GB/T 31168—2014 信息安全技術 云計算服務安全能力要求4.1 云計算安全措施的實施責任
云計算環境的安全性由云服務商和客戶共同保障。在某些情況下,云服務商還要依靠其他組織提供計算資源和服務,其他組織也應承擔安全責任。因此,云計算安全措施的實施主體有多個,各類主體的安全責任因不同的云計算服務模式而異。
圖1 服務模式與控制范圍的關系
云計算有軟件即服務(SaaS)、平臺即服務(PaaS)、基礎設施即服務(IaaS)3種主要服務模式。不同服務模式下云服務商和客戶對計算資源的控制范圍不同,控制范圍則決定了安全責任的邊界。如圖1所示,圖中兩側的箭頭示意了云服務商和客戶的控制范圍,具體為:
在SaaS模式下,客戶僅需要承擔自身數據安全、客戶端安全等相關責任;云服務商承擔其他安全責任。
在PaaS模式下,軟件平臺層的安全責任由客戶和云服務商分擔。客戶負責自己開發和部署的應用及其運行環境的安全,其他安全由云服務商負責。
在IaaS模式下,虛擬機算資源層的安全責任由客戶和云服務商分擔。客戶負責自己部署的操作系統、運行環境和應用的安全,對這些資源的操作、更新、配置的安全和可靠性負責。云服務商負責虛擬機監視器及底層資源的安全。
圖1中,云計算的設施層(物理環境)、硬件層(物理設備)、資源抽象和控制層都處于云服務商的完全控制下,所有安全責任由云服務商承擔。應用軟件層、軟件平臺層、虛擬化計算資源層的安全責任責則由雙方共同承擔,越靠近底層的云計算服務(即IaaS),客戶的管理和安全責任越大;反之,云服務商的管理和安全責任越大。
考慮到云服務商可能還需要其他組織提供的服務,如SaaS或PaaS服務提供商可能依賴于IaaS服務提供商的基礎資源服務。在這種情況下,一些安全措施由其他組織提供。
因此,云計算安全措施的實施責任有4類,如表1所示。
表1 云計算安全措施的實施責任
| 責任 | 示例 |
|---|---|
| 云服務商承擔 | 在SaaS模式中,云服務商對平臺上安裝的軟件進行安全升級。 |
| 客戶承擔 | 在IaaS模式中,客戶對其安裝的應用中的用戶行為進行審計。 |
| 云服務商和客戶共同承擔 | 云服務商的應急演練計劃需要與客戶的應急演練計劃相協調。在實施應急演練時,需要客戶與云服務商相互配合。 |
| 其他組織承擔 | 有的SaaS服務提供商需要利用IaaS服務提供商的基礎設施服務,相應的物理與環境保護措施應由IasS服務提供商予以實施。 |
本標準不對客戶承擔的安全責任提出要求。客戶應參照GB/T AAAAA-AAAA及其他有關信息安全的標準規范落實其安全責任。
如云服務商依賴于其他組織提供的服務或產品,則其所承擔的安全責任直接或間接地轉移至其他組織,云服務商應以合同或其他方式對相應安全責任進行規定并予以落實。但是,云服務商仍是客戶或主管部門開展云計算服務安全管理的直接對象。
推薦文章: