你的還是我的?談?wù)勗瓢踩?zé)任共擔(dān)模型
來(lái)源:原創(chuàng) 時(shí)間:2017-10-24 瀏覽:0 次
過(guò)去幾個(gè)月,安全界見(jiàn)證了多起重大云數(shù)據(jù)泄露事件。6月份1.97億美國(guó)選民的泄露事件,震驚全球。數(shù)周后,600萬(wàn)威瑞森用戶數(shù)據(jù),被其第三方合作伙伴Nice系統(tǒng)曝光。一周后,該起事件塵埃未定之時(shí),220萬(wàn)道瓊斯客戶個(gè)人信息又遭泄露。
過(guò)去,信息技術(shù)在企業(yè)內(nèi)部署時(shí),保護(hù)IT基礎(chǔ)設(shè)施的責(zé)任完全落在企業(yè)自身。云時(shí)代的到來(lái),對(duì)IT安全提出了新的規(guī)范要求。雖然可以照搬過(guò)去的安全模式,但“云”意味著部分安全責(zé)任必須倚仗合作伙伴。
上述3起泄露事件有幾個(gè)共同點(diǎn)。它們都因公開(kāi)可用的AWS S3 buckets而泄,但更重要的是,全部3起泄露事件都是客戶的人為失誤導(dǎo)致的。
云安全責(zé)任共擔(dān)模型初探
云服務(wù)提供商(CSP)已努力提升其安全能力。提供商一般都是大公司,有專門團(tuán)隊(duì)負(fù)責(zé)保護(hù)其基礎(chǔ)設(shè)施和產(chǎn)品安全,在資源投入上普通企業(yè)無(wú)法匹敵。
舉個(gè)例子,微軟每年都投入10億美元用于改善其產(chǎn)品安全。Salesforce,則以其Salesforce Shield的引入,持續(xù)擴(kuò)展其SaaS平臺(tái)安全性。Box在2016年發(fā)布其數(shù)據(jù)分類功能,進(jìn)一步增強(qiáng)客戶關(guān)鍵安全能力。
總的說(shuō)來(lái),CSP對(duì)其SaaS、PaaS和IaaS產(chǎn)品的安全負(fù)責(zé)。更具體講,CSP保護(hù)服務(wù)的底層基礎(chǔ)設(shè)施不受威脅、漏洞、濫用和欺詐的侵害。他們還負(fù)責(zé)為客戶提供主要安全功能,比如數(shù)據(jù)加密、身份與訪問(wèn)管理、多因子身份驗(yàn)證。
客戶負(fù)責(zé)云“中”安全,包括安全功能的恰當(dāng)配置,安裝更新和確保雇員不把敏感數(shù)據(jù)泄露給未授權(quán)方。這其間有些重合,尤其是在合規(guī)方面,但就絕大部分而言,提供商和客戶的責(zé)任是獨(dú)立的。
該關(guān)系就是所謂的責(zé)任共擔(dān)模型,這是現(xiàn)代云安全操作的基礎(chǔ)。
云“中”安全
隨著數(shù)據(jù)不斷移到云端,客戶有責(zé)任確保自身符合安全、監(jiān)管和合規(guī)要求。
比如說(shuō),CSP或許可以防止暴力破解登錄,但確保雇員在各個(gè)云服務(wù)上使用各不相同的安全口令以最小化賬戶風(fēng)險(xiǎn),是客戶自己的責(zé)任。
而且,盡管云技術(shù)可以簡(jiǎn)化共擔(dān)和協(xié)作,若客戶以不合規(guī)的方式意外共享敏感數(shù)據(jù)給第三方,數(shù)據(jù)泄露的責(zé)任也不在CSP。防范內(nèi)部惡意用戶(例如雇員在跳槽到競(jìng)爭(zhēng)對(duì)手之前下載了Salesforce的所有記錄),同樣歸屬客戶的責(zé)任范圍。
最后,恰當(dāng)配置大量原生安全功能(數(shù)據(jù)泄露防護(hù)、訪問(wèn)控制、活動(dòng)監(jiān)測(cè)),以及遵循基本安全最佳實(shí)踐,是云服務(wù)客戶應(yīng)負(fù)責(zé)的另一領(lǐng)域。
這方面的例證,是AWS建議:只授予用戶完成職責(zé)所需的最小權(quán)限。一旦客戶非必要地賦予用戶管理權(quán)限,那AWS就對(duì)保護(hù)客戶安全無(wú)能為力了。
云“的”安全
CSP有責(zé)任確保其基礎(chǔ)設(shè)施無(wú)漏洞。云服務(wù)的物理安全、對(duì)硬件或軟件的非授權(quán)物理訪問(wèn)預(yù)防,以及災(zāi)難和事件響應(yīng),也是CSP的責(zé)任。
災(zāi)難及事件響應(yīng)包括兩個(gè)主要方面。首先,業(yè)務(wù)持續(xù)性管理,也就是CSP必須確??捎眯院褪录憫?yīng)?;旧希?wù)必須在線正常運(yùn)行,而一旦出現(xiàn)問(wèn)題,CSP必須盡快修復(fù)。
第二個(gè)方面,環(huán)境或不可預(yù)知場(chǎng)景的處理。這包括保護(hù)數(shù)據(jù)中心不受斷電、洪水、地震和其他災(zāi)害的損傷。
進(jìn)一步詳細(xì)描述的話,你會(huì)發(fā)現(xiàn)SaaS提供商具體負(fù)責(zé)的東西,與PaaS和IaaS提供商有很大區(qū)別。對(duì)SaaS和PaaS而言,大部分網(wǎng)絡(luò)訪問(wèn)控制都是CSP設(shè)置的。而IaaS,網(wǎng)絡(luò)訪問(wèn)由提供商和客戶雙方控制。
比如說(shuō),AWS就為其客戶提供了AWS安全組的一個(gè)服務(wù)。安全組相當(dāng)于用來(lái)控制網(wǎng)絡(luò)流量的防火墻。AWS客戶負(fù)責(zé)恰當(dāng)配置安全組,以防止將自身暴露在DDoS攻擊之下。
前瞻
盡管AWS或微軟Azure這樣的CSP有他們自己的安全責(zé)任,只要使用云服務(wù)的企業(yè)沒(méi)能協(xié)同完成屬于自己那部分的責(zé)任,數(shù)據(jù)泄露就依然會(huì)繼續(xù)發(fā)生。Gartner預(yù)測(cè),到2020年,95%的云安全問(wèn)題,都是客戶的過(guò)錯(cuò)。
我們準(zhǔn)備好了嗎?
