu)即服務(wù)(IaaS)或者平臺(tái)即服務(wù)(PaaS)環(huán)境，廠商的責(zé)任更小，而客戶(hù)的更大。

在IaaS云環(huán)境中(為了簡(jiǎn)潔，這篇文章將吧IaaS和PaaS合并在一起)，廠商提供核心基礎(chǔ)架構(gòu)。也就是說(shuō)基礎(chǔ)的網(wǎng)絡(luò)、流程和存儲(chǔ)服務(wù)。客戶(hù)負(fù)責(zé)顆?；W(wǎng)絡(luò)管理、服務(wù)器管理和數(shù)據(jù)存儲(chǔ)管理。大部分主要的云安全考量都控制在客戶(hù)手上，客戶(hù)責(zé)任包括：

控制網(wǎng)絡(luò)訪問(wèn)(開(kāi)啟和關(guān)閉端口以及協(xié)議)

授權(quán)或者拒絕服務(wù)器和服務(wù)層訪問(wèn)(客戶(hù)負(fù)責(zé)服務(wù)器和服務(wù)配置)

設(shè)計(jì)、實(shí)施、維護(hù)和檢查應(yīng)用內(nèi)的訪問(wèn)控制

實(shí)施故障恢復(fù)和其他冗余解決方案

持續(xù)監(jiān)控訪問(wèn)、安全和可用性

通過(guò)設(shè)計(jì)、配置和操作的主要控制，客戶(hù)在確保IaaS環(huán)境安全的責(zé)任就是確保廠商(通過(guò)技術(shù)或者策略控制)不能訪問(wèn)服務(wù)器或者數(shù)據(jù)。廠商實(shí)施技術(shù)控制而不是依賴(lài)于策略更合適。作為一個(gè)限制技術(shù)控制的廠商的IaaS客戶(hù)而且較大依賴(lài)于策略和規(guī)程，理解廠商的監(jiān)控方法非常重要。確信廠商能夠且將會(huì)監(jiān)測(cè)未認(rèn)證的嘗試對(duì)于你的資源的訪問(wèn)。記?。耗繕?biāo)是限制你的廠商的數(shù)據(jù)和服務(wù)訪問(wèn)，同時(shí)他們能夠影響你的服務(wù)可用性。

隨著現(xiàn)在數(shù)據(jù)加密的新發(fā)展，廠商訪問(wèn)敏感信息已經(jīng)可以通過(guò)沒(méi)有加密密鑰的透視數(shù)據(jù)不可讀進(jìn)行可行控制。這種情況下的密鑰考慮就是維護(hù)加密密鑰的位移控制。大量IaaS廠商將會(huì)同意“禁止訪問(wèn)”場(chǎng)景，如果你的廠商對(duì)于密鑰訪問(wèn)施壓，你應(yīng)該嚴(yán)肅的重新考慮你們之間的關(guān)系。實(shí)施了數(shù)據(jù)加密，要記住依賴(lài)數(shù)據(jù)庫(kù)加密增加了風(fēng)險(xiǎn)。應(yīng)用可以成功查詢(xún)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)，就會(huì)擊敗加密工作。因?yàn)檫@個(gè)原因，***在應(yīng)用層投資實(shí)施加密和解密。

在同一個(gè)IaaS廠商簽訂合同時(shí)，你的職責(zé)包括：

選擇具有強(qiáng)壯技術(shù)控制的廠商，能夠阻止訪問(wèn)或者數(shù)據(jù)和服務(wù)中斷

在合適的地方加強(qiáng)合同關(guān)系，加強(qiáng)自身部分***的需求控制，最小化廠商部分的控制

開(kāi)發(fā)和實(shí)施技術(shù)控制，強(qiáng)化合同關(guān)系，監(jiān)測(cè)潛在服務(wù)終端和未授權(quán)訪問(wèn)嘗試

設(shè)計(jì)和實(shí)施評(píng)估程序，在合同和技術(shù)邊界上驗(yàn)證廠商的運(yùn)營(yíng)

簡(jiǎn)而言之，你的IaaS環(huán)境目標(biāo)就是限制廠商安全事件導(dǎo)致的風(fēng)險(xiǎn)，在評(píng)估中增加你發(fā)現(xiàn)不足技術(shù)和策略控制的可能性，最小化在事件發(fā)生時(shí)發(fā)現(xiàn)安全事件的可能性。