# Shared Responsibility Model > **Shared Responsibility Model** — 共享责任模型是云安全的基本原则,定义了云服务提供商和客户组织之间在安全、运维、合规等方面的责任划分。无论使用公有云、私有云还是混合云,安全问题始终由双方共同承担。 ## Definition 共享责任模型(Shared Responsibility Model)阐明了在云环境中,云服务提供商和客户组织各自承担的安全和管理职责。客户组织购买云服务并不意味着将所有责任转移给提供商——数据安全、访问控制、灾难恢复规划等关键领域仍然是客户的核心职责。 > "No matter which cloud environment you work in, your problems don't go away. Though you're purchasing services from third-party vendors, you still have to do your due diligence to reduce risk." ## Responsibility Matrix by Service Model ### IaaS (Infrastructure as a Service) | 责任领域 | 提供商 | 客户 | |----------|--------|------| | 物理数据中心 | ✅ | — | | 服务器/存储/网络硬件 | ✅ | — | | 虚拟化层 | ✅ | — | | 操作系统 | — | ✅ | | 中间件/运行时 | — | ✅ | | 应用程序 | — | ✅ | | 数据 | — | ✅ | | 身份和访问管理 | — | ✅ | | 网络安全(配置) | — | ✅ | ### PaaS (Platform as a Service) | 责任领域 | 提供商 | 客户 | |----------|--------|------| | 物理基础设施 | ✅ | — | | 运行时/中间件 | ✅ | — | | 操作系统补丁 | ✅ | — | | 开发框架 | ✅ | — | | 应用程序 | — | ✅ | | 数据 | — | ✅ | | 身份和访问管理 | — | ✅ | | 网络安全配置 | — | ✅ | ### SaaS (Software as a Service) | 责任领域 | 提供商 | 客户 | |----------|--------|------| | 所有底层基础设施 | ✅ | — | | 应用程序 | ✅ | — | | 数据 | — | ✅ | | 身份和访问管理 | — | ✅ | | 用户设备安全 | — | ✅ | | 数据备份 | — | ✅ | ## Always the Customer's Responsibility 无论选择哪种云服务模型,以下领域**始终由客户组织负责**: ### 1. Identity and Access Management (身份和访问管理) - 定义谁可以访问什么资源(最小权限原则) - 配置多因素认证(MFA) - 定期审计访问权限 - 管理服务账户和API密钥 ### 2. Data Security and Encryption (数据安全和加密) - 确定哪些数据需要加密 - 管理加密密钥(BYOK/KMS) - 配置传输加密(TLS/SSL) - 数据分类和标签策略 ### 3. Disaster Recovery Planning (灾难恢复规划) - 制定业务连续性计划 - 定义 RTO(恢复时间目标)和 RPO(恢复点目标) - 定期测试灾难恢复流程 - 维护离线/异地备份 ### 4. Compliance and Governance (合规和治理) - 确保符合行业法规(HIPAA、PCI-DSS、GDPR等) - 定期合规审计 - 数据主权和驻留要求 - 审计日志收集和保留 ### 5. User Devices and Endpoints (用户设备和端点) - 端点安全(防病毒、EDR) - 设备合规策略 - 远程工作安全标准 ## Always the Provider's Responsibility 以下领域由云服务提供商负责: ### 1. Physical Security (物理安全) - 数据中心物理访问控制 - 环境控制(温度、湿度) - 物理冗余和容错 ### 2. Infrastructure Availability (基础设施可用性) - 底层网络可用性 - 硬件故障恢复 - 数据中心冗余 ### 3. Hypervisor/Container Security (虚拟化安全) - 虚拟机/容器隔离 - 虚拟化层漏洞修复 ## Hybrid/Multi-Cloud Responsibility Boundaries 在混合云和多云环境中,责任划分更为复杂: ``` ┌──────────────────────────────────────────────────────┐ │ 客户组织责任 │ │ ┌──────────────────────────────────────────────┐ │ │ │ 数据 │ IAM │ DR │ 合规 │ 应用程序 │ 端点 │ │ │ └──────────────────────────────────────────────┘ │ └──────────────────────────────────────────────────────┘ ↑ ↑ ↑ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ 公有云 │ │ 私有云 │ │ 本地环境 │ │ (AWS/Azure/ │ │ (自托管/托管) │ │ (数据中心) │ │ GCP) │ │ │ │ │ │ 提供商负责 │ │ 提供商/自管 │ │ 全部自管 │ │ 物理+虚拟化 │ │ │ │ │ └──────────────┘ └──────────────┘ └──────────────┘ ``` ## Key Risks Without Shared Responsibility Awareness | 风险场景 | 后果 | |----------|------| | 假设提供商"全包"安全 | 数据泄露、访问失控 | | 未配置MFA | 账户被入侵 | | 未加密敏感数据 | 合规违规、数据泄露 | | 无灾难恢复计划 | 业务中断、数据永久丢失 | | 不了解合规要求 | 巨额罚款、品牌损害 | ## Best Practices ### 1. Know Your Responsibilities - 阅读云提供商的SLA和安全文档 - 理解服务模型对应的责任边界 - 与提供商沟通不明确的领域 ### 2. Implement Defense in Depth - 不依赖单一安全层 - 多层次安全控制(网络、应用、数据、身份) - 假设任何层次都可能失败 ### 3. Automate Security Controls - IaC(基础设施即代码)确保一致性 - 自动合规检查 - 持续监控和告警 ### 4. Regular Security Training - 确保团队理解云安全责任 - 关注社会工程和钓鱼攻击 - 建立安全文化 ## Related Concepts - [[Public Cloud]] — 公有云部署模式 - [[Private Cloud]] — 私有云部署模式 - [[Hybrid Cloud]] — 混合云部署模式 - [[Cloud Security]] — 云安全 - [[SLA]] — 服务级别协议 - [[Disaster Recovery Planning]] — 灾难恢复规划 - [[Multi-Factor-Authentication]] — 多因素认证 - [[Data-Governance]] — 数据治理 - [[FinOps]] — 云财务管理 - [[Cloud Compliance]] — 云合规性 ## See Also - [[Cloud Computing]] — 云计算基础 - [[Cloud-Maturity-Model]] — 云成熟度模型 - [[ISO-27001]] — 信息安全管理体系 - [[HIPAA]] — 医疗健康信息隐私 - [[GDPR]] — 欧盟数据保护条例