先明责,再部署
时间:2022-03-18 12:21:01 | 来源:行业动态
时间:2022-03-18 12:21:01 来源:行业动态
目前对云安全划分最细的应属云安全联盟的控制矩阵。云安全联盟控制矩阵已经迭代到了4.0版本,共划分17个控制域,197个控制点,涵盖了跟云相关的网络安全、应用安全、数据安全、管理安全等各个方面。要比较全面的探讨云安全,可以参考云安全联盟的控制矩阵。
另一个要考虑的就是云安全的责任共担模型。根据IaaS、PaaS、SaaS的业务模式不同,云租户和云服务提供商要划分各自需承担的安全责任,IaaS模式的是从虚机开始往上都由租户自己做安全,PaaS模式是从应用开始往上都由租户自己做安全,而SaaS模式是租户只需要自己做数据安全。
从上图可以看出,IaaS、PaaS、SaaS各业务模式下云租户和云服务提供商需要各自承担的责任范围,包括责任范围内需要做的具体事情。比如主机安全,需要做防病毒、防入侵、系统加固、补丁管理。而IaaS模式下虚拟化安全部分是需要云租户和云服务提供商都做事情的,这其实就是看云服务提供商的能力,他能提供哪些云原生的安全服务给云租户,提供不了的还得是云租户自己用第三方的能力自行建设,下面的安全管理和安全运维部分也是一样的道理。
接着我们就以AWS为例看看具体不同业务下的安全责任范围是怎么分的,这个是基础设施服务,也就是虚机(AWS EC2)服务,可以看到AWS认为网络安全、主机安全、应用安全、数据安全都是租户自己事情,其实AWS近两年也做了很多云原生的安全服务给租户,租户可以自主选择使用云原生的安全服务还是自己用第三方的能力自行建设。
这个是容器服务,也就是AWS EKS,不要以为容器服务就是PaaS,对于EKS来说因为还是用的租户的自己虚机承载容器,因此大家可以看到跟IaaS的安全责任共担范围划分基本一致,网络安全、主机安全、应用安全、数据安全也都是租户自己事情。
最后这个是抽象服务,这个是标准的PaaS了,AWS Fargate和AWS Lambda都是这种,也是咱们经常听到的Serverless(无服务),这种业务下,租户就只需自己做数据安全和用户认证了,其实通常用户认证服务都是云平台直接提供的。
在线咨询
