数字化转型系列（一） | 企业“上云”安全责任边界

引 言

迈入2020， 5G、AI、大数据、工业互联网引领信息技术新一轮变革，数字经济时代势不可挡，“上云”和云端构建已经成为越来越多企业发展的必然选择。疫情期间带来的线上化消费、工作、教育和娱乐趋势也将成为企业上云的强劲动力。

数字经济时代，企业上云优势愈加明显。上云企业可以利用云计算技术推动业务创新和技术创新，实现便捷、灵活管理，利用创新取得差异化竞争优势。上云，意味着大规模、虚拟化、高可靠及低成本IT资源配置，还意味着企业运营和管理的数据化、智能化和精细化。

2018年8月10日，工信部发布的《推动企业上云实施指南（2018-2020）》通知中指出，“到2020年，力争实现企业上云环境进一步优化，全国新增上云企业100万家，形成典型标杆应用案例100个以上，形成一批有影响力、带动力的云平台和企业上云体验中心”。为推动企业上云，有些地方政府还出台了企业上云补贴政策。

然而，上云依然会让企业有很多顾虑，而顾虑中最核心的，则是安全问题。数据泄露、云平台被攻击、系统安全漏洞、内部恶意人员风险、持续性服务保障、数据可移植风险等问题，还是会被上云企业重新提出、论证，并在各云服务提供商的各类服务中寻找最适合自身安全需求的解决方案。

本文无意论证上云和传统IT方案相比较哪种其实更安全，也无意讨论公有云、私有云、专有云和混合云等在安全问题上是否存在优劣，我们基于法律层面，试图说明上云企业和云服务中其他各方应该了解的安全责任边界，并提供最基本的云平台安全评估路径供进一步探讨。

一、 云计算应用场景及资源控制范围

在上云之前，有云服务客户认为云上的安全问题应全部是云服务提供商的责任，数据安全也应全部由云服务提供商负责。其实不然，云上安全责任首先受限于云服务参与各方可以触达的资源控制范围。云计算业务的基础，是一个可配置的共享资源池，该资源池提供物理基础设施、网络、服务器、存储、操作系统、应用和服务等多种硬件和软件资源。在不同的云计算服务模式中，云服务商和云服务客户可以控制的资源范围不同，安全边界也就不同。

软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS），作为云计算三种基本的服务模式，各云服务商和云服务客户对计算资源拥有不同的控制范围，也就形成了在不同服务模式下云服务商和云服务客户的安全管理责任边界又有所不同。

中国国家质量监督检验检疫总局和中国国家标准化委员会2017年12月29日发布《云计算安全参考架构》（GB/T 35279-2017），其中列示出了IaaS、PaaS和SaaS服务提供商及其服务客户可以分别控制的资源范围。

二、 云服务安全责任边界

根据云服务参与各方对资源控制的不同触达范围和职责，《云计算安全参考架构》对云服务场景参与的各方分为5类角色：云服务商、云服务客户、云审计者、云代理者和云基础网络运营者。该5类角色在云服务安全运营中均应承担相应职责和责任。

• 云服务商：直接或间接为客户提供云服务的实体，云服务商负责云服务资源的部署、编排、运营、监控与管理，服务模式包括SaaS、PaaS和IaaS。

• 云服务客户：使用云资源与云服务商建立业务关系的云服务参与方。云服务客户可以直接作为用户使用云服务，也可以是为保证用户使用云服务的运行稳定而提供服务计量、计费与资源购买等运营管理服务。

• 云代理者：管理云服务使用、性能与交付的实体，并在云服务商与云服务客户之间进行协商。

• 云审计者：负责对云服务进行独立评估、审计，负责审计云服务的供应与使用。云审计通常覆盖运营、性能与安全，检查一组特定的审计准则是否得到满足。云审计者是对云服务、信息系统运维、性能、隐私影响与安全进行独立评估的云参与者。

• 云基础网络运营者：云服务连接与传输的执行者，主要提供基础网络通信服务。

《云计算安全参考架构》对前述5类角色在云服务过程中的责任范围和边界提出参考架构如下：

由上图可以看出，云服务参与各方的安全职责边界交错，部分安全环境由几方共同参与，落实到每个参与方，其安全职责范围列示如下：

 具体到IaaS、PaaS和SaaS三种云服务提供商及其各自的服务客户对象的实际商业运作，其责任边界划分大致如下：

由上可见，云服务商主要安全责任是保障其部署在云平台基础设施之上的云计算环境的安全，而云服务商部署并控制的环境，根据其提供的IaaS、PaaS和SaaS服务，可以从物理网络、服务器、安全设备、虚拟化平台，触达操作系统、应用甚至数据。云服务客户则需对云上各类可控的资源等进行配置，该等配置也可从数据、应用，触达中间件甚至操作系统，云服务客户需要负责其自行部署在云上的各类资源安全。

因此，对于云服务商及云服务参与各方，首先应基于自身在云服务场景中的角色定位，了解其在该类服务中的安全责任边界，在此基础之上，再来寻求适合自身安全需求的云平台和服务商。

三、 云计算平台安全评估

对于云服务客户，如何迅速判断某个云服务平台或云服务商所能达到的安全水平呢？ 最基本和快速的参照标准是国内外云计算安全相关认证和评估标准。

(1) 国际云计算安全标准

国际主要云计算安全标准制定机构

• ISO/IEC第一联合技术委员会 （ISO/IEC JTC1）

• 国际电信联盟—电信标准化部门（ITU-T）

• 美国国家标准技术研究所（NIST）

• 区域标准组织（美国）CIO委员会

• 欧洲网络与信息安全管理局（ENISA）

国际有影响力的云计算安全标准建议组织

• 云安全联盟（CSA）

• 分布式管理任务组（DMTF）

• 结构化信息标准促进组织（OASIS）

常见国际云计算安全标准¹

(2)国内云计算安全标准体系

我国的云计算安全标准体系框架如下：

四、 如何了解云服务商的安全情况

云服务商提供的SOC报告

系统及组织控制 (SOC) 报告是独立的第三方审查报告，可展示云计算服务商如何实现关键合规性控制措施和目标，这些报告的目的是帮助企业理解旨在支持运营与合规性的云计算服务商的控制措施。所以，SOC报告可以作为企业在选择云服务的重要参考依据。

公有云三巨头亚马逊AWS、阿里云和微软云Azure均通过了SOC1，SOC2和SOC3认证，符合SOC准则和标准的要求意味着云服务提供商设计并实施了一套完善的内部控制体系和安全管控的流程与技术。

云服务商提供的SLA

服务级别协议，或称服务水平协议、服务等级协议（SLA, Service Level Agreement），是云计算服务商向客户提交的服务承诺，其中包括服务质量、可用性和责任，将构成服务协议的重要部分。每家云计算服务商均会在其SLA中详细约定其服务可用性及不可用性的标准及界定方法，并提供格式承诺、赔偿和免责条款。因此，每家云计算服务商的SLA具体内容可能会很不相同。

另外，云服务协议中通常也会约定安全责任的划分及相应的赔偿责任，这些均需要根据每家服务提供商的特点及客户需求具体讨论。

结 语

云上安全责任边界首先受限于云服务参与各方可以触达的资源控制范围。对于云服务参与各方，首先应基于自身在云服务场景中的角色定位，了解其在该类服务中的安全责任边界，在此基础之上，再来寻求适合自身安全需求的云平台和服务商。

对于云服务客户，最适合其业务与安全需求的云服务模式与其部署模型和可控制资源密切相关。由于迁移到云的企业和应用有不同部署和安全需求，为保持迁移到云后的数据的安全级别，云服务客户应提前评估其合作云平台的安全等级，并通过SLA和服务协议约定安全风险边界及赔偿责任。

我们将陆续推出更多新基建及数字化转型文章，欢迎关注。