雲資料安全應由客戶和供應商共同承擔責任

隨著計算堆疊向下移動，客戶控制公共雲計算服務的數量，逐漸增加，軟體即服務(SaaS)很少甚至為零，基礎設施即服務(IaaS)占絕大部分。 雲安全責任也一樣：軟體即服務以及保證平臺和基礎設施安全的責任顯然落在了供應商身上。

但是隨著堆疊的深入，事情變得更糟。 談到IaaS，供應商和使用者之間的安全責任沒有明確的界線。 定義界線的責任落在客戶身上。

推廣最佳實踐和提高雲安全培訓的組織——雲安全聯盟的執行董事Jim Reavis表示：「從治理的視角、控制的視角、管理的視角來看，讓雲租戶或客戶明白這是一個共同的責任很重要。 」

識別安全缺口 理解安全規定

為了強調共同的安全責任，舉一個事實，即由於備受關注的IaaS問題，如2012年6月的亞馬遜中斷事件，不同的組織遭受了不同的後果。 Reavis介紹：「當資料離線時，一些組織幾乎倒閉了，而其它組織卻沒有出現任何停工期。 這表明客戶使資料處於他們的控制之中，也同時控制著他們的命運。 」

總部位於弗吉尼亞州的萊斯頓ScienceLogicIT的業務管理軟體的供應商、首席技術官Antonio Piraino表示，要實施適當的控制，雲租戶必須明白哪些地方存在安全性漏洞，「你必須知道你在買什麼。 一些人比其他人更關注安全。 」

加州洛杉磯的雲計算風險降低的顧問兼講師Thomas Trappler表示：「與雲中大多數事物一樣，安全也隨供應商的不同而不一樣，」例如，亞馬遜網路服務(AWS)提供「各式各樣的選擇，」他說，「這不只是任何一種AWS服務。 所以即使是在AWS服務範圍內，客戶負責的內容不同，你向亞馬遜付款買東西，承擔的責任也會有所差異。 」

最終，客戶得到他們所想要的，Piraino說：「如果你為雲服務買單，那麼你要為額外的安全和額外的正常執行時間和災害復原支付額外的費用。 」

由於(客戶從IaaS供應商採購的)計算堆疊的不同部分，安全責任的劃分進一步混淆。 Piraino說：「我們正看到IaaS和PaaS之間聯繫更加緊密;從根本上來講，(IaaS是)一種原始的計算基礎設施，」——低於作業系統(OS)，他解釋說，「最初，客戶負責配置(虛擬機器)、作業系統、安裝防火牆這類事情。 但是除了原始的虛擬機器，你可以購買IaaS。 可能會附帶一個作業系統或者是具有一些應用的資料庫。 你買的越多，IaaS供應商的責任就越大。 」

再來看AWS。 例如，「當涉及到對AWS部署具有惡意企圖的具體問題時，通常的經驗法則是，堆疊越高，負責工作負載或資料安全責任的AWS的能力越低，」他解釋說，「很簡單，在設施和物理基礎設施層， 採用AWS的能力和興趣來提供物理安全是最佳的做法，因為其專案大，但成本很低。 」

Piraino補充說：「在網路層和虛擬化層，就沒那麼簡單」。 對於AWS資料中心的資料傳輸——區域與亞馬遜彈性雲計算(EC2)或彈性塊存儲(EBS)技術之間——由AWS負責。

Piraino說：「同樣，AWS的工具集Xen系統管理程式負責它的基礎設施即服務——使雲產品中不可缺少的一部分轉讓擁有權，客戶沒有發言權，從而實現真正意義上的由AWS負責」。

培養正確的公共雲安全心態

組織將應用程式轉移到公共雲時，模式發生了轉變，Trappler說：「心態不同。 你思考的方式也必須有所不同。 這似乎是顯而易見的，但這很重要。 大家在說，‘我們從我們所習慣的——技術管理的解決方案——再到有人為我們做好的雲合同的管理解決方案。 我們怎麼知道他們所做的就是正確的呢?」

答案是：「總是恰到好處地確認並且按照合同履行義務(供應商)，你就能明白他們應該關注什麼，」Trappler說。 為此，瞭解供應商的基礎設施哪些部分被註冊和/或審計。 他說：「可能不是整個基礎設施。 中間通常有多個資料中心和點。 」

「合同就是針對供應商責任與顧客責任的界線問題，達成的共識，」他說，「你需要一個合同，來建立關係條款，對誰做什麼達成共識的條款。 然後要有客戶方的供應商管理來維持這種關係。 」