安全性是云供應(yīng)商和客戶之間共同承擔(dān)的責(zé)任。因?yàn)樵乒?yīng)商在進(jìn)行操作和管控時(shí)，按需靈活組合使用物理和虛擬化IT及IDC資源，這種共享模型有助于減輕客戶的運(yùn)營(yíng)負(fù)擔(dān)。

目前，當(dāng)客戶在基礎(chǔ)設(shè)施即服務(wù)(IaaS)平臺(tái)上部署應(yīng)用程序時(shí)，客戶承擔(dān)著管理操作系統(tǒng)的責(zé)任，包括更新安全補(bǔ)丁、關(guān)聯(lián)應(yīng)用程序和配置網(wǎng)絡(luò)防火墻。針對(duì)云環(huán)境中的虛擬項(xiàng)目實(shí)例來(lái)講，客戶需要仔細(xì)考慮如何選擇云服務(wù)，這具體取決于所使用的服務(wù)與IT環(huán)境的集成和法律法規(guī)的適用情況等等。

隨著無(wú)服務(wù)器計(jì)算(FaaS或功能即服務(wù))的引入，安全責(zé)任更加向云供應(yīng)商轉(zhuǎn)移，企業(yè)可轉(zhuǎn)移更多事項(xiàng)以專注于核心業(yè)務(wù)。但是，通過(guò)將安全責(zé)任轉(zhuǎn)移到云，公司從中真正獲得了多少收益?

[[258128]]

核心要求：從物理安全到應(yīng)用安全

以下項(xiàng)自下而上列出，從物理層延伸至應(yīng)用層。

• 物理基礎(chǔ)設(shè)施，物理邊界和硬件的訪問(wèn)限制
• 安全配置基礎(chǔ)設(shè)施和系統(tǒng)
• 定期測(cè)試所有系統(tǒng)和進(jìn)程(操作系統(tǒng)、服務(wù))的安全性
• 識(shí)別和認(rèn)證對(duì)系統(tǒng)的訪問(wèn)(操作系統(tǒng)、服務(wù))
• 修復(fù)操作系統(tǒng)中的缺陷
• 加強(qiáng)操作系統(tǒng)和服務(wù)
• 保護(hù)所有系統(tǒng)免受惡意軟件和后門(mén)的侵害
• 修復(fù)運(yùn)行時(shí)環(huán)境和相關(guān)軟件包中的漏洞
• 預(yù)防并實(shí)施存儲(chǔ)保護(hù)
• 細(xì)分網(wǎng)絡(luò)
• 監(jiān)控所有網(wǎng)絡(luò)資源和訪問(wèn)
• 安裝和維護(hù)網(wǎng)絡(luò)防火墻
• 網(wǎng)絡(luò)層DoS保護(hù)
• 用戶身份驗(yàn)證
• 訪問(wèn)應(yīng)用程序和數(shù)據(jù)時(shí)的權(quán)限控制
• 記錄并維護(hù)對(duì)應(yīng)用程序和所有訪問(wèn)數(shù)據(jù)的審計(jì)及跟蹤
• 部署應(yīng)用層防火墻以進(jìn)行事件數(shù)據(jù)審查
• 檢測(cè)并修復(fù)第三方附屬項(xiàng)中的漏洞
• 使用權(quán)限更低的IAM(身份識(shí)別與訪問(wèn)管理)角色和權(quán)限
• 實(shí)施合法的應(yīng)用程序運(yùn)營(yíng)
• 數(shù)據(jù)防泄密
• 在開(kāi)發(fā)過(guò)程中靜態(tài)掃描代碼和配置
• 維護(hù)無(wú)服務(wù)器或云資產(chǎn)庫(kù)存
• 刪除超時(shí)或未使用的云服務(wù)和功能
• 持續(xù)監(jiān)控錯(cuò)誤和安全事件

IaaS：供應(yīng)商與客戶

在IaaS上開(kāi)發(fā)應(yīng)用程序時(shí)，安全責(zé)任大致分為以下幾種：

1. 云供應(yīng)商責(zé)任：

• IT基礎(chǔ)設(shè)施、物理邊界和硬件的訪問(wèn)限制
• 安全配置基礎(chǔ)設(shè)施和系統(tǒng)

2. 客戶責(zé)任：

• 定期測(cè)試所有系統(tǒng)和進(jìn)程(操作系統(tǒng)，服務(wù))的安全性
• 識(shí)別和認(rèn)證對(duì)系統(tǒng)的訪問(wèn)(操作系統(tǒng)，服務(wù))
• 修補(bǔ)操作系統(tǒng)中的缺陷
• 加強(qiáng)操作系統(tǒng)和服務(wù)
• 保護(hù)所有系統(tǒng)免受惡意軟件和后門(mén)的侵害
• 修復(fù)運(yùn)行時(shí)環(huán)境和相關(guān)軟件包中的缺陷
• 預(yù)防并進(jìn)行存儲(chǔ)保護(hù)
• 細(xì)分網(wǎng)絡(luò)
• 跟蹤和監(jiān)控所有網(wǎng)絡(luò)資源和訪問(wèn)
• 安裝和維護(hù)網(wǎng)絡(luò)防火墻
• 網(wǎng)絡(luò)層DoS保護(hù)
• 用戶身份驗(yàn)證
• 訪問(wèn)應(yīng)用程序和數(shù)據(jù)時(shí)的權(quán)限控制
• 記錄和維護(hù)對(duì)應(yīng)用程序和所有訪問(wèn)數(shù)據(jù)的審計(jì)及跟蹤
• 部署應(yīng)用層防火墻以進(jìn)行事件數(shù)據(jù)審查

無(wú)服務(wù)器(FaaS)：供應(yīng)商與客戶

在無(wú)服務(wù)器架構(gòu)上開(kāi)發(fā)應(yīng)用程序時(shí)應(yīng)如何分擔(dān)責(zé)任：

1. 云供應(yīng)商責(zé)任：

• 物理基礎(chǔ)設(shè)施，物理邊界和硬件的訪問(wèn)限制
• 安全配置基礎(chǔ)設(shè)施和系統(tǒng)
• 定期測(cè)試所有系統(tǒng)和進(jìn)程(操作系統(tǒng)，服務(wù))的安全性
• 識(shí)別和認(rèn)證對(duì)系統(tǒng)的訪問(wèn)(操作系統(tǒng)，服務(wù))
• 修復(fù)操作系統(tǒng)中的缺陷
• 加強(qiáng)操作系統(tǒng)和服務(wù)
• 保護(hù)所有系統(tǒng)免受惡意軟件和后門(mén)的侵害
• 修復(fù)運(yùn)行時(shí)環(huán)境和相關(guān)軟件包中的缺陷
• 預(yù)防并進(jìn)行存儲(chǔ)保護(hù)
• 細(xì)分網(wǎng)絡(luò)
• 跟蹤和監(jiān)控所有網(wǎng)絡(luò)資源和訪問(wèn)
• 安裝和維護(hù)網(wǎng)絡(luò)防火墻
• 網(wǎng)絡(luò)層DoS保護(hù)

2. 客戶責(zé)任：

• 用戶身份驗(yàn)證
• 訪問(wèn)應(yīng)用程序和數(shù)據(jù)時(shí)的授權(quán)控制
• 記錄和維護(hù)對(duì)應(yīng)用程序和所有訪問(wèn)數(shù)據(jù)的審計(jì)及跟蹤
• 部署應(yīng)用程序?qū)臃阑饓σ赃M(jìn)行事件數(shù)據(jù)檢查
• 檢測(cè)并修復(fù)第三方附屬項(xiàng)中的漏洞
• 使用權(quán)限更低的IAM(身份識(shí)別與訪問(wèn)管理)角色和權(quán)限
• 實(shí)施合法的應(yīng)用程序行為
• 數(shù)據(jù)防泄密
• 在開(kāi)發(fā)過(guò)程中靜態(tài)掃描代碼和配置
• 維護(hù)無(wú)服務(wù)器或云資產(chǎn)庫(kù)存
• 刪除超時(shí)或未使用的云服務(wù)和功能
• 持續(xù)監(jiān)控錯(cuò)誤和和安全事件