随着企业在疫情期间致力于为远程工作的员工提供支持,云计算的采用在过去一年中加速增长。尽管这种采用增长迅速,但企业经常误解一个关键的云计算概念:共享责任模型(SRM)。
许多企业管理者仍然在问“云计算安全吗”?这个问题在现在来说并不恰当。对于他们来说,更恰当的问题应该是,“作为安全团队,是否在保护我们在云中的份额?”。绝大多数云数据泄露/泄漏都是由企业本身造成的。根据调研机构Gartner公司的预测,到2025年,99%的云安全故障将是企业所犯的错误。因此,所有安全从业人员都必须了解他们的职责。
什么是共享责任模型?
共享责任模型描述了作为云计算客户的企业的责任以及云计算服务提供商的责任。云计算服务提供商负责云计算物理设施的安全,例如数据中心、电源、电缆、硬件等。企业负责云计算服务的安全,例如网络控制、身份和访问管理、应用程序配置和数据等。
也就是说,这种职责分工可以根据企业使用的服务模式而改变。在基本层面上,美国国家标准和技术研究院(NIST)定义了三种主要的云服务模型:
- 基础设施即服务(IaaS):在基础设施即服务(IaaS)模式下,云计算服务提供商负责物理数据中心、物理网络和物理服务器/托管的安全。
- 平台即服务(Paas):在平台即服务(Paas)模式中,云计算服务提供商承担更多的责任,例如修补(客户通常在这方面很糟糕,是导致安全事件的主要途径)和维护操作系统。
- 软件即服务(SaaS):在软件即服务(SaaS)中,企业只能在应用程序的配置设置中进行更改,其他一切的控制权都交给云计算服务提供商(例如Gmail)。
使用每种云计算服务都有一个权衡,企业需要放弃控制权以换取更多的交钥匙/管理经验,让云计算服务提供商处理更多的安全事项,并让企业专注于他们的核心竞争力。
每个云计算服务提供商都有不同版本的共享责任模型(SRM)。
安全从业人员如何为共享责任模型(SRM)做准备
虽然共享责任模型(SRM)涉及合同和财务影响等非安全问题,但它也包括若干安全考虑因素。安全从业者必须了解他们在共享责任模型(SRM)中的职责,基于他们使用的服务以及他们组织的实现和架构。还记得几乎所有的云计算数据事件都发生在共享责任模型(SRM)的客户端吗?这是理解共享责任模型(SRM)并确保完成了模型的一部分的主要原因。
企业的职责取决于其两个主要的安全角色:技术安全从业者或安全主管。技术安全从业者(如云安全工程师或云安全架构师)需要了解企业正在使用哪些云计算服务,如何安全地构建这些解决方案,以及企业的权限范围内哪些配置、设置和控制可以影响和引导更强健的安全态势。
技术安全专业人员还应该非常熟悉他们的公司正在使用的平台和服务,并了解如何安全地实现。云安全工程师/架构师通常与工程和开发团队合作。如果不能引导他们使用安全的解决方案,或者发现有风险的配置(记住这些配置是如何导致大多数云计算数据事件的),那么其所在的公司就可能面临巨大的风险。
企业可以向其合作的云计算服务提供商寻求安全资源。例如,AWS公司提供了一个令人难以置信的安全文档数据库,按类别(例如,计算、存储、安全、身份和合规性)细分,企业可以在其中找到与其组织所使用的每项服务相关的细节。这包括关于如何安全地配置服务、企业以操纵哪些配置以及故障排除指南的大量信息。
安全主管的主要考虑事项包括清点服务使用情况(必须知道企业内部正在使用什么服务,否则无法进行保护)、确保企业使用的服务符合适用的监管框架,以及了解合同/法律方面,例如云计算服务提供商服务等级协议(SLA),尤其是在事件响应计划等方面。
许多企业与云计算服务提供商建立伙伴关系并分担责任。这包括确保企业使用的服务符合其必须遵守的监管框架。超大规模云计算服务提供商使这些信息易于查找,AWS和Microsoft Azure等云计算供应商提供“范围内的服务”页面,企业可以在其中确定哪些服务符合哪些框架以及哪些仍在审批过程中。这有助于确保企业的团队不仅在云中构建强大且安全的架构和工作负载,也使用符合其适用框架的服务来避免合规性或监管问题。
各级安全从业人员应努力在其云环境中实现安全标准和最佳实践。这可能意味着从各自的云计算服务提供商实现安全最佳实践,或者为各自的云计算环境实施诸如互联网安全中心(CIS)基准之类的实践。
客户责任矩阵
处理共享责任模型(SRM)时的一个基本工件是客户责任矩阵(CRM),它列出了云计算服务提供商提供的控制以及留给云计算消费者的责任。美国联邦风险和授权管理计划(FedRAMP)是找到模板客户责任矩阵(CRM)并了解更多相关信息的好地方。FedRAMP是一个用于处理跨联邦政府消费的云服务产品的授权程序。
客户责任矩阵(CRM)是安全从业人员使用的重要工具。在共享责任模型(SRM)中,安全控制或者完全由云计算服务提供商提供,混合控制(责任落在云计算服务提供商和云客户身上),或者完全留给客户。安全从业人员可以利用客户责任矩阵(CRM)来清楚地了解这种安全控制描述。
使用云计算服务可以将某些安全控制和活动的责任转移给云计算服务提供商,让企业专注于他们的核心竞争力。也就是说,它创建了安全专业人员必须理解和适当处理的责任关系。需要记住的是,大多数云计算数据泄露都发生在共享责任模型(SRM)的客户端,归根结底,企业对自身的数据安全和声誉负有全部责任。
