更新时间:2024-05-11 GMT+08:00
分享

安全责任边界

  1. 过去,企业在内部IT基础设施建设时,安全性问题需要企业自己负责。而当迁移到云端,云服务提供商和云消费者在安全性问题上发生了变化——云提供商和云消费者对云系统中的计算资源有不同程度的控制。与传统IT系统(一个组织控制整个计算资源堆栈和系统的整个生命周期)相比,云提供商和云消费者协作设计、构建、部署和操作基于云的系统。
  2. 华为云作为国内进步最快的云厂商,在责任共担模型上也参考了业界最佳实践,并提出了自己的一些理解。如图所示,绿色部分由云厂商负责,蓝色部分由租户负责。云提供商负责服务自身的安全,提供安全的云;租户负责云服务内部的安全,也就是安全的使用云
    图1 华为云安全责任共担模型 来源:《华为云安全白皮》
  3. 华为云作为云供应商,主要依据同客户签订的服务水平协议(Service Level Agreement,简称SLA)承担数据保护责任,负责协议中基础设施、平台或软件的安全。并且凭借自身的技术优势,为客户提供了一系列与数据保护相关产品及服务。
  4. 华为云服务等级协议官网入口:https://www.huaweicloud.com/declaration/sla.html
  5. 中国用户考虑使用责任共担模型时,在国内仍然普遍存在的监管要求的大环境下,首先应当考虑合规要求与责任共担模型的结合。
  6. 最常见的情况是,企业安全主管必须考虑云计算环境下如何根据等级保护条例2.0进行定级。一般需要遵循如下的原则:
    • 将云平台作为基础设施,云租户企业业务系统作为信息系统分别定级。即云平台由云服务提供商申请进行等级保护定级,云平台上的租户业务系统单独申报定级。例如业务系统备案后确认为三级系统,则租户侧的安全责任需要按照三级的要求来设计实施。
    • 云平台不承载高于其安全保护等级的业务应用系统。公有云提供商一般有多个Region提供给租户,但是基本上普通的Region最高可以达到等保3级水平。假如某金融支付类业务系统,按照监管部门要求需要达到4级水平,则不能在普通的Region上面部署,必须在达到4级等保水平的特殊Region部署使用。云平台和租户参考责任共担模型分别履行4级等保水平的安全防护责任。
  7. 根据公安部《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》,按照IaaS,PaaS,SaaS三个层次,管理要求和技术要求两个分类,等保标准就云服务商和云租户的责任进行了更为细致的梳理(见下表):
    图2 基于等级保护三级的责任共担模型
  8. 云提供商的责任,可能由云自有团队提供技术、人员等手段满足,也可能委托授权给第三方安全运营,但责任仍然归属于云提供商。
  9. 租户(云消费者)的责任,在大企业中,由于组织分工的不同,可能进一步细分为基础设施团队、应用团队、安全团队等来承担,但责任仍然归属于云消费者。

相关文档