nexus/wiki/concepts/Shared-Responsibility-Model.md

# Shared Responsibility Model

> **Shared Responsibility Model** — 共享责任模型是云安全的基本原则，定义了云服务提供商和客户组织之间在安全、运维、合规等方面的责任划分。无论使用公有云、私有云还是混合云，安全问题始终由双方共同承担。

## Definition

共享责任模型（Shared Responsibility Model）阐明了在云环境中，云服务提供商和客户组织各自承担的安全和管理职责。客户组织购买云服务并不意味着将所有责任转移给提供商——数据安全、访问控制、灾难恢复规划等关键领域仍然是客户的核心职责。

> "No matter which cloud environment you work in, your problems don't go away. Though you're purchasing services from third-party vendors, you still have to do your due diligence to reduce risk."

## Responsibility Matrix by Service Model

### IaaS (Infrastructure as a Service)

| 责任领域 | 提供商 | 客户 |
|----------|--------|------|
| 物理数据中心 | ✅ | — |
| 服务器/存储/网络硬件 | ✅ | — |
| 虚拟化层 | ✅ | — |
| 操作系统 | — | ✅ |
| 中间件/运行时 | — | ✅ |
| 应用程序 | — | ✅ |
| 数据 | — | ✅ |
| 身份和访问管理 | — | ✅ |
| 网络安全（配置） | — | ✅ |

### PaaS (Platform as a Service)

| 责任领域 | 提供商 | 客户 |
|----------|--------|------|
| 物理基础设施 | ✅ | — |
| 运行时/中间件 | ✅ | — |
| 操作系统补丁 | ✅ | — |
| 开发框架 | ✅ | — |
| 应用程序 | — | ✅ |
| 数据 | — | ✅ |
| 身份和访问管理 | — | ✅ |
| 网络安全配置 | — | ✅ |

### SaaS (Software as a Service)

| 责任领域 | 提供商 | 客户 |
|----------|--------|------|
| 所有底层基础设施 | ✅ | — |
| 应用程序 | ✅ | — |
| 数据 | — | ✅ |
| 身份和访问管理 | — | ✅ |
| 用户设备安全 | — | ✅ |
| 数据备份 | — | ✅ |

## Always the Customer's Responsibility

无论选择哪种云服务模型，以下领域**始终由客户组织负责**：

### 1. Identity and Access Management (身份和访问管理)
- 定义谁可以访问什么资源（最小权限原则）
- 配置多因素认证（MFA）
- 定期审计访问权限
- 管理服务账户和API密钥

### 2. Data Security and Encryption (数据安全和加密)
- 确定哪些数据需要加密
- 管理加密密钥（BYOK/KMS）
- 配置传输加密（TLS/SSL）
- 数据分类和标签策略

### 3. Disaster Recovery Planning (灾难恢复规划)
- 制定业务连续性计划
- 定义 RTO（恢复时间目标）和 RPO（恢复点目标）
- 定期测试灾难恢复流程
- 维护离线/异地备份

### 4. Compliance and Governance (合规和治理)
- 确保符合行业法规（HIPAA、PCI-DSS、GDPR等）
- 定期合规审计
- 数据主权和驻留要求
- 审计日志收集和保留

### 5. User Devices and Endpoints (用户设备和端点)
- 端点安全（防病毒、EDR）
- 设备合规策略
- 远程工作安全标准

## Always the Provider's Responsibility

以下领域由云服务提供商负责：

### 1. Physical Security (物理安全)
- 数据中心物理访问控制
- 环境控制（温度、湿度）
- 物理冗余和容错

### 2. Infrastructure Availability (基础设施可用性)
- 底层网络可用性
- 硬件故障恢复
- 数据中心冗余

### 3. Hypervisor/Container Security (虚拟化安全)
- 虚拟机/容器隔离
- 虚拟化层漏洞修复

## Hybrid/Multi-Cloud Responsibility Boundaries

在混合云和多云环境中，责任划分更为复杂：

```
┌──────────────────────────────────────────────────────┐
│                    客户组织责任                        │
│  ┌──────────────────────────────────────────────┐   │
│  │  数据 │ IAM │ DR │ 合规 │ 应用程序 │ 端点   │   │
│  └──────────────────────────────────────────────┘   │
└──────────────────────────────────────────────────────┘
        ↑                    ↑                    ↑
┌──────────────┐   ┌──────────────┐   ┌──────────────┐
│   公有云      │   │   私有云      │   │   本地环境    │
│  (AWS/Azure/ │   │ (自托管/托管) │   │ (数据中心)   │
│   GCP)       │   │              │   │              │
│ 提供商负责    │   │ 提供商/自管  │   │  全部自管    │
│ 物理+虚拟化   │   │              │   │              │
└──────────────┘   └──────────────┘   └──────────────┘
```

## Key Risks Without Shared Responsibility Awareness

| 风险场景 | 后果 |
|----------|------|
| 假设提供商"全包"安全 | 数据泄露、访问失控 |
| 未配置MFA | 账户被入侵 |
| 未加密敏感数据 | 合规违规、数据泄露 |
| 无灾难恢复计划 | 业务中断、数据永久丢失 |
| 不了解合规要求 | 巨额罚款、品牌损害 |

## Best Practices

### 1. Know Your Responsibilities
- 阅读云提供商的SLA和安全文档
- 理解服务模型对应的责任边界
- 与提供商沟通不明确的领域

### 2. Implement Defense in Depth
- 不依赖单一安全层
- 多层次安全控制（网络、应用、数据、身份）
- 假设任何层次都可能失败

### 3. Automate Security Controls
- IaC（基础设施即代码）确保一致性
- 自动合规检查
- 持续监控和告警

### 4. Regular Security Training
- 确保团队理解云安全责任
- 关注社会工程和钓鱼攻击
- 建立安全文化

## Related Concepts

- [[Public Cloud]] — 公有云部署模式
- [[Private Cloud]] — 私有云部署模式
- [[Hybrid Cloud]] — 混合云部署模式
- [[Cloud Security]] — 云安全
- [[SLA]] — 服务级别协议
- [[Disaster Recovery Planning]] — 灾难恢复规划
- [[Multi-Factor-Authentication]] — 多因素认证
- [[Data-Governance]] — 数据治理
- [[FinOps]] — 云财务管理
- [[Cloud Compliance]] — 云合规性

## See Also

- [[Cloud Computing]] — 云计算基础
- [[Cloud-Maturity-Model]] — 云成熟度模型
- [[ISO-27001]] — 信息安全管理体系
- [[HIPAA]] — 医疗健康信息隐私
- [[GDPR]] — 欧盟数据保护条例