【51CTO.com快譯】Amazon Web Services (簡稱AWS)在云業(yè)務(wù)領(lǐng)域率先推出了責任分擔模式，意味著服務(wù)供應(yīng)商與云服務(wù)消費者需要共同為業(yè)務(wù)安全承擔責任。一方面，AWS與其它云服務(wù)供應(yīng)商負責確保云基礎(chǔ)設(shè)施層面的安全性，而企業(yè)客戶則對存在于云環(huán)境下的數(shù)據(jù)、網(wǎng)絡(luò)、應(yīng)用及操作系統(tǒng)進行保護。

[[174144]]

很明顯責任共享模式給安全性乃至合規(guī)性帶來了巨大影響。因此，在探討云環(huán)境下的合規(guī)性時，責任共享模式意味著：

您的云服務(wù)供應(yīng)商負責對云基礎(chǔ)設(shè)施進行合規(guī)保障。

您本身負責對云端的自有數(shù)據(jù)、網(wǎng)絡(luò)、應(yīng)用及操作系統(tǒng)進行合規(guī)保障。

下面我們將深入對此加以闡述。

云環(huán)境到底有何不同

在云環(huán)境當中，一切因素最終都將歸結(jié)于所有權(quán)與控制權(quán)。云計算的靈活性、可擴展性及成本效益優(yōu)勢在帶來諸多便利之外，也迫使企業(yè)客戶放棄自己的部分所有權(quán)及控制權(quán)。為了充分發(fā)揮這種優(yōu)勢同時保持數(shù)據(jù)安全及系統(tǒng)兼容效果，供求雙方都需要承擔一部分責任。

以下為面對責任分擔模式時，大家需要考慮的兩項主要因素：

1. HIPAA要求商業(yè)伙伴簽訂合規(guī)性合約

在與任何遵循HIPAA合規(guī)性要求的企業(yè)建立商業(yè)合作時，我們都必須簽訂一份商業(yè)合作合約。人本質(zhì)上講，這意味著其將利用責任分擔模式以實現(xiàn)合規(guī)性要求。如果其中一方企業(yè)未簽訂這一合約，則HIPAA建議大家拒絕與之建立合作。目前全部主流云服務(wù)供應(yīng)商皆在服務(wù)中為客戶提供HIPPA合規(guī)性保障。需要強調(diào)的是，這些協(xié)議往往只涵蓋部分服務(wù)。因此大家必須關(guān)注以下要點：

盡管并非全部框架都需要采用這種正式協(xié)定的形式，但其基本概念同樣適用于其它合規(guī)性遵循方式。例如，如果供應(yīng)商無法對自身基礎(chǔ)設(shè)施的PCI DSS標準做出直接且確切的描述，則可能意味著其不符合合規(guī)要求，這時大家應(yīng)當繼續(xù)物色其它更理想的供應(yīng)方。

***，如果您的云服務(wù)供應(yīng)商缺乏合規(guī)保障能力，而事故又真實出現(xiàn)，那么大家恐怕只能自求多福了。

2.確保了解自己的責任所在

要使用各類公有云計算基礎(chǔ)設(shè)施，大家首先需要了解自己需要為其中的哪些部分負責，從而滿足合規(guī)性要求。以下為供應(yīng)商需要負責的各大基本要素：

• 計算
• 存儲
• 數(shù)據(jù)庫
• 網(wǎng)絡(luò)

供應(yīng)商方面還需要負責其全球基礎(chǔ)設(shè)施，其中包括位于各服務(wù)區(qū)、可用區(qū)以及邊緣位置的服務(wù)器與其它硬件。

在另一方面，大家則需要負責以下要素的合規(guī)性保障：

• 平臺
• 應(yīng)用程序
• 身份與訪問管理工具及流程
• 操作系統(tǒng)
• 網(wǎng)絡(luò)
• 防火墻配置

不少企業(yè)認為，只要將應(yīng)用程序交付AWS，Amazon就會為其承擔全部責任。很明顯，實際情況并非如此。大家必須認真研究個中區(qū)別，并掌握策略設(shè)置與實際情況間的關(guān)聯(lián)。

責任分擔將為我們帶來強大的盟友

好消息是，在未來的業(yè)務(wù)運營當中我們將不再孤單。與AWS等值得信賴的技術(shù)巨頭合作，我們將在基礎(chǔ)設(shè)施層面擁有更為可靠的后盾。因此，我們只需要熟悉仍掌握在自己手中的部分，立足于細節(jié)做好充分準備，從而保證自上而下的整體合規(guī)性遵循。

原文標題：The Impact of the Cloud's Shared Responsibility Model on Compliance  作者：Anthony Alves

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】