目前,很多云供应商都为他们的客户提供了责任共担模式。专家Dave Shackleford将介绍主流供应商的模式以及他们可能错失的东西。

随着云计算应用的不断增长，对于数据保护和网络安全的责任共担模式概念也逐渐地深入人心。虽然责任共担模式并不是一个新的概念（多年以来，我们在大多数的外包合同中使用的就是安全责任共担形式），但是安全责任共担的本质已随着云的出现而发生了变化。微软公司在最近发布的一篇白皮书中明确表示，它将在云环境中支持责任共担模式，但并不是所有的共担责任在一开始都是相同的。微软公司表示，定义数据分类和保护措施是客户的责任，而云堆栈端的事务、描述应用程序和应用程序控制措施、网络功能以及包括管理程序、存储组件、冗余和可扩展工具等在内的底层主机基础设施则不在此列。以下是微软公司在白皮书中对基本责任模式的详细介绍：

数据保护与分类：是所有模式中客户的责任；

端点和客户端保护：除了在软件即服务环境中这些都是共担责任外，这些保护都是客户的责任。一个例子就是当使用微软InTune时的移动设备安全；

身份和访问管理：在使用SaaS和平台即服务（PaaS）产品时，身份和访问管理的责任是共担的，但在IaaS环境中时那完全是客户的责任；

应用程序级控制措施：毋庸置疑，SaaS产品中的应用程序级控制措施是由供应商提供保护的。PaaS产品是共享的，而基础设施即服务（IaaS）则要求客户来确保他们所部署应用程序堆栈的安全；

网络控制：这是非常有限的，在IaaS中只有部分网络配置可用；供应商控制着一切；

主机基础设施：与网络非常相似，底层计算机堆栈主要都完全是由供应商进行管理的——只有在IaaS环境中，消费者才能访问或控制其中的一些功能。

其他云供应商所提供的责任共担模式

亚马逊网络服务也遵循了类似的模式。AWS将责任模式分为两大类：云中的安全和云安全。云安全是客户的责任，其主包括数据保护、身份与访问管理、操作系统配置、网络安全（访问控制）以及加密等。AWS则负责基础设施的基础部分，具体包括计算组件、存储基础设施、数据库以及网络等。

其他大多数的云供应商们也能够采用了类似于微软和亚马逊的模式。CenturyLink推出了一个公开发布的责任共担模式，其中的安全编码是作为其核心职责之一的。谷歌没有为其谷歌云平台专门发布一个公开网站或文件来描述其责任共担模式，但是它确实有一份文件特别列出了在其云中需共同承担的责任以符合PCI DSS合规性。所有的云供应商都完全承担起确保其数据中心环境物理安全性的责任。

责任共担模式缺少什么？

责任共担模式很少涉及的一个方面就是安全过程和工作流程。例如，应当由谁来负责云中事件响应的哪些方面？微软试图在其最近发布的另一本白皮书中解决这个问题，这本白皮书描述了事件响应中共担责任的概念。对于客户责任的所有领域（例如在Azure IaaS云中运行的一台虚拟机），微软并没有执行入侵监控或事件响应。对于共担责任中由微软所负责的部分，它详细说明了所有团队成员的角色和责任，以及事件响应团队内部在每一个阶段和每一个步骤中所需执行的通知和通信要求。

责任共担模式很少涉及的一个方面就是安全过程和工作流程。例如，应当由谁来负责云中事件响应的哪些方面？微软试图在其最近发布的另一本白皮书中解决这个问题，这本白皮书描述了事件响应中共担责任的概念。对于客户责任的所有领域（例如在Azure IaaS云中运行的一台虚拟机），微软并没有执行入侵监控或事件响应。对于共担责任中由微软所负责的部分，它详细说明了所有团队成员的角色和责任，以及事件响应团队内部在每一个阶段和每一个步骤中所需执行的通知和通信要求。

目前，其他大多数供应商在审查合同之前都没有在安全性流程责任方面提供任何的指导，而让很多人对此感觉如坠迷雾。我们希望，更多的大型供应商将遵循微软的脚步，在不久的未来黑纸白字地说明安全控制维护与安全流程以及工作流程方面的所有责任。