描述责任共担模型
对于只运行本地硬件和软件的组织,他们需全权负责实现安全性和合规性。 对于基于云的服务,由客户与云提供商共担责任。
责任共担模型可识别哪些安全任务由云提供商处理,哪些安全任务由你(也就是客户)处理。 工作负载的托管位置不同,责任也将不同:
- 软件即服务 (SaaS)
- 平台即服务 (PaaS)
- 基础结构即服务 (IaaS)
- 本地数据中心
责任共担模型使责任清晰明了。 当组织移动到云时,某些责任会转移给云提供商,而某些责任会转移给客户组织。
下图展示了根据数据的保存位置,客户与云提供商之间的责任范围。
本地数据中心。 在本地数据中心,从物理安全到加密敏感数据等一切工作都由你负责。
基础结构即服务 (IaaS)。 在所有云服务中,IaaS 的大部分管理工作由云客户负责。 使用 IaaS 时,你使用的是云提供商的计算基础结构。 云客户不负责计算机、网络等物理组件,也不负责数据中心的物理安全。 不过,云客户仍要负责运行在该计算基础结构上的软件组件(例如操作系统、网络控制、应用程序),还要负责保护数据。
平台即服务 (PaaS)。 PaaS 为生成、测试和部署软件应用程序提供一个环境。 PaaS 旨在帮助你快速创建应用程序,而无需管理底层基础结构。 使用 PaaS 时,由云提供商管理硬件和操作系统,客户负责应用程序和数据。
服务型软件 (SaaS)。 SaaS 由云提供商为客户进行托管和管理。 通常通过包年或包月订阅获得它的许可。 Microsoft 365、Skype 和 Dynamics CRM Online 都属于 SaaS 软件。 在 SaaS 中,需要云客户负责的管理工作最少。 云提供商负责管理除数据、设备、帐户和标识以外的所有资源。
对于所有云部署类型,你的数据和标识都归你(云客户)所有。 你负责保护自己的数据和标识,本地资源(包括移动设备、PC、打印机等)的安全也由你负责。
概括地说,以下资源始终由客户组织负责:
- 信息和数据
- 设备(移动设备和电脑)
- 帐户和标识
责任共担模型的好处是,让组织清楚地了解自身的责任以及云提供商的责任。