對于沒有明確責(zé)任的團(tuán)體來說，“共擔(dān)”或“共同”責(zé)任往往意味著，每個(gè)人都認(rèn)為有其他人在解決問題，但實(shí)際上誰也沒有去做。最終出現(xiàn)工作被耽誤，或是出了事情沒人負(fù)責(zé)的局面。

責(zé)任共擔(dān)模型和云服務(wù)提供商

云服務(wù)的“共享責(zé)任”模型是這樣的：云提供商保護(hù)低于某個(gè)級別（該級別通常是他們的軟件）的所有事情，并對其安全性負(fù)責(zé)。把這個(gè)級別當(dāng)做房子的地基的話，作為云租戶的責(zé)任是保護(hù)地基上的一切，即房子。

這種看似非常清晰的界限，其實(shí)經(jīng)不起檢驗(yàn)。因?yàn)闆]有任何一條簡單的線可以把地基和房子分開。地基是和房子連在一起的，兩者之間的互連結(jié)構(gòu)屬于房子完整性的一部分。如同云平臺及其上面運(yùn)行的應(yīng)用程序。

云錯(cuò)誤配置和工具的復(fù)雜化

真實(shí)的情況是，客戶如何配置云服務(wù)決定著應(yīng)用程序的安全性。比如，是否公開了Lambda函數(shù)（無服務(wù)器的核心組件）？Lake Formation（AWS上構(gòu)建數(shù)據(jù)湖的服務(wù)）的訪問控制啟用了嗎？AzureSqlDBServer（微軟云數(shù)據(jù)庫）上的高級數(shù)據(jù)安全選項(xiàng)打開了嗎？GCP（谷歌云）云函數(shù)是否具備了公共調(diào)用權(quán)限？在CDN網(wǎng)絡(luò)中，往往有很多人忘記隱藏源站域名。整合SaaS應(yīng)用時(shí)，API可被任意用戶調(diào)用，而不是專有用戶。

客戶在云上的安全遠(yuǎn)不只是上述的問題，因此好的云平臺會投入大量精力來盡量減少這些疏忽，避免不安全的默認(rèn)設(shè)置。但沒有一家云提供商能夠完美地提供所有的云服務(wù)，也不是所有的云平臺都能保證其系統(tǒng)的使用安全。更加糟糕的是，這些云提供商不會主動告知客戶各種不安全的配置選擇，尤其是他們在這方面做得特別差的話。

具有諷刺意味的是，為客戶提供最多安全服務(wù)的云平臺往往在使用這些服務(wù)時(shí)造成了最大的復(fù)雜性。每個(gè)工具包都需要大量的知識來正確使用它，以至于出現(xiàn)了專門提供正確配置云服務(wù)的企業(yè)。也許，是時(shí)候采用第三方風(fēng)險(xiǎn)管理流程了。