先明責(zé)，再部署

時(shí)間：2022-03-18 12:21:01 | 來(lái)源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-18 12:21:01 來(lái)源：行業(yè)動(dòng)態(tài)

目前對(duì)云安全劃分最細(xì)的應(yīng)屬云安全聯(lián)盟的控制矩陣。云安全聯(lián)盟控制矩陣已經(jīng)迭代到了4.0版本，共劃分17個(gè)控制域，197個(gè)控制點(diǎn)，涵蓋了跟云相關(guān)的網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、管理安全等各個(gè)方面。要比較全面的探討云安全，可以參考云安全聯(lián)盟的控制矩陣。



另一個(gè)要考慮的就是云安全的責(zé)任共擔(dān)模型。根據(jù)IaaS、PaaS、SaaS的業(yè)務(wù)模式不同，云租戶(hù)和云服務(wù)提供商要?jiǎng)澐指髯孕璩袚?dān)的安全責(zé)任，IaaS模式的是從虛機(jī)開(kāi)始往上都由租戶(hù)自己做安全，PaaS模式是從應(yīng)用開(kāi)始往上都由租戶(hù)自己做安全，而SaaS模式是租戶(hù)只需要自己做數(shù)據(jù)安全。





從上圖可以看出，IaaS、PaaS、SaaS各業(yè)務(wù)模式下云租戶(hù)和云服務(wù)提供商需要各自承擔(dān)的責(zé)任范圍，包括責(zé)任范圍內(nèi)需要做的具體事情。比如主機(jī)安全，需要做防病毒、防入侵、系統(tǒng)加固、補(bǔ)丁管理。而IaaS模式下虛擬化安全部分是需要云租戶(hù)和云服務(wù)提供商都做事情的，這其實(shí)就是看云服務(wù)提供商的能力，他能提供哪些云原生的安全服務(wù)給云租戶(hù)，提供不了的還得是云租戶(hù)自己用第三方的能力自行建設(shè)，下面的安全管理和安全運(yùn)維部分也是一樣的道理。



接著我們就以AWS為例看看具體不同業(yè)務(wù)下的安全責(zé)任范圍是怎么分的，這個(gè)是基礎(chǔ)設(shè)施服務(wù)，也就是虛機(jī)（AWS EC2）服務(wù)，可以看到AWS認(rèn)為網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全都是租戶(hù)自己事情，其實(shí)AWS近兩年也做了很多云原生的安全服務(wù)給租戶(hù)，租戶(hù)可以自主選擇使用云原生的安全服務(wù)還是自己用第三方的能力自行建設(shè)。



這個(gè)是容器服務(wù)，也就是AWS EKS，不要以為容器服務(wù)就是PaaS，對(duì)于EKS來(lái)說(shuō)因?yàn)檫€是用的租戶(hù)的自己虛機(jī)承載容器，因此大家可以看到跟IaaS的安全責(zé)任共擔(dān)范圍劃分基本一致，網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全也都是租戶(hù)自己事情。



最后這個(gè)是抽象服務(wù)，這個(gè)是標(biāo)準(zhǔn)的PaaS了，AWS Fargate和AWS Lambda都是這種，也是咱們經(jīng)常聽(tīng)到的Serverless（無(wú)服務(wù)），這種業(yè)務(wù)下，租戶(hù)就只需自己做數(shù)據(jù)安全和用戶(hù)認(rèn)證了，其實(shí)通常用戶(hù)認(rèn)證服務(wù)都是云平臺(tái)直接提供的。