欧美+在线播放,蜜臀av在线,久久久99久久久国产自输拍,免费 黄 色 人成 视频 在 线,免费+国产+国产精品

 
您的位置:首頁 >  新聞中心 > 行業(yè)動態(tài)
  行業(yè)動態(tài)
 

你的還是我的?談談云安全責任共擔模型

來源:原創(chuàng)    時間:2017-10-24    瀏覽:0 次

過去幾個月,安全界見證了多起重大云數(shù)據(jù)泄露事件。6月份1.97億美國選民的泄露事件,震驚全球。數(shù)周后,600萬威瑞森用戶數(shù)據(jù),被其第三方合作伙伴Nice系統(tǒng)曝光。一周后,該起事件塵埃未定之時,220萬道瓊斯客戶個人信息又遭泄露。
 
 
過去,信息技術在企業(yè)內部署時,保護IT基礎設施的責任完全落在企業(yè)自身。云時代的到來,對IT安全提出了新的規(guī)范要求。雖然可以照搬過去的安全模式,但“云”意味著部分安全責任必須倚仗合作伙伴。
 
上述3起泄露事件有幾個共同點。它們都因公開可用的AWS S3 buckets而泄,但更重要的是,全部3起泄露事件都是客戶的人為失誤導致的。
 
云安全責任共擔模型初探
 
云服務提供商(CSP)已努力提升其安全能力。提供商一般都是大公司,有專門團隊負責保護其基礎設施和產品安全,在資源投入上普通企業(yè)無法匹敵。
 
舉個例子,微軟每年都投入10億美元用于改善其產品安全。Salesforce,則以其Salesforce Shield的引入,持續(xù)擴展其SaaS平臺安全性。Box在2016年發(fā)布其數(shù)據(jù)分類功能,進一步增強客戶關鍵安全能力。
 
總的說來,CSP對其SaaS、PaaS和IaaS產品的安全負責。更具體講,CSP保護服務的底層基礎設施不受威脅、漏洞、濫用和欺詐的侵害。他們還負責為客戶提供主要安全功能,比如數(shù)據(jù)加密、身份與訪問管理、多因子身份驗證。
 
客戶負責云“中”安全,包括安全功能的恰當配置,安裝更新和確保雇員不把敏感數(shù)據(jù)泄露給未授權方。這其間有些重合,尤其是在合規(guī)方面,但就絕大部分而言,提供商和客戶的責任是獨立的。
 
該關系就是所謂的責任共擔模型,這是現(xiàn)代云安全操作的基礎。
 
云“中”安全
 
隨著數(shù)據(jù)不斷移到云端,客戶有責任確保自身符合安全、監(jiān)管和合規(guī)要求。
 
比如說,CSP或許可以防止暴力破解登錄,但確保雇員在各個云服務上使用各不相同的安全口令以最小化賬戶風險,是客戶自己的責任。
 
而且,盡管云技術可以簡化共擔和協(xié)作,若客戶以不合規(guī)的方式意外共享敏感數(shù)據(jù)給第三方,數(shù)據(jù)泄露的責任也不在CSP。防范內部惡意用戶(例如雇員在跳槽到競爭對手之前下載了Salesforce的所有記錄),同樣歸屬客戶的責任范圍。
 
最后,恰當配置大量原生安全功能(數(shù)據(jù)泄露防護、訪問控制、活動監(jiān)測),以及遵循基本安全最佳實踐,是云服務客戶應負責的另一領域。
 
這方面的例證,是AWS建議:只授予用戶完成職責所需的最小權限。一旦客戶非必要地賦予用戶管理權限,那AWS就對保護客戶安全無能為力了。
 
云“的”安全
 
CSP有責任確保其基礎設施無漏洞。云服務的物理安全、對硬件或軟件的非授權物理訪問預防,以及災難和事件響應,也是CSP的責任。
 
災難及事件響應包括兩個主要方面。首先,業(yè)務持續(xù)性管理,也就是CSP必須確保可用性和事件響應。基本上,服務必須在線正常運行,而一旦出現(xiàn)問題,CSP必須盡快修復。
 
第二個方面,環(huán)境或不可預知場景的處理。這包括保護數(shù)據(jù)中心不受斷電、洪水、地震和其他災害的損傷。
 
進一步詳細描述的話,你會發(fā)現(xiàn)SaaS提供商具體負責的東西,與PaaS和IaaS提供商有很大區(qū)別。對SaaS和PaaS而言,大部分網(wǎng)絡訪問控制都是CSP設置的。而IaaS,網(wǎng)絡訪問由提供商和客戶雙方控制。
 
比如說,AWS就為其客戶提供了AWS安全組的一個服務。安全組相當于用來控制網(wǎng)絡流量的防火墻。AWS客戶負責恰當配置安全組,以防止將自身暴露在DDoS攻擊之下。
 
前瞻
 
盡管AWS或微軟Azure這樣的CSP有他們自己的安全責任,只要使用云服務的企業(yè)沒能協(xié)同完成屬于自己那部分的責任,數(shù)據(jù)泄露就依然會繼續(xù)發(fā)生。Gartner預測,到2020年,95%的云安全問題,都是客戶的過錯。
 
我們準備好了嗎?