云計算安全責任共擔白皮書

1、云計算安全責任共擔白皮書前言云計算作為新型基礎設施建設的重要組成，關鍵作用日益凸顯， 市場規(guī)模呈現持續(xù)增長趨勢。同時，云計算安全態(tài)勢日益嚴峻，安全性成為影響云計算充分發(fā)揮其作用的核心要素。與傳統 IT 系統架構不同，上云后安全迎來責任共擔新時代，建立云計算安全責任共擔模型，明確劃分云計算相關方的責任成為關鍵。白皮書首先介紹了云計算在市場發(fā)展、安全等方面的現狀及趨勢， 分析安全責任承擔在云計算安全發(fā)展中的必要性，以及安全責任共擔 模式的應用現狀與痛點。重點圍繞公有云場景，白皮書建立了更加精 細落地、普遍適用的云計算安全責任共擔模型，確定責任主體，識別 安全責任，對責任主體應承擔的責任進行劃分，以

2、提升云計算相關方 責任共擔意識與承擔水平。最后，白皮書對云計算安全責任共擔未來 發(fā)展進行了展望，并分享了責任承擔優(yōu)秀案例。目錄 HYPERLINK l _bookmark0 一、云計算安全責任共擔成共識 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 （一）云計算作為新型基礎設施，安全性成關鍵 HYPERLINK l _bookmark1 1 HYPERLINK l _bookmark2 （二）安全責任共擔，保障云計算全方位安全 HYPERLINK l _bookmark2 4 HYPERLINK l _bookmark4 （三）云計算安全責任共

3、擔應用與發(fā)展有痛點 HYPERLINK l _bookmark4 10 HYPERLINK l _bookmark5 二、云計算安全責任共擔模型框架 HYPERLINK l _bookmark5 12 HYPERLINK l _bookmark6 （一）模型應用場景 HYPERLINK l _bookmark6 13 HYPERLINK l _bookmark7 （二）云計算安全責任主體 HYPERLINK l _bookmark7 14 HYPERLINK l _bookmark8 （三）云計算安全責任分類 HYPERLINK l _bookmark8 14 HYPERLINK l _boo

4、kmark9 三、云計算安全責任識別與劃分 HYPERLINK l _bookmark9 16 HYPERLINK l _bookmark10 （一）云計算安全責任識別 HYPERLINK l _bookmark10 16 HYPERLINK l _bookmark11 （二）云計算安全責任劃分 HYPERLINK l _bookmark11 20 HYPERLINK l _bookmark12 四、云計算安全責任共擔未來發(fā)展趨勢展望 HYPERLINK l _bookmark12 28 HYPERLINK l _bookmark13 附錄 1：公有云安全責任承擔優(yōu)秀案例 HYPERLINK

5、l _bookmark13 30 HYPERLINK l _bookmark14 （一）阿里云 HYPERLINK l _bookmark14 30 HYPERLINK l _bookmark15 （二）華為云 HYPERLINK l _bookmark15 38 HYPERLINK l _bookmark16 （三）騰訊云 HYPERLINK l _bookmark16 46 HYPERLINK l _bookmark17 附錄 2：政務云安全責任承擔優(yōu)秀案例 HYPERLINK l _bookmark17 56 HYPERLINK l _bookmark18 （一）浪潮云 HYPERLIN

6、K l _bookmark18 56圖 目 錄圖 1 中國云計算市場規(guī)模及增速2圖 2 全球云服務安全市場規(guī)模3圖 3 中國云服務安全市場規(guī)模4圖 4 云計算威脅滲透示意圖5圖 5 AWS 基礎設施服務責任共擔模型7圖 6 AWS 容器服務責任共擔模型7圖 7 AWS 抽象服務責任共擔模型7圖 8 Azure 責任共擔模型8圖 9 云計算服務模式與控制范圍的關系9圖 10 云服務商與云客戶責任劃分邊界10圖 11 CSA 安全責任與云服務模式關系10圖 12 云計算安全責任共擔模型15表 目 錄表 1 IaaS 模式下云計算安全責任劃分20表 2 IaaS 模式下云計算安全責任協商劃分參考25

7、表 3 PaaS 模式下云計算安全責任劃分26表 4 SaaS 模式下云計算安全責任劃分27表 5 SaaS 模式下云計算安全責任協商劃分參考28表 6 浪潮政務云安全責任劃分案例56 PAGE 28一、云計算安全責任共擔成共識（一）云計算作為新型基礎設施，安全性成關鍵隨著互聯網與實體經濟深度融合，企業(yè)數字化轉型成為必然趨勢。云計算作為新型基礎設施建設，是實現數字化轉型的必然選擇，安全 性則是影響云計算充分發(fā)揮其關鍵作用的核心要素。云計算“新基建”重要性凸顯，市場規(guī)模將持續(xù)增長。2015 年國務院在關于積極推進“互聯網+”行動的指導意見中第一次提出新型基礎設施概念。2020 年 4 月，國家發(fā)

8、改委首次就“新基建”概念作出正式解釋，將其定義為以新發(fā)展理念為引領，以技術創(chuàng)新為驅動， 以信息網絡為基礎，面向高質量發(fā)展需要，提供數字轉型、智能升級、融合創(chuàng)新等服務的基礎設施體系，具體包括信息基礎設施、融合基礎設施與創(chuàng)新基礎設施三個方面。云計算被納入信息基礎設施中的新技術基礎設施，在社會數字化轉型中的重要性得到肯定，依托其高資源利用率、強業(yè)務承載能力等優(yōu)勢，成為企業(yè)信息化建設的首選。據 IDC 統計，2019 年全球云計算基礎設施規(guī)模超過傳統 IT 基礎設施，占全球 IT 基礎設施的 50%以上。在未來幾年，我國云計算市場仍將處于快速增長階段，據中國信息通信研究院統計，2019 年我國云計算市

9、場（公有云、私有云）整體規(guī)模達 1334.5 億元，增速 38.6%，2023 年預計達 3754.2 億元，與 2019 年相比，市場規(guī)模約擴大 1.8 倍。40003500300034.34%39.21%33.52%29.54%2951.53754.225002000150010005000691.6962.828.61%1781.81334.52308.227.87%27.19%2017201820192020E2021E2022E2023E市場規(guī)模（億元）增速數據來源：中國信息通信研究院，2020 年 5 月圖 1 中國云計算市場規(guī)模及增速云計算成攻擊焦點，安全態(tài)勢日益嚴峻。隨著云計算

10、的持續(xù)發(fā)展， 云平臺將承載越來越多的重要數據與用戶關鍵業(yè)務，同時，云計算環(huán) 境下多用戶共享云基礎架構，云平臺一旦發(fā)生安全事件，將有海量用 戶受到影響，帶來不可估量的經濟損失，甚至影響社會的穩(wěn)定生產。一方面，云計算的重要性與價值導致其成為黑客攻擊的重要目標。黑 客利用云計算提供商技術和管理上的漏洞，或利用云計算客戶在云計 算使用上的疏忽，對云平臺進行破壞。據國家計算機網絡應急技術處 理協調中心統計，2019 年，我國云平臺網絡安全事件或威脅情況進一步加劇，DDoS攻擊次數占境內目標被攻擊次數的 74.0%、被植入后門鏈接數量占境內全部被植入后門鏈接數量的 86.3%、被篡改網頁數量占境內被篡改網

11、頁數量的 87.9%。另一方面，云計算提供商或云計算客戶造成的安全事件時有發(fā)生。安全事件主要包括大規(guī)模服務中斷、數據泄露和數據丟失。云計算客戶對云服務的錯誤配置或使用，容易 導致數據泄露或丟失的發(fā)生。2019 年，Attunity（以色列公司，為大約 2000 名客戶提供數據管理、倉儲和復制服務，很多客戶為財富100 強企業(yè)）因其將三個 AWS S3 桶的訪問權限設置為公開，導致至少 1T 數據的泄露，其中包括電子郵件、系統密碼、項目規(guī)格等重要數據。對于云計算提供商來說，內部人員誤操作、惡意行為、軟硬件故障、基礎設施故障等都可能導致三類安全事件的發(fā)生。增長率市場規(guī)模（億美元）20.00%18.

12、00%16.00%14.00%12.00%10.00%8.00%6.00%4.00%2.00%0.00%120100806040200數據來源：Gartner圖 2 全球云服務安全市場規(guī)模云計算安全受重視，云服務安全市場將持續(xù)發(fā)展。受云計算安全態(tài)勢的影響，云計算客戶對云上的安全需求越發(fā)迫切，關注點從“上云”逐步發(fā)展為“安全上云”，安全成為客戶選擇云計算的重要考量因素。據中國信通院中國公有云發(fā)展調查報告（2020 年）顯示， 42.4%的企業(yè)在選擇云服務時會考慮服務安全性，安全性成為企業(yè)選擇公有云服務商的第三大考量因素，較 2018 年提升一位。另一方面， 云計算提供商增加安全投入，不斷提升云平

13、臺安全性的同時，向客戶提供豐富的安全產品，促進云計算客戶云上數據與業(yè)務的安全防護水平發(fā)展。據 Gartner 統計，2020 年全球云服務安全市場規(guī)模預計可達 84.18 億美元，增速 13.9%。中國云服務安全市場規(guī)模預計可達增長率市場規(guī)模（億美元）20.00%10.00%0.00%30.00%4.543.532.521.510.502.67 億美元，增速 17.11%，2018-2023 年間，增長速率均高于全球水平，發(fā)展空間極大。數據來源：Gartner圖 3 中國云服務安全市場規(guī)模（二）安全責任共擔，保障云計算全方位安全安全責任的承擔與落實影響云計算整體安全云平臺作為一種持續(xù)運營、動態(tài)

14、變化的基礎設施，涉及的關鍵點復雜，既包括數據中心、計算、存儲、網絡、應用、數據、人員等實體要素，也包括研發(fā)、運維、運營、使用等關鍵環(huán)節(jié)。同時，云平臺面臨的威脅多樣，威脅利用關鍵點的脆弱性對云平臺進行破壞，環(huán)境災害、黑客行為、技術故障等威脅都將帶來不程度的損失和危害。在實際運營中，云計算的服務產業(yè)鏈縱深延長，服務關系存在多級嵌套的情況。云計算提供商向云計算用戶交付云服務，云計算用戶利用云服務，可以向其用戶交付其它應用服務，而這些應用服務又可以形成下一級的“提供者-用戶”關系。威脅所帶來的風險也將依附服務產業(yè)鏈不斷滲透，影響范圍和危害程度不斷擴大。如圖 4 所示， 不僅云計算提供者與用戶風險依存，

15、看似獨立、毫無關系的用戶之間也會產生影響，一個小的安全問題，可能導致云平臺的大范圍安全事故，牽一發(fā)而動全身。圖 4 云計算威脅滲透示意圖為保證云平臺安全穩(wěn)定運行，必須全面識別、切實承擔云計算相關的所有安全責任。在事前，深入落實云計算安全責任，可以最大可能的規(guī)避安全事件的發(fā)生；事中，根據安全事件屬性，判斷安全責任落實薄弱環(huán)節(jié)，可以迅速的響應和處置安全事件，盡可能阻斷損失的擴大；事后，客觀的事件定責，是通過法律、經濟等手段降低安全事件損失的前提和核心。事件定責的成熟，將促進云計算保險的發(fā)展， 完善云保險賠償機制，豐富云保險覆蓋場景。云計算企業(yè)或云客戶通過為云計算投保，可以有利推動事故發(fā)生后的賠償力

16、度和執(zhí)行程度， 保障云客戶的事后權益，分擔了云計算企業(yè)的賠償損失。責任共擔已成共識，企業(yè)組織紛紛推出云計算安全責任共擔模型云計算安全體系復雜，所涉責任繁多，云計算提供商權利有限制， 安全責任必然無法由提供商全部承擔，云計算提供商與云計算客戶進行責任分擔的模式成為行業(yè)共識和最佳方案。各大云服務商建立責任共擔模型。亞馬遜、微軟、阿里、騰訊、華為等國內外知名云服務均推出了自己的云計算安全責任共擔模型， 各模型融合了云服務商業(yè)務場景和特色，均有差異，但大致可以分為以AWS 和Azure 為代表的兩類模型。亞馬遜 AWS 模型，在云服務商和云客戶間劃清責任分界線。AWS 將其提供的云服務分為三大類，包括

17、 EC2、EBS、VPC 在內的基礎設施服務，RDS、EMR 為代表的容器服務，以及 S3、DynamoDB、SQS 等抽象服務。針對不同的云服務，AWS 分別建立了對應的責任共擔模型（圖 5-7 所示），識別不同云服務場景下云服務商和云客戶應承擔的責任，明確兩者間的責任分界，分界線以下由云服商負責，以上由云客戶負責。圖 5 AWS 基礎設施服務責任共擔模型圖 6 AWS 容器服務責任共擔模型圖 7 AWS 抽象服務責任共擔模型微軟 Azure 模型，中間責任帶由云服務商和云客戶共同分擔。微軟 Azure 將云計算安全責任從底層物理數據中心到上層數據分為十類，對 IaaS、PaaS 和 Saa

18、S 三種場景下十大類的安全責任進行劃分，底層安全責任一般由云服務商承擔，上層安全責任則由云客戶負責，除兩者獨立承擔的責任外，中間部分安全責任由兩者共同承擔。圖 8Azure 責任共擔模型相關標準與指南不斷成熟。云計算安全責任共擔受到越來越多的關注與重視，標準組織、聯盟紛紛從行業(yè)角度出發(fā)，對云計算場景下的責任劃分提出規(guī)范或建議。GB/T 22239-2019 信息安全技術 網絡等級保護基本要求中規(guī)范了不同云計算服務模式下云服務商和云服務客戶的安全管理責任，如圖 9 所示。在不同的服務模式中，云服務商和云服務客戶對計算資源擁有不同的控制范圍，控制范圍則決定了安全責任的邊界。范圍和控制設施硬件資源抽

19、象控制虛擬化計算資源軟件平臺應用平臺云服務商云服務客戶SaaSPaaSIaaSIaaSPaaSSaaS在基礎設施即服務模式下，云計算平臺/系統由設施、硬件、資源抽象控制層組成；在平臺即服務模式下，云計算平臺/系統包括設施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺；在軟件即服務模式下，云計算平臺/系統包括設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件。圖 9云計算服務模式與控制范圍的關系GB/T 31167-2014 信息安全技術 云計算服務安全指南規(guī)范了云服務商、客戶和第三方評估機構三大云計算服務安全管理主要角色的責任。在該標準的新修訂版本中，進一步引入云服務安全提供商角

20、色，同時給出了政務云中的責任劃分實踐與參考，如圖 10 所示。標準指出，如果部分安全措施需要由云服務安全提供商來實施，相關的責任也可以由云服務安全提供商承擔。云服務商和客戶需要保證各個角色承擔責任的總和能夠覆蓋到系統的全部安全要素，避免責任無人承擔或責任承擔不明確的情況。圖 10云服務商與云客戶責任劃分邊界云安全聯盟（CSA）云計算關鍵領域安全指南中指出，安全責任與角色對架構堆棧的控制程度相對應，如圖 11 所示。SaaS 中云服務提供商負責幾乎所有的安全性，因為云消費者只能訪問和管理其使用的應用程序，并且無法更改應用程序。PaaS 中云服務提供商負責平臺的安全性，而消費者負責他們在平臺上所部

21、署的應用，包括所有安全配置，因此兩者職責幾乎是平均分配。IaaS 類似 PaaS，云服務提供商負責基本的安全，而云消費者負責他們建立在該基礎設施上的其它安全，不同于 PaaS，IaaS 的消費者承擔更多的責任。圖 11CSA 安全責任與云服務模式關系（三）云計算安全責任共擔應用與發(fā)展有痛點云計算安全責任共擔已成行業(yè)共識，各大云服務商均推出了自己的共擔模型，標準、指南也對責任劃分提出了規(guī)范和建議，但在云服務的實際運營與使用中，責任共擔的應用與發(fā)展仍存在諸多痛點：各云計算安全責任共擔模型有差異，云客戶應用存疑惑。一方面， 各共擔模型安全責任分類不盡相同，同一分類下覆蓋的具體安全責任 范圍又可能有差

22、異，不同模型對某一責任的解釋和定義也存在不一致 的情況。另一方面，不同云服務商業(yè)務模式不同，在責任劃分時，云 服務商與云客戶間的責任界限也將不同，一些服務商承擔的責任多些， 一些服務商承擔的責任少些。這些差異可能會影響云客戶對責任共擔 模式的理解，甚至造成誤解。云客戶責任共擔意識薄弱，責任承擔能力不足。部分云客戶對上云后的安全責任問題認識不夠清晰，認為上云后安全責任全部由服務商承擔，根據中國信通院中國私有云發(fā)展調查報告調查顯示，僅有 35.4%的企業(yè)表示安全責任應由私有云服務商和企業(yè)共同承擔。同時，一些云客戶對云上業(yè)務的安全管理體系建設不足，存在安全投入不夠、運維人員安全意識不到位、安全防護水

23、平低等問題，無法切實承擔自己應承擔的安全責任。云客戶消極承擔責任或知法犯法，云服務商巡查存在技術挑戰(zhàn)。部分云客戶雖然能夠意識到上云后應承擔相應安全責任，但在承擔責 任時采取消極應對的態(tài)度，如不對云上業(yè)務進行有效的網絡安全防護、使用虛假材料進行實名認證等。同時，云計算作為一種可靠的、可擴 展的全球性基礎設施，受到黑灰產的關注，惡意客戶利用云資源，進 行多種違法違規(guī)活動或云資源濫用行為，如經營涉黃涉毒涉賭等違法 應用程序、對外發(fā)起 DDoS 等網絡攻擊、數字貨幣挖礦、暴力破解、垃圾郵件和釣魚活動、刷單、惡意 VPN 代理、云養(yǎng)號、惡意刷域名備案等。云服務商作為云平臺的運營者，考慮監(jiān)管要求以及自身業(yè)

24、務安全穩(wěn)定發(fā)展的需求，承擔對上述行為巡查和處置的責任，即使大部分云服務商引入人工智能技術，結合人工措施，結果仍有缺失，全面審查依然是技術難題。案件糾紛時有發(fā)生，實際場景復雜難定責。云服務的運營應滿足國家法律法規(guī)的監(jiān)管要求，包括網絡安全法、著作權法、電子商務法等法律，電信條例、計算機信息網絡國際聯網安全保護管理辦法等條例規(guī)章。部分法律法規(guī)通用性強，結合多種信息技術場景，提出的要求較為粗放。而云計算存在服務模式多樣、服務關系多級嵌套等情況，在實際的案件糾紛中，責任的劃分與確定面臨諸多難題，如法律適用，履行責任的判定等。2019 年，國內首例云服務器侵權案二審改判，北京知識產權法院駁回一審原告的訴訟

25、請求，判定阿里云不承擔法律責任。該案爭議焦點在于案件的法律適用、合格通知的判定標準、云服務商是否構成共同侵權及應否承擔民事責任等問題，涉及云上用戶數據與隱私安全，受到廣泛關注。北京市知識產權法院認為，信息網絡傳播權保護條例不適用于本案，而應依據侵權責任法進行判決。二、云計算安全責任共擔模型框架為建立更加精細可落地、普遍適用于云計算行業(yè)的安全責任共擔模型，提升云服務客戶責任共擔意識與承擔水平，自 2019 年起，中國信通院、云計算開源產業(yè)聯盟牽頭，聯合數十家云服務商，開展了云計算安全責任共擔的相關研究，制定了云計算安全責任共擔模型行業(yè)標準?；谝酝芯砍晒帉懘税灼?，將云計算安全責任共擔模型

26、成果進行分享，以供行業(yè)相關企業(yè)、人員參考。（一）模型應用場景云計算分為公有云、私有云、社區(qū)云、混合云等部署模式。私有云、社區(qū)云和混合云模式具體應用情況與云服務客戶需求較為相關， 不同客戶的云平臺差異較大，公有云由云服務商統一交付，通用性強， 不同公有云間運營模式差異不大。本白皮書將建立公有云模式下安全責任共擔模型，白皮書中對云計算安全責任的分類和識別，也可供其它云計算部署模式參考。根據服務模式的不同，本白皮書將按照以下三種服務模式進行責任劃分：基礎設施即服務（IaaS）。云服務商為云服務客戶提供計算、存儲、網絡等基礎資源，云服務客戶基于這些資源部署需要的中間件、應用軟件等。典型的 IaaS 服

27、務包括云服務器、云硬盤等。平臺即服務（PaaS）。云服務商為云服務客戶提供封裝后的 IT 能力，包括軟件開發(fā)環(huán)境、運行平臺等，云服務客戶基于此來部署、管理和運營自己的應用。典型的 PaaS 服務包括消息中間件、機器學習平臺等。軟件即服務（SaaS）。云服務商為云服務客戶直接提供應用服務，云服務客戶可通過網絡訪問和使用這些應用。典型的 SaaS 服務包括郵箱、在線會議、辦公軟件等。（二）云計算安全責任主體云服務在實際運營中存在服務關系多級嵌套的情況，如 HYPERLINK l _bookmark3 圖 4 所示。本白皮書共擔模型以云平臺為核心，研究與云服務直接相關的云服務提供者和云服務客戶的責任

28、劃分。云服務合作者1，以及云服務客戶基于云服務對外提供應用而獲得的用戶，不在模型范圍內。云服務提供者。指提供云服務的參與方，本白皮書模型中為公有云云服務商，提供 IaaS、PaaS、SaaS 中的一種或多種云服務。對于僅提供 PaaS 或 SaaS 服務的云服務提供者，其基礎資源可以是IaaS/PaaS 云服務，也可以是物理機等非云服務資源，但后文將統一表述為IaaS、PaaS。云服務客戶。指為使用云服務而處于一定業(yè)務關系中的參與方。業(yè)務關系不一定包含經濟條款。包括企事業(yè)客戶和個人客戶。（三） 云計算安全責任分類本白皮書將云計算安全責任分為七大類：1）物理基礎設施，指運營云計算服務的數據中心安

29、全和云計算平臺基礎架構安全。2）資源抽象和管理，指計算、存儲、網絡、數據庫等資源的虛擬化安全， 以及云主機、云存儲、云網絡和云數據庫等云服務產品的安全管理。3）操作系統，指云主機的操作系統安全。4）網絡控制，指云服務間的，或云服務與外部的網絡通信的安全控制。5）應用，指云計算環(huán)1 GB/T 32400-2015 信息技術 云計算 概覽與詞匯云服務合作者：支撐或協助云服務提供者和/或云服務客戶活動的參與方。根據不同的服務合作者類型， 以及他們與云服務提供者和云服務客戶的關系，有不同的云服務合作者活動。云服務合作者包括云審計者、云服務代理等。境下的應用系統的安全管理。在 IaaS、PaaS 模式中

30、，應用是云服務客戶自行部署在云環(huán)境上的軟件或服務。在 SaaS 模式中，應用是云服務提供者為云服務客戶提供的軟件類云服務。6）數據，指云計算相關的云服務客戶數據、云服務衍生數據、云服務提供者數據2和云服務客戶個人隱私信息的安全管理。7）身份識別和訪問管理（IAM），指對云計算相關資源和數據的身份識別和訪問管理，涉及云控制臺、云服務和云服務提供者內部系統平臺的身份識別和訪問管理。內部系統平臺指云服務提供者內部與云服務相關的平臺系統，如代碼托管系統、運維系統等。圖 12云計算安全責任共擔模型2 GB/T 32400-2015 信息技術 云計算 概覽與詞匯云服務客戶數據：基于法律或其他方面的原因，由

31、云服務客戶所控制的一類數據對象。這些數據對象包括輸入到云服務的數據，或云服務客戶通過已發(fā)布的云服務接口執(zhí)行云服務所產生的數據。 注1: 法律原因包括版權等。 注 2: 云服務可包含或操作非云服務客戶數據。非云服務客戶數據可包括云服務提供者可訪問的數據，其他來源的數據，或公開可獲取的數據。但是，按照一般的版權原則，云服務客戶通過使用云服務在非云服務客戶數據上所產生的數據可能是云服務客戶數據，除非在云服務協議中有相反的條款規(guī)定。 云服務衍生數據：由云服務客戶和云服務交互所產生的云服務提供者控制的一類數據對象。 注：云服務衍生數據包括日志數據，授權用戶數以及授權用戶的身份，配置數據和定制化數據。其

32、中，日志數據記錄了誰在什么時間使用了服務，使用了什么功能和數據等。配置數據和定制化數據用于云服務的配置和定制化。 云服務提供者數據：由云服務提供者控制，與云服務運營相關的一類數據對象。 注：云服務提供者數據包括但不限于資源的配置和使用信息、云服務特定的虛擬機信息、存儲和網絡資源配置信息、數據中心的整體配置和使用信息、物理和虛擬機資源的故障率和運營成本等。三、云計算安全責任識別與劃分（一）云計算安全責任識別物理基礎設施安全責任識別云計算場景下物理基礎設施安全責任主要包括：1）數據中心環(huán)境安全，指選址、建筑結構、電力、消防、溫濕度等數據中心環(huán)境的安全責任。2）數據中心運營安全，指訪問控制與監(jiān)控、安

33、全審計與檢查等數據中心運營的安全責任。3）容災，指跨機房的、跨可用區(qū)的或跨地區(qū)的數據中心容災責任。4）物理設備生命周期安全，指計算、存儲、網絡等云計算相關物理設備從采購、使用、維護到銷毀全生命周期的安全責任。5）基礎架構安全，指計算、存儲、網絡等云計算底層基礎架構的安全責任。資源抽象和管理安全責任識別云計算場景下資源抽象和管理安全責任主要包括：1）安全隔離，指通過計算虛擬化、存儲虛擬化、網絡虛擬化等技術保障云計算環(huán)境下的多租戶隔離以及虛擬資源與虛擬化平臺之間的隔離。具體分為： 計算隔離，指對管理系統與虛擬機/容器以及虛擬機/容器之間進行計算隔離，在未授權的情況下，無法通過虛擬機訪問物理主機和其

34、他虛擬機/容器的系統資源。存儲隔離，指虛擬機只能訪問分配給它的物理磁盤空間。網絡隔離，指虛擬網絡之間互相隔離，以及虛擬網絡和物理網絡間的隔離。數據庫隔離，指不同云服務客戶的數據庫互相隔離。2）虛擬化平臺安全，指虛擬化技術安全，以及確保虛擬化平臺免受外部攻擊或內部濫用的責任。3）云控制臺安全，指云控制臺設計、開發(fā)、測試、部署和運維的全生命周期安全責任。4）云服務API 安全，指云服務API設計、開發(fā)、測試、部署和運維的全生命周期安全責任。5）云服務產品安全，指云服務產品設計、開發(fā)、測試、部署和運維的全生命周期安全責任。操作系統安全責任識別云計算場景下操作系統安全責任主要包括：1）鏡像安全。在Ia

35、aS 模式中，鏡像包括公共鏡像（公共鏡像是由云服務提供者制作并發(fā)布的鏡像）、服務市場鏡像（服務市場鏡像由第三方服務提供者提供） 和其它來源鏡像（其它來源鏡像由云服務客戶自行制作，或云服務客戶使用的其它來源共享的鏡像），在PaaS/SaaS模式中，鏡像指云服務提供者主機中所使用的鏡像。安全責任具體包括：鏡像制作安全， 指鏡像制作過程中的安全責任，鏡像應由專業(yè)團隊制作，已知的安全漏洞應在制作時被修復。鏡像版本管理，指鏡像版本計劃，周期性的或在有重大安全漏洞被披露時對鏡像進行更新或修復。鏡像校驗與審核，指鏡像在發(fā)布或使用前應進行安全校驗和內容審核，校驗與審核通過后才可發(fā)布或使用。鏡像漏洞管理，指鏡像

36、發(fā)布后或使用時的漏洞管理，包括漏洞信息的獲取與告知，漏洞的修復等。2）云主機安全監(jiān)測，指在云主機內部部署安全產品或工具，對云主機的入侵行為進行監(jiān)測和處置，以避免云主機主動或被動向外部發(fā)起惡意攻擊。3） 云主機備份，指通過鏡像、快照等方式對云主機進行備份。網絡控制安全責任識別云計算場景下網絡控制安全責任主要包括：1）設置安全組，指為云服務設置合理的安全組，以控制云服務間的，或云服務與外部的網絡通信。2）網絡類型選擇，指為云服務選擇合適的網絡類型，如專有網絡等，以實現云服務的訪問。3）IP黑白名單配置，指為云服務配置合理的IP黑名單、白名單，以限制或開放不同IP對云服務的訪問。應用安全責任識別云計

37、算場景下應用安全責任主要包括：1）應用生命周期安全， 指應用從設計、開發(fā)、測試到發(fā)布全生命周期安全責任。2）應用安全管理，指應用的漏洞管理和安全防護。應周期性對應用進行漏洞掃描和修復，部署面向應用的安全防護工具，對入侵行為進行監(jiān)控、告警和處置。3）應用內容安全，指應用中運營的內容應符合相關法律法規(guī)規(guī)定，不應存在涉黃、涉毒等違規(guī)內容。4）網站域名備案，指網站的域名應按國家相關法律法規(guī)規(guī)定完成備案。數據安全責任識別云計算場景下數據安全責任主要包括：1）數據存儲安全，指數據存儲的持久性、私密性、完整性和可用性。數據持久性指數據存儲不丟失。數據私密性包括數據隔離安全性和數據存儲保密性。數據存儲保密性指

38、采用加密技術或其他保護措施實現數據的存儲保密性。數據隔離安全性僅適用于云服務客戶數據，指同一資源池云服務客戶數據互不可見。數據完整性指數據完整性不被破壞的概率。數據可用性指對數據的各項操作（如上傳、修改、刪除、查找等）成功的概率。2）數據傳輸安全，指采用合理的技術和手段保障數據傳輸過程中的私密性和完整性。3）數據訪問安全，指數據的訪問和使用均在授權下，以及使用有效的數據保護手段，確保數據不被竊取。4）數據遷移安全，指數據在云平臺的遷入遷出安全。5）數據銷毀安全，指數據及其副本能夠如期望的徹底銷毀，以及使用有效的手段防止數據及其副本的誤銷毀。6）數據安全管理，指數據的分類分級管理機制。7）數據安

39、全合規(guī)，指數據的收集、存儲、使用、處理等滿足相關法律法規(guī)的要求。8）安全審查和取證，指在配合政府監(jiān)管部門開展安全審查或調查取證時，應采取一定的安全措施，具體包括：a）應建立相關的管理制度，對每一種數據披露場景建立內部審核機制。b）要求政府監(jiān)管部門提供證件、法律函件等材料，以識別政府監(jiān)管部門安全審查或調查取證的要求是否真實可信。c）在允許的條件下，將配合安全審查或調查取證行為告知數據相關方。身份識別和訪問管理安全責任識別云計算場景下IAM安全責任主要包括：1)密碼安全策略，指密碼創(chuàng)建、修改時，有復雜度、更換周期等安全策略。2)身份認證憑證管理，指妥善保管身份認證憑證，包括登陸密碼、訪問密鑰等，以

40、避免身份認證憑證被盜用、冒用。3)身份鑒別信息安全，指身份鑒別信息以加密的方式傳輸和存儲。4)行為日志功能，指對賬號使用記錄、操作記錄等內容進行記錄、分析和審計。5)用戶管理和權限管理，指對用戶及其具備的權限進行管理。對于云服務，除上述安全責任外，還應包括實名備案安全責任， 既在購買和使用云服務時，應按國家法律法規(guī)規(guī)定，完成實名備案。（二）云計算安全責任劃分在上一節(jié)識別的云計算安全責任中，一些安全責任必須由云服務提供者承擔，一些安全責任必須由云服務客戶承擔，其余安全責任既可以由云服務提供者承擔，也可以由云服務客戶承擔。在云服務的實際運營中，往往由兩者協商后確定。在后續(xù)章節(jié)中，將對 IaaS、P

41、aaS 和 SaaS 模式下必須由云服務提供者或云服務客戶承擔的責任進行劃分，可協商的安全責任將給出多種劃分示例以供參考，云服務提供者和云服務客戶可以結合實際場景和需求進行調整和適配。IaaS 模式IaaS模式下，必須由云服務提供者或云服務客戶承擔的責任劃分如表1所示，可協商安全責任的劃分參考如表2所示。表 1 IaaS 模式下云計算安全責任劃分安全責任云服務提供者云服務客戶物理基礎設施安全數據中心環(huán)境安全數據中心可以是云服務提供者自建或向第三方租賃， 無論是自建還是租賃，云服務提供者均應承擔數據中心的環(huán)境安全責任數據中心運營安全數據中心的運營可以由云服務提供者或第三方企業(yè)進行，安全運營責任均

42、由云服務提供者承擔容災為保障云服務和云服務客戶數據的可用性，容災可以作為基礎服務或增值服務提供給云服務客戶。但無論云服務客戶是否使用容災服務，云服務提供者都應保證云服務和云服務客戶數據可用性達到SLA中的承諾值，因容災不足而未達到SLA的，由云服務提供者承擔相應責任物理設備生命周期安全基礎架構安全資源抽象和管理安全安全隔離虛擬化平臺安全云控制臺安全云服務API安全云服務產品安全操作系統安全公 共鏡 像安全鏡像制作安全鏡像版本管理除第（一）節(jié)中3. 1）b）提到的責任外，應確保云服務客戶在購買云主機時獲取的均是最新版公共鏡像鏡像校驗與審核鏡像漏洞管理參考表2服 務市 場鏡 像安全鏡像制作安全服務

43、市場鏡像由第三方服務提供者制作，但云服務提供者仍需承擔如下責任：在云服務客戶使用服務市場鏡像前，告知云服務客戶該鏡像由第三方服務提供者制作，安全責任最終鏡像版本管理共擔方為第三方服務提供者，應留意使用過程中面臨的風險。應對第三方服務提供者進行資質審查，確保發(fā)生安全事件后，云服務客戶能夠與第三方服務提供者取得聯系。因云服務提供者審核不當導致云服務客戶無法與第三方服務提供者取得聯系的，安全責任由云服務提供者承擔。鏡像校驗與審核云服務提供者應盡到注意義務，通過技術、管理等手段，對發(fā)布的服務市場鏡像進行校驗與審核，避免發(fā)布的鏡像存在病毒等安全問題鏡像漏洞管理承擔將重大安全漏洞信息告知已經使用該鏡像的云

44、服務客戶的責任使用服務市場鏡像創(chuàng)建云主機后，應時刻關注云服務提供者和第三方企業(yè)機構發(fā)布的漏洞公告， 及時對鏡像存在的安全風險進行處置其 它來 源鏡 像安全鏡像制作安全鏡像版本管理鏡像校驗與審核鏡像漏洞管理云主機安全監(jiān)測參考表2云主機備份參考表2網絡控制安全設置安全組承擔為云服務客戶提供安全組功能的責任網絡類型選擇承擔為云服務客戶提供多種網絡類型的責任IP黑白名單配置承擔為云服務客戶提供IP黑白名單配置的責任應用安全應用生命周期安全應用安全管理應用內容安全承擔對云服務客戶公開的應用進行內容安全審核的責任，應具備完備的審查流程、預警方案和配合機制。能夠配合監(jiān)管部門或核實用戶舉報，針對違法違規(guī)的應用

45、，通知云服務客戶整改，或將其封禁和下線。網站域名備案承擔云服務客戶網站進行域名備案審核的責任，針對未按規(guī)定備案的網站，有責任將其封禁和下線數據安全云 服務 客戶 數據 安全數據存儲安全數據傳輸安全承擔為云服務客戶提供保障數據傳輸安全的技術和手段的責任數據訪問安全承擔僅在云服務客戶授權下才訪問數據的責任數據遷移安全參考表2數據銷毀安全為避免云服務客戶誤刪或未及時續(xù)訂云服務，云服務提供者可以對云服務客戶數據保留一定時間，時間到期后將云服務客戶數據徹底刪除，但該行為應提前告知云服務客戶數據安全管理安全審查和取證云 服務 衍數據存儲安全數據傳輸安全生 數據 安全數據訪問安全數據遷移安全數據銷毀安全數據

46、安全管理安全審查和取證云 服務 提供 者數 據安全數據存儲安全數據傳輸安全數據訪問安全數據遷移安全數據銷毀安全數據安全管理安全審查和取證個 人隱 私信 息安全數據存儲安全除第（一）節(jié)中6.提到的責任外，個人隱私信息的收集、存儲、處理等詳細信息應通過隱私聲明等方式披露給云服務客戶數據傳輸安全數據訪問安全數據遷移安全數據銷毀安全數據安全管理安全審查和取證IAM安全云 控制臺密碼安全策略身份認證憑證管理身份鑒別信息安全行為日志功能參考表2用戶管理和權限管理承擔為云服務客戶提供用戶管理和權限管理功能的責任云 服務密碼安全策略參考表2身份認證憑證管理身份鑒別信息安全行為日志功能參考表2用戶管理和權限管理

47、承擔為云服務客戶提供用戶管理和權限管理功能的責任實名備案承擔云服務客戶實名備案承擔完成實名備案的責審核的責任，在云服務客戶任， 因實名備案材料造備案前為其提供云服務的，假，云服務提供者依法停安全責任由云服務提供者止對其提供云服務的，責承擔任由云服務客戶自行承擔云 服密碼安全策略務 提身份認證憑證管供 者理內 部身份鑒別信息安平 臺全系統行為日志功能用戶管理和權限管理表 2 IaaS 模式下云計算安全責任協商劃分參考序號責任類別責任劃分參考模式序號云服務提供者云服務客戶1操作系統安全/公共鏡像安全/鏡像漏洞管理a）將安全漏洞信息告知已經使用該版本鏡像的云服務客戶使用公共鏡像創(chuàng)建云主機后，關注云服

48、務提供者和第三方企業(yè)機構發(fā)布的漏洞公告，及時對鏡像存在的安全風險進行處置b）對云服務客戶存在安全漏洞的鏡像進行主動修復2操作系統安全/云主機安全監(jiān)測a）在云主機內部署安全產品或工具，對云主機的入侵行為進行監(jiān)測和處置b）為云服務客戶提供云主機安全產品c）在云服務客戶購買云主機時，默認內置安全監(jiān)測功能3操作系統安全/云主機備份a）提供云主機備份功能合理使用云主機備份功能b）在云服務客戶購買云主機時，默認對云主機開啟備份4數據安全/云服務客戶數據安全/數據遷移安全a）自行進行數據遷移b）提供數據遷移服務5IAM 安全/云控制臺安全/行為日志功能a）提供行為日志功能對行為日志進行分析和審計b）提供行為

49、日志功能、日志分析和審計服務6IAM 安全/云服務安全/密碼安全策略a）設置合理的密碼安全策略b）配置合理的密碼安全策略要求，如在云主機鏡像制作時配置密碼安全策略要求7IAM 安全/云服務安全/行為日志功能a）提供行為日志功能對行為日志進行分析和審計b）提供行為日志功能、日志分析和審計服務PaaS 模式PaaS 模式下，云服務提供者和云服務客戶安全責任劃分如表 3 所示。表 3 PaaS 模式下云計算安全責任劃分安全責任云服務提供者云服務客戶物理基礎設施安全同IaaS模式資源抽象和管理安全同IaaS模式操作系統安全鏡像安全鏡像制作安全鏡像版本管理鏡像校驗與審核鏡像漏洞管理云主機安全監(jiān)測云主機備

50、份網絡控制安全同IaaS模式應用安全同IaaS模式數據安全同IaaS模式IAM安全同IaaS模式SaaS 模式SaaS模式下，必須由云服務提供者或云服務客戶承擔的責任劃分如表4所示，可協商安全責任的劃分參考如表5所示。表 4 SaaS 模式下云計算安全責任劃分安全責任云服務提供者云服務客戶物理基礎設施安全同IaaS模式資源抽象和管理安全同IaaS模式操作系統安全同PaaS模式網絡控制安全設置安全組網絡類型選擇IP黑白名單配置應用安全應用生命周期安全應用安全管理應用內容安全網站域名備案數據安全同IaaS模式IAM安全云控制臺/云服務密碼安全策略身份認證憑證管理身份鑒別信息安全行為日志功能參考表5

51、用戶管理和權限管理承擔為云服務客戶提供用戶管理和權限管理功能的責任實名備案承擔云服務客戶實名備案審核的責任，在云服務客戶備案前為其提供云服務的，安全責任由云服務提供者承擔承擔完成實名備案的責任，因實名備案材料造假，云服務提供者依法停止對其提供云服務的，責任由云服務客戶自行承擔云服務提供者內部平臺系統同IaaS模式表 5 SaaS 模式下云計算安全責任協商劃分參考序號責任類別責任劃分參考模式序號云服務提供者云服務客戶1IAM 安全/云控制臺安全/ 行為日志功能a）提供行為日志功能對行為日志進行分析和審計b）提供行為日志功能、日志分析和審計服務四、云計算安全責任共擔未來發(fā)展趨勢展望隨著云計算作為新

52、型基礎設施建設的重要性不斷凸顯，云計算安全將更加關鍵，責任共擔也將進入成熟發(fā)展與應用階段，具體表現為：行業(yè)發(fā)展成熟有序，責任主體共擔意識得到提升。云服務商、云 服務合作商、行業(yè)第三方組織等不斷加強云計算責任共擔模式的宣傳， 相關標準、研究成果日益豐富成熟，在此影響下，云服務客戶的責任 承擔意識將不斷提升。監(jiān)管政策日益健全，為事件追責提供依據。網絡安全已經成為國家安全的重要組成部分，關系國家的穩(wěn)定與發(fā)展。各政府相關部門積極推動網絡安全相關法律法規(guī)的制定，不斷完善面向云計算等新技術的法規(guī)政策，促進監(jiān)管與時俱進，云平臺責任的界定將更加清晰明確， 有法有規(guī)可依。技術水平持續(xù)發(fā)展，為云服務商全面巡查提供

53、支持。目前，云服務商在合規(guī)巡查方面已經引入人工智能等新技術，但技術與實際場景的融合仍存在局限性，應用效果差強人意。隨著技術的發(fā)展以及與應用場景的不斷磨合，云服務商巡查能力將得到提高。云計算安全生態(tài)不斷豐富，云服務客戶責任承擔能力加強。近些年，我國云安全產品生態(tài)不斷豐富。一方面，云計算廠商在強化自身安全能力的同時，紛紛將自身安全能力產品化輸出；另一方面，安全廠商積極布局云計算安全解決方案，將積累的豐富安全經驗適配于云環(huán)境。安全產品的發(fā)展，極大程度的促進了云服務客戶安全防護水平的提升，云服務客戶能夠更切實的承擔相應安全責任。 PAGE 57附錄 1：公有云安全責任承擔優(yōu)秀案例注：排名不分先后，以首

54、字母進行（一）阿里云物理基礎設施安全責任承擔阿里云承擔 IaaS、PaaS 和 SaaS 模式下物理基礎設施的安全責任，具體包括：數據中心環(huán)境安全。數據中心建設滿足 GB 50174電子信息機房設計規(guī)范A 類和 TIA 942數據中心機房通信基礎設施標準中T3+標準，在選址、抗震能力、耐火能力、防水能力、防靜電能力、主機房負載、供電、滅火系統、報警系統、溫濕度等方面均已通過“可信云云計算風險管理能力評估”。數據中心運營安全。1）訪問控制，僅向本數據中心運維人員授予長期訪問權限，轉崗或離職，立即清除權限。其他人員經各方主管審批后才能獲取短期授權，每次出入需要出示證件并登記，且數據中心運維人員全程

55、陪同。數據中心內各個區(qū)域擁有獨立的門禁系統，重要區(qū)域采用指紋等雙因素認證，特定區(qū)域采用鐵籠進行物理隔離。2） 監(jiān)控系統，數據中心機房各區(qū)域和通道設有 7*24 小時視頻監(jiān)控系統。機房內具備完善的動力環(huán)境監(jiān)控系統，能夠對機房漏水、空調、配電等狀況進行實時監(jiān)控。3）安全審計與檢查，監(jiān)控和文檔記錄均會長期保存，且由專人定期復核。容災。在全球部署多數據中心，同地域支持多個可用區(qū)。不同云服務具備不同的容災能力，如云數據庫支持同城容災和異地容災；對象存儲默認采用多可用區(qū)機制，用戶數據分散存放在同一地域的 3 個可用區(qū)，DDoS 防護、云防火墻等 SaaS 服務具備自動容災能力。物理設備生命周期安全。建立了

56、數據中心物理設備從接收、保存、安置、維護、轉移到重用或報備的全生命周期管理制度，在實際運營中嚴格按照相應制度開展工作?；A架構安全。在計算架構、存儲架構、網絡架構方面均具備風險管理措施，已通過“可信云云計算風險管理能力評估”。資源抽象和管理安全責任承擔阿里云以飛天分布式云操作系統為核心，承擔 IaaS、PaaS 和SaaS模式下資源抽象和管理的安全責任，具體包括：安全隔離。1）計算隔離，關鍵隔離邊界是管理系統與客戶虛擬機以及客戶虛擬機之間的隔離，由 Hypervisor 實現。阿里云平臺使用的虛擬化環(huán)境，將用戶實例作為獨立虛擬機運行，并且通過使用物理處理器權限級別強制執(zhí)行此隔離，確保用戶虛擬機

57、無法通過未授權的方式訪問物理主機和其他用戶虛擬機的系統資源。2）存儲隔離，將基于虛擬機的計算與存儲分離，使得計算和存儲可以獨立擴展，從而更容易提供多租戶服務。在虛擬化層，Hypervisor 采用分離設備驅動模型實現 I/O 虛擬化。虛擬機所有 I/O 操作都會被 Hypervisor 截獲處理，保證虛擬機只能訪問分配給它的物理磁盤空間，從而實現不同虛擬機硬盤空間的安全隔離。3）網絡隔離，一方面，把對外提供服務的云服務網絡和支撐云服務的物理網絡進行安全隔離，通過網絡ACL 確保云服務網絡無法訪問物理網絡。另一方面，云服務網絡中每個邏輯虛擬網絡與所有其他虛擬網絡隔離，確保部署中的網絡流量數據不能

58、被其它 ECS 虛擬機訪問。虛擬化平臺安全。采用安全加固、逃逸檢測、補丁熱修復等安全 技術保障阿里云虛擬化層安全。1）安全加固，使用輕量級和專門為 云上場景開發(fā)的虛擬化管理程序，在設計之初即做到軟硬件場景結合， 專注于只支撐垂直的云上基礎設施的硬件虛擬化，最大限度的從虛擬 化管理程序中裁剪一些與云上設備無關的代碼來降低攻擊面，同時采 用一系列可信計算技術來保障整個鏈路的安全，并對虛擬化管理程序 和宿主機 OS/內核級別進行相應安全加固。2）逃逸檢測，使用高級虛擬機布局算法以防止惡意用戶的虛擬機運行在特定物理機上，且虛 擬機無法主動探測自身所處的物理主機環(huán)境，同時在 Hypervisor 層面對

59、虛擬機異常行為進行檢測。3）補丁熱修復，通過補丁熱修復技 術使得系統缺陷或者漏洞的修復過程不需要用戶重啟系統，從而不影 響用戶業(yè)務。云控制臺、云服務 API 和云服務產品安全。針對云計算制定了云產品安全生命周期（Secure Product Lifecycle，SPLC），目標是將安全融入到整個產品開發(fā)生命周期中。SPLC 在產品架構審核、開發(fā)、測試審核、應急響應的各個環(huán)節(jié)層層把關，每個節(jié)點都有完整的安全審核機制確保產品的安全性能夠滿足嚴苛的云上要求，從而有效地提高云產品的安全能力并降低安全風險。操作系統安全責任承擔在IaaS、PaaS 和SaaS 模式下，阿里云對操作系統相關安全責任承擔有所

60、區(qū)別，具體包括：公共鏡像安全/（PaaS、SaaS）鏡像安全。在 IaaS 模式下承擔公共鏡像安全，在 PaaS 和SaaS 模式下承擔底層主機所使用鏡像的安全責任，具體表現為：支持 Linux 和 Windows 的多個發(fā)行版本，包括阿里云自研的Aliyun Linux 2 版，能夠保障鏡像制作過程的安全， 發(fā)布前對鏡像進行校驗與審核，對操作系統漏洞以及三方軟件漏洞進行實時監(jiān)測，以確保高危漏洞在第一時間得到修復。公共鏡像集成了所有已知的高危漏洞補丁，防止云主機上線之后即處于高風險狀態(tài)。在發(fā)現新的高危安全漏洞后，阿里云會迅速更新鏡像并提供給客戶。服務市場鏡像安全。在 IaaS 模式下承擔部分服