消息 近年来,云计算产业蓬勃发展,云上安全问题是企业上云时考虑的重点。与传统IT系统架构不同,上云后安全迎来责任共担新时代,云上安全由云服务提供者和云服务客户共同分担。
为明确云上责任划分,引导行业健康发展,中国信息通信研究院(以下简称“中国信通院”)于2019年编写行业标准《云计算安全责任共担模型》,该标准梳理了公有云场景下涉及的7个安全责任分类,包括物理基础设施、资源抽象和管理、操作系统、网络控制、应用、数据、身份识别和访问管理。基于该分类,标准识别了不同类别覆盖的具体安全责任,针对识别出的所有安全责任,进行了云服务商和云服务客户的责任划分。该标准预计2021年底正式发布。
“2020可信云大会”上,中国信通院发布了《云计算安全责任共担白皮书(2020年)》。白皮书重点围绕公有云场景,建立了更加精细落地、普遍适用的云计算安全责任共担模型,确定责任主体,识别安全责任,对责任主体应承担的责任进行划分,以提升云计算相关方责任共担意识与承担水平。
基于过往工作积累,中国信通院申请IEEE国际标准立项——《Standard for cloud computing shared function model》,并于2021年9月23日立项成功。标准由IEEE Computer Society / Cloud computing Standards委员会下的Cloud Computing Shared Responsibility工作组组织开展研究和编制工作,中国信通院云计算与大数据研究所副所长栗蔚任工作组主席。
本标准聚焦于建立云服务提供者与云服务客户安全责任共担模型,为明确双方责任划分做出指引。本标准从以下七个方面为三大主要云计算服务模式(IaaS, PaaS, SaaS)明确责任划分:
(1)The physical infrastructure function物理基础设施责任识别;
(2)The virtualization infrastructure function虚拟化基础设施责任识别;
(3)The operating system function操作系统责任识别;
(4)The network control function网络控制责任识别;
(5)The application function应用责任识别;
(6)The data function数据责任识别;
(7)The identity and access management function身份与访问管理责任识别。