正在与云安全作斗争？共享责任模型如何提供帮助

将业务的运营元素转移到云端，对于企业来说是一个巨大的进步。它使他们能够快速扩展应用程序和服务，同时保持组织在应对不断变化的市场需求时的敏捷性。

然而，云采用的增加也会在管理数据安全时添加一定程度的混乱。遗憾的是，许多企业假设，当客户数据不在他们手中时，他们不对其是否受到保护负责。但这是一个危险的假设。

共享责任模型（SRM）被引入，以帮助企业和其云提供商在数字环境中划清安全责任的界限。下面，我们将更清楚地描述这个模型的构成以及它如何帮助您加强企业的安全态势。

什么是共享责任模型（SRM）？

有很多原因使企业决定将业务运营的部分或全部转移到云端。无需手动配置服务器、数据库或其他基础设施元素，可以帮助公司减少其开支并减轻内部团队的负担。然而，企业有时会忘记，卸载“管理”基础设施并不意味着卸载“责任”数据存储。

SRM将云服务提供商（CSP）和其合作的企业之间的责任分开。它基本上概述了哪些安全方面属于每方以及如何在关系的每一方管理和实施安全措施。

理解“云中的”与“云上的”

SRM围绕两个关键术语的规定构建：云上的和云中的。

当我们谈论云上的要求时，我们指的是CSP负责的内容。在这种情况下，您可以将CSP视为公寓楼的房东。他们负责整个建筑的安全，包括各种安全防护、安全门和入口协议，以及确保关键公用设施正常运行，例如管道和电气系统。

在云环境中，这意味着安装和维护所有网络设备，并解决任何潜在的服务需求，以保持环境的顺畅运行。

作为云客户，您负责云中的元素。例如，如果您是建筑物中的一个租户，并且不小心将门锁打开，导致有人偷走您的个人物品，房东不一定要承担责任。

如果您在云中存储信息，您始终对其安全负责的某种程度。虽然这并不一定意味着所有责任都在您，但您仍然负责诸如身份和访问管理（IAM）、应用程序安全和网络加固等事项。

责任的滑动规模

由于大多数云环境和其与CSP的关系的动态性质，SRM在责任方面以一定程度的滑动规模运作。以下是三种常见的云模型及其差异：

• 基础设施即服务（IaaS）：此模型让CSP负责保护某些基本的云组件。这包括物理数据中心、服务器、存储硬件和虚拟化层。云客户负责所有上述内容，包括保护客操作系统（OS）、管理所有中间件和运行时以及保护应用程序代码和其中的数据。
• 平台即服务（PaaS）：此模型将更多责任扩展到CSP，他们接管管理操作系统、数据库系统或运行时环境。他们还将维护平台本身。对于企业来说，这可以显著减少基础设施管理的负担，同时允许他们专注于管理和保护应用程序。
• 软件即服务（SaaS）：此模型是云用户最手工少的格式，因为它将全部基础设施责任转移到CSP。然而，这并不意味着安全责任完全转移。云用户仍然负责管理用户访问、权限和安全设置的管理员级别。

为什么理解SRM很重要

消除歧义

尽管许多组织担心他们在云安全方面最大的威胁是网络攻击，但云关系中的沟通不畅和误解也是一个问题。

如果CSP和其客户错误地假设对方正在处理某些安全任务，这可能会导致客户数据的严重漏洞。了解SRM有助于消除这种歧义，为双方在制定服务级别协议（SLA）和遵循相互要求时提供更多透明度。

避免过度委托陷阱

许多新进入云环境的企业误解了云中的责任工作原理。由于他们正在为“服务”付费，因此经常假设CSP代表企业处理一切。

然而，在云安全方面，您不希望陷入过度委托的陷阱，特别是在CSP设置的管理安全控制方面。SRM有助于保持这些责任的透明度，并让企业在执行数据保护策略时保持积极参与。

填补合规差距

了解安全合规标准有时会对进入云环境的企业来说不清楚。虽然所有CSP都有遵循特定合规框架的责任，但云用户在此区域也有责任。

SRM概述了CSP在基础设施管理方面的责任，同时仍然让云用户对应用程序和服务的构建和运行负责，特别是在客户数据的存储和访问方面。

共享责任模型如何帮助改善您的安全态势

澄清所有权并防止误解

您的本地和云环境中的每个安全任务都应具有明确的安全所有权。SRM使得消除安全责任的灰色区域变得更加容易，并允许您在内部和与CSP开发一致的治理。

正式的安全准备文档有助于减少可以被利用的漏洞数量，并消除基于假设的安全规划。

优化内部安全资源

了解云提供商在安全基础设施管理中的作用，使得保持安全团队专注于对业务最重要的领域变得更加容易。

这允许您将资源密集型的流程（如服务器补丁或数据库管理）卸载到您的CSP，从而使您的团队能够更专注于保护应用程序编码、设计和实施新的用户访问策略。

强制数据和身份中心

云基础设施组件可以在数据泄露期间被替换，但您的财务稳定性和商业声誉可能会在同一事件中遭受无法修复的损害。

应用SRM有助于企业将较少的依赖放在CSP上，以保持安全，并将更多时间花在开发可以应用于组织中的管理人员和其他关键利益相关者的一些重要安全原则上。

强制安全优先配置

大多数新的云服务提供了多个可配置的云安全设置。然而，缺乏对云配置漏洞的认识可能会导致未来出现重大安全风险。

SRM有助于企业专注于安全优先配置，优先考虑行业合规性而不是速度和便利性。许多安全框架现在围绕SRM策略构建，确保在部署之前，新的虚拟机或数据库配置符合严格的要求。

此外，外部渗透测试服务旨在了解SRM的要求，同时运行主动漏洞评估，以查看企业如何满足其相关责任。利用这些服务可以帮助组织压力测试其安全组、IAM策略和数据加密方法，以确保它们符合最佳行业标准。

通过审计日志提高可见性

由于SRM通常涉及云提供商和其客户之间的合作和透明度，因此它有助于使每个人都更加了解其安全加固的有效性。

安全审计和主动监控都是执行SRM策略的基本元素，适用于CSP和云客户。现在有许多云原生和第三方工具可供企业使用，以监控其云安全的整体强度，并快速有效地应对出现的安全风险。

所有这些都意味着更积极的安全规划，帮助减少发生的安全事件数量并降低数据泄露的风险。

将云安全放在首位

将共享责任模型视为您业务增长的核心战略至关重要。

了解和承认您在云安全中的作用有助于您避免对责任做出危险的假设，同时更积极地参与保护所有数字攻击面。