云计算作为一种持续运营、动态变化的基础设施,具有服务链纵深长、服务关系多级嵌套的情况。为避免安全风险依附于服务链不断渗透,控制影响范围与危害程度,应全面识别云计算相关方安全责任,落实责任承担机制。一方面,《网络安全法》《关键信息基础设施安全保护条例》等法律法规明确了云计算运营者的安全责任与义务。另一方面,除云计算运营者外,云服务用户也在服务链中有至关重要的影响,Gartner预估到2025年,99%的云安全事件将源于用户配置错误。
为建立更加精细可落地、普遍适用于云计算行业的安全责任共担模型,提升云服务客户责任共担意识与承担水平,2019年起,由中国信息通信研究院(以下简称“中国信通院”)牵头,联合数十家云服务商开展了云计算安全责任共担的相关研究,制定YD/T 4060—2022《云计算安全责任共担模型》行业标准,该标准已于2022年7月正式发布施行。
YD/T 4060—2022《云计算安全责任共担模型》行业标准
该标准从物理基础设施、资源抽象和管理、操作系统、网络控制、应用、数据、IAM七大类安全责任领域入手,对IaaS、PaaS、SaaS三种服务模式剖析云服务参与主体需要承担的责任。
云计算安全责任共担模型
与此同时,为增强国际影响力,中国信通院申请了IEEE国际标准立项——《Standard for cloud computing shared function model》,并于2021年9月23日立项成功。标准由IEEE Computer Society / Cloud computing Standards委员会下的Cloud Computing Shared Responsibility工作组组织开展研究和编制工作,预计2023年完成编制。
中国信通院云计算与大数据研究所深耕云安全领域多年,构建了可信安全标准和评估体系,涵盖云上安全防护、云基础设施安全、软件供应链安全、零信任、业务安全等。未来,中国信通院云计算与大数据研究所将紧跟云安全技术发展趋势与行业痛点,推动企业安全上云用云,搭建服务商侧和用户侧沟通交流桥梁,促进云安全知识共享流通。
声明:本文来自中国信通院CAICT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。