阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4251阅读
  • 0回复

[安全漏洞公告专区]小谈安全责任共担模型

级别: 小白
发帖
29
云币
49
     cPlZXf  
随着业务的快速发展,云计算有可能成为继大型计算机、PC机和互联网之后的第四次IT产业革命。与此同时,安全也从企业上云的顾虑变为云计算的核心竞争力。CSA云安全联盟统计,64%的企业认为云上更安全。“传统IDC要求用户对所有安全问题负责,到了云上,安全迎来责任共担新时代,安全问题变成厂商与用户共同解决。”7132016阿里安全峰会上,阿里云安全事业群资深总监肖力总结七年实践,重新定义云计算时代的安全本质。 ZQV6xoN;r  
J| w>a  
do>wwgr  
      事实上,责任共担模式并非云计算厂商独创。小区公共治安维护依靠保安和片警,各家各户防火防盗业主己要承担起相应的责任,就是典型的责任共担模式。对云计算厂商来说,责任共担即是厂商充分承担起云平台本身的安全保障责任,并全力维护云上客户的安全。 8<QdMkI  
asppRL||  
m+]K;}.}R  
      目前,云安全责任共担模式在业界已经达成共识。在海外,亚马逊AWS、微软Azure均采用了与用户共担风险的安全策略。例如,AWS 作为IaaS+PaaS为主的服务提供商,负责管理云本身的安全,业务系统安全则由客户负责。客户可以在AWS安全市场里挑选合适的产品来保护自己的内容、平台、应用程序、系统和网络安全。而微软Azure则用一张图解释了IaaS, PaaS和SaaS用户的“责任递减”模式。总的来说 e w$ B)W  
_uy44; zq  
vg32y /l]S  
1. 云服务商对基础设施(物理机房、温度)的安全负责基本形成了共识。例如AWS会对构成云平台的网络、数据、甚至应用负责。同时维护用户的业务连续性、控制云平台上的风险。 u0 `S5?  
2. 用户需要负责虚拟化层以上的安全,而具体负责的部分,以及用户购买的产品组合、或使用的服务。例如,Azure指出云服务商有保护用户数据安全的义务,但云服务商对SaaS用户的责任范围是大于IaaS用户的。例如身份和访问控制 (Identity and Access Management),IaaS用户就应完全由自己负责,而SaaS用户就会和云平台将责任“对半分”。 (@fHl=! Za  
3. 对于责任的具体划分,业界还没有达成统一的标注,各大云服务商根据自己服务层面和用户性质的不同,去界定自己的标准。 GjvOM y  
#Lh;CSS  
6a~|K-a6  
W{ q U  
qm/22:&v5  
图:AWS责任共担模型——Amazon Web Services: Overview of Security Processes I;wp':  
http://aws.amazon.com/security/ B|C2lu  
g}1B;zGf  
vApIHI?-  
nAsh:6${  
#lL^?|M  
图:Azure责任共担模型——Shared Responsibilities for Cloud Computing 8e1UmM[  
https://azure.microsoft.com/en-us/blog/microsoft-incident-response-and-shared-responsibility-for-cloud-computing/ 2*laAB  
V^bwXr4f  
p>v$FiV2N  
肖力介绍,“在阿里云,从安全责任划分的角度来讲,即阿里云负责云基础设施层面的安全,用户责任虚拟化层以上的安全”。  UD2C>1j  
hj*pTuym  
-b9\=U[  
y.mda:$~=  
0d)M\lG  
) j#`r/  
P~>O S5^  
+>6iYUa  
X9W@&zQ  
       为了云计算安全全新的职责,阿里云内部早在几年前就从架构设计、产品研发以及服务模式等方面开始备战。要知道,云计算时代所面临的安全挑战并不比传统安全所面临的问题要少,甚至于相较之下更加复杂。通过10多年在安全领域的积累,阿里云建立了一支全球顶级的云计算安全团队,有完善的基础设施,并且有更快的安全应急时间,能及时发现高危的安全漏洞信息,用最短时间修复,帮助用户应对安全问题。据悉,目前阿里云保护了全国35%网站,每天抵抗2亿次密码暴力破解,每天应对2000万次的Web应用攻击,每天抵御1000DDoS攻击。 5H<m$K4z  
;"5&b!=t  
'uS n}hm  
       都说专业的事情要交给专业的人来做。既然云计算厂商做安全如此专业,为什么不能把所有的安全问题都托管给厂商肖力透露,阿里云一直认为数据是客户的资产。云计算平台不得以任何理由将这些数据移作它用。如此一来,厂商将不可能知道客户在哪个中了木马的终端上登陆了业务系统,结果被黑客窃取到管理员用户和口令。正如保安和片警不会知道业主小刘家钥匙被朋友复制,从而发生大白天的被盗事件一样。 u&Yz[)+b=g  
S6Q  
vxBgGl  
       云计算发展十余年来,安全从来就不是云平台、用户或者安全厂商某一方的单打独斗。云计算厂商需要建立强大的生态让用户个性化的安全需求能够快速有效的解决,云上客户需要与SaaS服务商和安全厂商的虚拟化产品协同作战。攻击者从不考虑安全漏洞的归属,但防御方却需要有这个能力识别和处置。 6,8h]?u.  
_$E6P^AQ  
|.: q  
)0]'QLH  
3)<yod=  
*SJ_z(CZm  
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)