過去幾個月，安全界見證了多起重大云數(shù)據(jù)泄露事件。6月份1.97億美國選民的泄露事件，震驚全球。數(shù)周后，600萬威瑞森用戶數(shù)據(jù)，被其第三方合作伙伴Nice系統(tǒng)曝光。一周后，該起事件塵埃未定之時，220萬道瓊斯客戶個人信息又遭泄露。

[[203111]]

過去，信息技術(shù)在企業(yè)內(nèi)部署時，保護(hù)IT基礎(chǔ)設(shè)施的責(zé)任完全落在企業(yè)自身。云時代的到來，對IT安全提出了新的規(guī)范要求。雖然可以照搬過去的安全模式，但“云”意味著部分安全責(zé)任必須倚仗合作伙伴。

上述3起泄露事件有幾個共同點(diǎn)。它們都因公開可用的AWS S3 buckets而泄，但更重要的是，全部3起泄露事件都是客戶的人為失誤導(dǎo)致的。

云安全責(zé)任共擔(dān)模型初探

云服務(wù)提供商(CSP)已努力提升其安全能力。提供商一般都是大公司，有專門團(tuán)隊(duì)負(fù)責(zé)保護(hù)其基礎(chǔ)設(shè)施和產(chǎn)品安全，在資源投入上普通企業(yè)無法匹敵。

舉個例子，微軟每年都投入10億美元用于改善其產(chǎn)品安全。Salesforce，則以其Salesforce Shield的引入，持續(xù)擴(kuò)展其SaaS平臺安全性。Box在2016年發(fā)布其數(shù)據(jù)分類功能，進(jìn)一步增強(qiáng)客戶關(guān)鍵安全能力。

總的說來，CSP對其SaaS、PaaS和IaaS產(chǎn)品的安全負(fù)責(zé)。更具體講，CSP保護(hù)服務(wù)的底層基礎(chǔ)設(shè)施不受威脅、漏洞、濫用和欺詐的侵害。他們還負(fù)責(zé)為客戶提供主要安全功能，比如數(shù)據(jù)加密、身份與訪問管理、多因子身份驗(yàn)證。

客戶負(fù)責(zé)云“中”安全，包括安全功能的恰當(dāng)配置，安裝更新和確保雇員不把敏感數(shù)據(jù)泄露給未授權(quán)方。這其間有些重合，尤其是在合規(guī)方面，但就絕大部分而言，提供商和客戶的責(zé)任是獨(dú)立的。

該關(guān)系就是所謂的責(zé)任共擔(dān)模型，這是現(xiàn)代云安全操作的基礎(chǔ)。

云“中”安全

隨著數(shù)據(jù)不斷移到云端，客戶有責(zé)任確保自身符合安全、監(jiān)管和合規(guī)要求。

比如說，CSP或許可以防止暴力破解登錄，但確保雇員在各個云服務(wù)上使用各不相同的安全口令以最小化賬戶風(fēng)險，是客戶自己的責(zé)任。

而且，盡管云技術(shù)可以簡化共擔(dān)和協(xié)作，若客戶以不合規(guī)的方式意外共享敏感數(shù)據(jù)給第三方，數(shù)據(jù)泄露的責(zé)任也不在CSP。防范內(nèi)部惡意用戶(例如雇員在跳槽到競爭對手之前下載了Salesforce的所有記錄)，同樣歸屬客戶的責(zé)任范圍。

最后，恰當(dāng)配置大量原生安全功能(數(shù)據(jù)泄露防護(hù)、訪問控制、活動監(jiān)測)，以及遵循基本安全最佳實(shí)踐，是云服務(wù)客戶應(yīng)負(fù)責(zé)的另一領(lǐng)域。

這方面的例證，是AWS建議：只授予用戶完成職責(zé)所需的最小權(quán)限。一旦客戶非必要地賦予用戶管理權(quán)限，那AWS就對保護(hù)客戶安全無能為力了。

云“的”安全

CSP有責(zé)任確保其基礎(chǔ)設(shè)施無漏洞。云服務(wù)的物理安全、對硬件或軟件的非授權(quán)物理訪問預(yù)防，以及災(zāi)難和事件響應(yīng)，也是CSP的責(zé)任。

災(zāi)難及事件響應(yīng)包括兩個主要方面。首先，業(yè)務(wù)持續(xù)性管理，也就是CSP必須確?？捎眯院褪录憫?yīng)。基本上，服務(wù)必須在線正常運(yùn)行，而一旦出現(xiàn)問題，CSP必須盡快修復(fù)。

第二個方面，環(huán)境或不可預(yù)知場景的處理。這包括保護(hù)數(shù)據(jù)中心不受斷電、洪水、地震和其他災(zāi)害的損傷。

進(jìn)一步詳細(xì)描述的話，你會發(fā)現(xiàn)SaaS提供商具體負(fù)責(zé)的東西，與PaaS和IaaS提供商有很大區(qū)別。對SaaS和PaaS而言，大部分網(wǎng)絡(luò)訪問控制都是CSP設(shè)置的。而IaaS，網(wǎng)絡(luò)訪問由提供商和客戶雙方控制。

比如說，AWS就為其客戶提供了AWS安全組的一個服務(wù)。安全組相當(dāng)于用來控制網(wǎng)絡(luò)流量的防火墻。AWS客戶負(fù)責(zé)恰當(dāng)配置安全組，以防止將自身暴露在DDoS攻擊之下。

前瞻

盡管AWS或微軟Azure這樣的CSP有他們自己的安全責(zé)任，只要使用云服務(wù)的企業(yè)沒能協(xié)同完成屬于自己那部分的責(zé)任，數(shù)據(jù)泄露就依然會繼續(xù)發(fā)生。Gartner預(yù)測，到2020年，95%的云安全問題，都是客戶的過錯。

我們準(zhǔn)備好了嗎?