云安全責任共擔模型2024

目 錄一、新態(tài)勢：云安全責任共擔模式面臨新發(fā)展需求 1（一）政策標準為云安全責任共擔提供更堅實的發(fā)展基礎 1（二）安全風險加劇，對云安全責任共擔提出更明確的發(fā)展要求 3（三）行業(yè)用戶共擔意識仍存提升空間，實際需求為云安全責任共擔指明發(fā)展方向 二、新理念：建立云安全責任共擔2.0體系 6（一）明確云安全責任共擔主體角色 6（二）遵循四大云安全責任共擔基本原則 8（三）依據(jù)云計算的服務類型和服務模式開展云安全責任共擔 91、云計算的服務類型影響云安全責任范圍 92、云計算的服務模式影響云安全責任范圍 11（四）構建云安全責任共擔三大關鍵環(huán)節(jié) 14三、云安全責任共擔實施參考 17（一）夯實云平臺安全建設與使用能力 171、云服務商提升云平臺自身安全性 172、云服務客戶增強云平臺安全使用能力 19（二）共筑云上持續(xù)安全防護體系 201、識別云安全防護能力域，打造安全履責能力 202、依托云安全服務構建安全防護體系 23（三）多主體建立信息傳遞機制，促進云安全責任共擔協(xié)同 251、云服務商和云服務客戶之間的信息傳遞機制 252、云安全廠商和云服務客戶之間的信息傳遞機制 27四、云安全責任共擔發(fā)展建議 29五、結語 31附錄：云安全責任共擔模式在多場景下的應用案例 32一一求1，2022436035.0%展態(tài)勢。（一） 政策標準為云安全責任共擔提供更堅實的發(fā)展基礎IT1中國信息通信研究院《云計算白皮書（2023年》2022多項標準規(guī)范推動建立云安全責任共擔共識。YD/T4060-2022客戶兩大主體間的責任分擔方式；GB/T31168-2023《信息安全技術來源：YD/T4060-2022《云計算安全責任共擔模型》圖1 云計算安全責任共擔模型（二） 安全風險加劇，對云安全責任共擔提出更明確的發(fā)展要求742%一方面20215Everis2CybersecurityInsiders《2023CloudSecurityReport》3Sonatype《8thStateofthesoftwaresupplychain》20312650一方面完整性依賴于云平臺的技術架構。另一方面，（三） 行業(yè)用戶共擔意識仍存提升空間實際需求為云安全責任共擔指明發(fā)展方向（2023年2021年提升了2.7%4世界經(jīng)濟論壇《2022年全球網(wǎng)絡安全展望報告》/DevOps.系2.02.0（一） 明確云安全責任共擔主體角色2.0云服務客戶：使用云服務的企事業(yè)客戶和個人客戶。云服務客戶/平臺能力類云服務，也可以是物理機等非云服務資源。圖2 云安全責任共擔主體（二） 遵循四大云安全責任共擔基本原則責任合理性原則：云服務客戶、云服務商、云安全廠商對云及云上資產(chǎn)的可見性不同，法律法規(guī)規(guī)定的責任義務也不同，云安全責任效率。（三） 依據(jù)云計算的服務類型和服務模式開展云安全責任共擔1、云計算的服務類型影響云安全責任范圍2.0基礎設施能力類云服務：為云服務客戶提供能配置和使用計算、存儲或網(wǎng)絡資源的云服務。服務。應用能力類云服務：為云服務客戶提供應用的云服務，如協(xié)同辦公服務、運營管理服務等。任則變少，保障類服務涉及支撐的責任范圍也變小。圖3 云計算的服務類型對主體安全責任范圍的影響示意圖2、云計算的服務模式影響云安全責任范圍三是云軟件交付+服務托管模式：云服務客戶采購資源類云軟件，API4圖4 云服務模式對主體安全責任范圍的影響示意圖5圖5 云軟件交付模式對主體安全責任范圍的影響示意圖對于云軟件交付+服務托管模式，云服務商負責云軟件自身的安全；云平臺所依賴的底層資產(chǎn)及云平臺日常運營的安全責任由云服務6圖6 云軟件交付+服務托管模式對主體安全責任范圍的影響示意圖（四）構建云安全責任共擔三大關鍵環(huán)節(jié)環(huán)節(jié)：二是云安全廠商與云服務客戶責任共擔，夯實云環(huán)境的安全防護體系。對于云上的業(yè)務和數(shù)據(jù)資產(chǎn)，云服務客戶對其安全防護負責，2.07所示。2.0體系，一個組織機構可能同時承擔一種以上的4，圖7 云安全責任共擔2.0體系考（一）夯實云平臺安全建設與使用能力1、云服務商提升云平臺自身安全性安全管理制度：訪問控制安全：云平臺基礎架構安全：云服務功能安全：提供云平臺和云服務的訪問控制、身份鑒2、云服務客戶增強云平臺安全使用能力應合管理者需明確責任1表1云服務客戶安全責任云服務客戶責任管理安全1、建立組織內(nèi)部安全管理制度，明確云安全責任人；2、遵守當?shù)胤煞ㄒ?guī)和云平臺用戶協(xié)議；3、正確評估上云需求，選擇合適的云服務；4、引入安全咨詢和培訓機制，不斷提升企業(yè)安全水平；5、建立安全運維運營團隊，或引入外部專家服務；網(wǎng)絡安全1、根據(jù)業(yè)務安全需求，選擇合適的網(wǎng)絡類型；2IP3NATIP綁定情況；計算安全1、選擇功能、性能與需求相符的計算資源；23、開啟鏡像備份并關注備份情況；存儲安全123、合理配置數(shù)據(jù)備份并關注備份情況；訪問、授權、認證1、合理配置IAM，確保用戶權限分配最小化；2、妥善保存憑證和密鑰信息，視情況開啟多因子認證；3、配置遠程訪問方式和參數(shù)，關閉非必要服務；4APISDK安全與審計1、開啟審計功能，定期查看日志記錄；2、留意安全通知和平臺告警，及時更新云資源版本，安裝補丁修復漏洞。（二）共筑云上持續(xù)安全防護體系1、識別云安全防護能力域，打造安全履責能力面IT基礎安全能力域是保證云上安全的基石，主要包括：1）API進行安全全局化能力域是對抗高級威脅的有效手段，主要包括：1）安全自動化能力域將全方位提高安全效能，主要包括：1）自動著眼于真正的威脅上；2）自動化安全處理能力，將常見安全操作以威脅的秒級響應。

表2安全服務與安全能力對應關系2、依托云安全服務構建安全防護體系云服務客戶的云上安全防護體系依托云安全廠商提供的云安全戶在進行云安全服務選型時應充分考慮自身實際生產(chǎn)場景與業(yè)務需選擇云服務商作為云安全服務供應商主要有以下優(yōu)勢：1），一方面云服務商提供的云安全服務通過云平臺的統(tǒng)一身份認證體系進行登，當前安，云計算技術發(fā)展選擇安全廠商作為云安全服務供應商主要有以下優(yōu)勢：1）定制IT。云服務客戶主要負責安全服務履約過程中的責任：1）對由操作不當而引發(fā)的安全事件負責按照說明進行操作；2）對由維護不當而引發(fā)的安全事件負責，客戶云安全廠商主要負責安全服務部署前交付與服務期內(nèi)的售后支持方面的責任：1）應保證交付工具符合驗收標準，安全能力滿足客SLA，在交付時無已知漏4）應在服務期內(nèi)持續(xù)提供技術支持，定期更新升級規(guī)則庫保證工具圖9 云安全工具責任劃分（三）多主體建立信息傳遞機制，促進云安全責任共擔協(xié)同1、云服務商和云服務客戶之間的信息傳遞機制云服務商和云服務客戶在采購、提供、運營云服務的過程中，應主動提供必要的信息并知曉相關規(guī)定以提高協(xié)作效率。雙方的信息傳遞與協(xié)作責任如表3所示。表3云服務商和云服務客戶之間信息傳遞與協(xié)作責任協(xié)作內(nèi)容協(xié)作過程云服務商云服務客戶用戶信息處理通知、選擇、收集告知用戶信息收集范圍、用途等，提供隱私政策聲明提供和授權必要信息，確保信息真實可用使用、留存、處置告知用戶信息使用方式和主體、留存位置和形式、處置方式和期限授權信息使用、留存、處置，依據(jù)留存和處置規(guī)則管理信息信息公開披露告知用戶公開披露場景和內(nèi)容，審查公開場景的合法合規(guī)性知曉信息披露規(guī)則并選擇性授權數(shù)據(jù)跨境轉移告知用戶跨境傳輸場景，與用戶簽訂數(shù)據(jù)轉移協(xié)議，遵循當?shù)胤煞ㄒ?guī)知曉數(shù)據(jù)跨境轉移規(guī)則并選擇性授權委托處理告知用戶委托處理情況，限制委托方使用的信息在用戶授權范圍內(nèi)知曉委托處理規(guī)則并選擇性授權云計算技術服務網(wǎng)站與賬號服務提供云平臺服務條款、保密條款等，明確使用網(wǎng)站和賬號所涉及的法律問題在服務條款和法律法規(guī)范圍內(nèi)使用云平臺和賬號云服務訂閱與變更告知用戶服務訂閱規(guī)則、付費方式、違約責任等，明確雙方的權利和義務知曉云服務訂閱與變更要求，恰當?shù)剡x擇和使用云服務云服務退訂與終止告知用戶服務退訂規(guī)則、資源處理方式等，明確雙方的權利和義務知曉云服務退訂與終止要求，對主動退訂或終止服務的后果負責服務等級協(xié)議提供各類云服務的SLA協(xié)議，內(nèi)容變更應及時告知用戶SLA等級未達標時依據(jù)協(xié)議提出賠償申請第三方支持（API、SDK等）說明，和安全風險提示在合規(guī)范圍內(nèi)使用第三方服務接入，承擔數(shù)據(jù)云外安全責任安全合規(guī)監(jiān)管合規(guī)確保云平臺符合所在地安全監(jiān)管要求，為用戶實現(xiàn)合規(guī)目標提供幫助應用部署、功能使用、數(shù)據(jù)上傳等操作應符合監(jiān)管要求信息透明在確保云平臺安全的前提下不斷提升信息透明能力主動了解并合理使用公開信息，促進業(yè)務開展安全高效2、云安全廠商和云服務客戶之間的信息傳遞機制4表4云服務客戶和云安全廠商之間信息傳遞與協(xié)作責任協(xié)作內(nèi)容協(xié)作過程云安全廠商云服務客戶用戶數(shù)據(jù)處理通知、選擇、收集告知用戶信息（包括云平臺信息）收集范圍、用途等，提供隱私政策聲明提供和授權必要信息，確保信息真實可用使用、留存、處置信息期限安全工具接入遠程工具告知用戶工具接入方式、認證方式、安全覆蓋范圍等，提供必要的身份認證信提供工具安全性、合規(guī)性證明放云平臺接口，協(xié)商工具使用和管理方式部署云上工具告知用戶工具部署位置、運行機制、安全覆蓋范圍等，提供工具安全性、合規(guī)性證明提供必要的身份認證信方式旁路監(jiān)測工具告知用戶監(jiān)測范圍、監(jiān)測結果處理方式等，提供工具安全性、合規(guī)性證明遵循最小授權原則開放云平臺接口，協(xié)商工具使用和管理方式安全服務持續(xù)性交付明確服務范圍、周期，提供服務方案和協(xié)議明確安全需求，提供必要的信息和支持，持續(xù)關注并反饋服務效果交付物明確交付內(nèi)容、時間，提供服務方案和協(xié)議明確安全需求，提供必要的信息和支持安全一致性功能適配提供安全產(chǎn)品和服務說明，確保云平臺支持且符合用戶需求根據(jù)信息安全三要素和最小授權原則選擇適當?shù)陌踩a(chǎn)品消息傳遞及時處理威脅告警、漏洞信息等并告知用戶及時關注相關的威脅告警、漏洞信息等補丁更新及時更新產(chǎn)品補丁并告知用戶關注補丁更新動態(tài)，及時下載并安裝議事前的2023710云服務客戶上云用云過程中面對的供應商不僅僅包括云服務商和云安M任何一個環(huán)節(jié)存在安全薄弱點，都有可能影響云上業(yè)務和數(shù)據(jù)安全，各/語“十四五”時期，云計算迎來新發(fā)展階段，只有充分發(fā)揮云安全責任共擔模式作用與價值，才能更好的保障千行百業(yè)云上業(yè)務與數(shù)據(jù)安全。在此過程中，云服務商、云服務客戶、云安全廠商等主體應充分發(fā)揮各方優(yōu)勢，提升云安全責任共擔意識和能力，統(tǒng)一安全目標，協(xié)同推動云安全工作的高質量開展，有效應對日益復雜的網(wǎng)絡安全挑戰(zhàn)。附錄：云安全責任共擔模式在多場景下的應用案例2.02.0（一）云安全配置風險場景5表5云安全配置風險場景下責任共擔示例云服務模式下責任云軟件交付模式下責任云軟件交付+服務托管模式下責任云服務商1、保障機房基礎設施的安全建設和運營；2、保障虛擬化平臺的安全建設和運營；3為云服務設計、開發(fā)完備的安全功能供云服務客戶使用，如訪問控制功數(shù)據(jù)加密功能等。1安全性，包括無高危漏洞、架構安全等。2為云服務設計、開發(fā)完備的安全功能供云服務客戶使用。1、保障交付的云軟件安全性，包括無高危漏洞、架構安全等。2SLA服務，依據(jù)云服務客戶安全配置規(guī)范配置云服務。云服務客戶1、合理配置和使用云服務的安全功能，如設置細粒度訪問控制權限、關閉不必要開放端口、設置數(shù)據(jù)加密算法等；1合理配置和使用云服務的安全功能；2可購買云安全配置檢查相關產(chǎn)品輔助3、保障機房基礎設施的安全建設和運1、按業(yè)務需求明確云服務安全配置規(guī)范；2、可購買云安全配置檢查相關產(chǎn)品輔助檢測不合理配置；3、保障機房基礎設施2、可購買云安全配置檢查相關產(chǎn)品輔助檢測不合理配置；3、可購買其它安全服務實現(xiàn)云服務及其上業(yè)務的安全防護，如DDoS檢測等。營；4、可購買其它安全服務實現(xiàn)整個云環(huán)境的安全防護。的安全建設和運營；4、可購買其它安全服務實現(xiàn)整個云環(huán)境的安全防護。云安全廠商1SLA安全配置檢查產(chǎn)品。1SLA安全配置檢查產(chǎn)品。1SLA安全配置檢查產(chǎn)品。（二）軟件供應鏈風險場景6（5。表6軟件供應鏈風險場景下責任共擔示例云服務模式下責任云軟件交付模式下責任云軟件交付+服務托管交付模式下責任云服務商1、在云服務的軟件依賴組件暴漏安全漏洞時，及時修復并告知云服務客戶潛在風險；2、當云平臺被入侵且可能影響云服務客戶云上業(yè)務時，及時防護并告知云服務客戶潛在風險；3、當云服務商發(fā)生重大變更可能影響云服務客戶業(yè)務連續(xù)性時，提前告知云服務客戶變更計劃。1需求時，向云服務客戶提供云軟件的軟件物料清單；2問題時，及時修復并提供補丁包。1需求時，向云服務客戶提供云軟件的軟件物料清單；2問題時，及時修復并提供補丁包；3、強化云運維服務人員的培訓教育，制定規(guī)范化服務方案，避免服務人員成為軟件供應鏈攻擊的突破口。云服務客戶1、針對云服務可能存在的軟件供應鏈風險，制定應急響應方案，如服務遷移等；2、及時接收云服務商和云安全廠商告知信息并依據(jù)應急響應方案采取措施；3可購買軟件供應鏈安全相關產(chǎn)品輔助防范軟件供應鏈風IASTSAST、RASP等。1在的軟件供應鏈風險，制定應急響應方案；2、依據(jù)軟件物料清單，在發(fā)現(xiàn)云軟件依賴組件暴漏安全漏洞時，及時告知云服務商和云安全廠商并要求其協(xié)助實施應急響應方案；3、發(fā)現(xiàn)云軟件問題時，及時告知云服務商和云安全廠商并要求其解決優(yōu)化；4接收云服務商和云安全廠商提供的補丁包并及時安裝。1在的軟件供應鏈風險，制定應急響應方案；2、依據(jù)軟件物料清單，在發(fā)現(xiàn)云軟件依賴組件暴漏安全漏洞時，及時告知云服務商和云安全廠商并要求其協(xié)助實施應急響應方案；3、發(fā)現(xiàn)云軟件問題時，及時告知云服務商和云安全廠商并要求其解決優(yōu)化；5接收云服務商和云安全廠商提供的補丁包并及時安裝；6建立第三方人員安全管理規(guī)范云運維運營服務人員的管理。云安全廠商1SLA件供應鏈安全產(chǎn)品。2、在云安全服務的軟件依賴組件暴漏安全漏洞時，及時修復并告知云服務客戶潛在風險；3云安全廠商發(fā)生重大變更可能影響云服務客戶業(yè)務連續(xù)性時，提前告知1SLA件供應鏈安全產(chǎn)品。2云安全軟件的軟件依賴組件暴漏安全漏洞時，及時修復并告知云服務客3云安全廠商發(fā)生重大變更可能影響云服務客戶業(yè)務連續(xù)性時，提前告知1SLA件供應鏈安全產(chǎn)品。2、在云安全軟