你的还是我的？谈谈云安全责任共担模型

过去几个月，安全界见证了多起重大云数据泄露事件。6月份1.97亿美国选民的泄露事件，震惊全球。数周后，600万威瑞森用户数据，被其第三方合作伙伴Nice系统曝光。一周后，该起事件尘埃未定之时，220万道琼斯客户个人信息又遭泄露。过去，信息技术在企业内部署时，保护IT基础设施的责任完全落在企业自身。云时代的到来，对IT安全提出了新的规范要求。虽然可以照搬过去的安全模式，但“云”意味着部分安全责任必须倚仗合作伙伴。上述3起泄露事件有几个共同点。它们都因公开可用的AWS S3 buckets而泄，但更重要的是，全部3起泄露事件都是客户的人为失误导致的。云安全责任共担模型初探云服务提供商(CSP)已努力提升其安全能力。提供商一般都是大公司，有专门团队负责保护其基础设施和产品安全，在资源投入上普通企业无法匹敌。举个例子，微软每年都投入10亿美元用于改善其产品安全。Salesforce，则以其Salesforce Shield的引入，持续扩展其SaaS平台安全性。Box在2016年发布其数据分类功能，进一步增强客户关键安全能力。总的说来，CSP对其SaaS、PaaS和IaaS产品的安全负责。更具体讲，CSP保护服务的底层基础设施不受威胁、漏洞、滥用和欺诈的侵害。他们还负责为客户提供主要安全功能，比如数据加密、身份与访问管理、多因子身份验证。客户负责云“中”安全，包括安全功能的恰当配置，安装更新和确保雇员不把敏感数据泄露给未授权方。这其间有些重合，尤其是在合规方面，但就绝大部分而言，提供商和客户的责任是独立的。该关系就是所谓的责任共担模型，这是现代云安全操作的基础。云“中”安全随着数据不断移到云端，客户有责任确保自身符合安全、监管和合规要求。比如说，CSP或许可以防止暴力破解登录，但确保雇员在各个云服务上使用各不相同的安全口令以最小化账户风险，是客户自己的责任。而且，尽管云技术可以简化共担和协作，若客户以不合规的方式意外共享敏感数据给第三方，数据泄露的责任也不在CSP。防范内部恶意用户（例如雇员在跳槽到竞争对手之前下载了Salesforce的所有记录），同样归属客户的责任范围。最后，恰当配置大量原生安全功能（数据泄露防护、访问控制、活动监测），以及遵循基本安全最佳实践，是云服务客户应负责的另一领域。这方面的例证，是AWS建议：只授予用户完成职责所需的最小权限。一旦客户非必要地赋予用户管理权限，那AWS就对保护客户安全无能为力了。云“的”安全CSP有责任确保其基础设施无漏洞。云服务的物理安全、对硬件或软件的非授权物理访问预防，以及灾难和事件响应，也是CSP的责任。灾难及事件响应包括两个主要方面。首先，业务持续性管理，也就是CSP必须确保可用性和事件响应。基本上，服务必须在线正常运行，而一旦出现问题，CSP必须尽快修复。第二个方面，环境或不可预知场景的处理。这包括保护数据中心不受断电、洪水、地震和其他灾害的损伤。进一步详细描述的话，你会发现SaaS提供商具体负责的东西，与PaaS和IaaS提供商有很大区别。对SaaS和PaaS而言，大部分网络访问控制都是CSP设置的。而IaaS，网络访问由提供商和客户双方控制。比如说，AWS就为其客户提供了AWS安全组的一个服务。安全组相当于用来控制网络流量的防火墙。AWS客户负责恰当配置安全组，以防止将自身暴露在DDoS攻击之下。前瞻尽管AWS或微软Azure这样的CSP有他们自己的安全责任，只要使用云服务的企业没能协同完成属于自己那部分的责任，数据泄露就依然会继续发生。Gartner预测，到2020年，95%的云安全问题，都是客户的过错。我们准备好了吗？