云计算根据服务模式可以分为:软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)。不同服务模式下云服务商和客户对计算资源的控制范围不同,控制范围则决定了安全责任的边界。
在SaaS模式下,用户承担客户端安全相关责任;云服务商承担服务端安全责任;
在PaaS模式下,用户承担自己开发和部署的应用及其运行环境的安全责任,其他安全由云服务商负责;
在IaaS模式下,用户负责分配到的虚拟网络安全,自己部署的操作系统、运行环境和应用的安全,对这些资源的操作、更新、配置的安全和可靠性负责。云服务商负责虚拟化计算资源层及底层资源的安全。
云计算的设施层(物理环境)、硬件层(物理设备)、资源抽象和控制层都处于云服务商的完全控制下,所有安全责任由云服务商承担。应用软件层、软件平台层、虚拟化计算资源层的安全责任责则由双方共同承担,越靠近底层(即IaaS)的云计算服务,客户的管理和安全责任越大;反之,云服务商的管理和安全责任越大。
考虑到云服务商可能还需要其他组织提供的服务,如SaaS或PaaS服务提供商可能依赖于IaaS服务提供商的基础资源服务。在这种情况下,一些安全措施由其他组织提供。
云服务商承担:在SaaS模式中,云服务商对平台上安装的软件进行安全升级。
客户承担:在IaaS模式中,客户对其安装的应用中的用户行为进行审计。
云服务商和客户共同承担:云服务商的应急演练计划需要与客户的信息安全应急演练计划相协调。在实施应急演练时,需要客户与云服务商相互配合。
其他组织承担:有的SaaS服务提供商需要利用IaaS服务提供商的基础设施服务,相应的物理与环境保护措施应由IasS服务提供商予以实施。
