2024年7月3日,“全球数字经济大会—云和软件安全论坛暨第二届SecGo云和软件安全大会”在北京召开,论坛上华为云计算技术有限公司与中国信通院云计算与大数据研究所共同发布《云安全责任共担模型》。
报告简介
随着云计算成为千行百业数字化转型的重要支撑,承载海量业务和数据,其安全性影响着企业的生产经营及社会稳定。与传统数据中心相比,云服务商与云服务客户对云及云上资产的可见性不同,云安全工作无法仅由某一方承担完成,云安全责任共担模式成为行业共识。随着政策标准不断完善,外部安全态势日益严峻,各行业云计算应用程度加深,云安全责任共担面临新的发展需求。
在此背景下《云安全责任共担模型》以应对新态势为关键,建立了云安全责任共担2.0体系,旨在提升云服务客户责任共担意识,促进云服务客户、云服务商、云安全厂商在责任共担中充分识别自身定位、发挥作用价值,协同推动云安全工作高质量开展。
· 核心观点 ·
『新态势:云安全责任共担模式面临新发展需求』
与传统数据中心相比,云计算存在运营方与使用方分离、数据保管权与所有权分离等情况,云服务商与云服务客户对云及云上资产的可见性不同,云安全工作必然无法仅由某一方承担,云安全责任共担模式成为行业共识。同时,随着政策标准不断完善,外部安全态势日益严峻,各行业云计算应用程度加深,云安全责任共担也呈现新的发展态势。
政策标准为云安全责任共担提供更坚实的发展基础
云安全责任共担1.0体系
安全风险加剧,对云安全责任共担提出更明确的发展要求
云安全配置错误依然是公有云发生安全事件的最主要因素,“建好云”和“用好云”同等重要,软件供应链攻击与勒索软件损失也呈几何式上升,云计算上下游应急响应与协作需求迫切,因此建立全体参与者共同防控的责任共担体系已成必然趋势。
行业用户意识仍存提升空间,实际需求为云安全责任共担指明发展方向
《中国私有云发展调查报告(2023年)》显示,42.3%的受访用户表示接受与云服务商共同承担责任,这一比例较2021年提升了2.7%,但从调查数据可以看出,仍有一半以上用户对云安全责任共担的认知不够清晰。
『新理念:建立云安全责任共担2.0体系』
本报告以应对新态势为关键,建立了云安全责任共担2.0体系,具备如下新特征:一是增加关注主体,考虑云安全厂商角色在责任共担中的定位作用,适应云服务客户安全建设发展的需求;二是明确基本原则,以责任划分合理条件下如何高质量开展云安全工作为根本目的,强调最大化发挥各主体优势、协作保障云上业务和数据安全,加强各主体对责任共担的理解;三是剖析云安全服务和云运维运营服务对云安全责任共担的影响与作用,在以往聚焦资源类云服务的责任共担实践基础上,进一步扩展保障类云服务。
云安全责任共担2.0体系
2.0体系涉及四大方面:1)四项基本原则:指导云安全责任共担机制的开展;2)三类责任共担主体角色:一个组织机构可能同时承担一种以上的主体角色,如云服务商同时作为云安全厂商;3)责任共担范围:云计算的服务类型和服务模式决定各主体的责任范围;4)三大关键环节:一是云服务商与云服务客户责任共担实现云平台的安全建设与使用,二是云安全厂商与云服务客户责任共担夯实云环境的安全防护体系,三是云安全责任共担各主体建立信息传递机制。
『云安全责任共担实施参考』
夯实云平台安全建设与使用能力
共筑云上持续安全防护体系
多主体建立信息传递机制,促进云安全责任共担协同
『云安全责任共担发展建议』
强化标准引领作用,提升云服务客户安全责任意识与能力
完善保险机制,构建事前、事中、事后云安全闭环体系
促进云服务商与产业多主体生态圈建设,提升安全能力整体水平
更多内容欢迎扫码下载《云安全责任共担模型》全文
声明:本文来自CAICT可信安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。