云安全責(zé)任共擔(dān)模型2024

目 錄一、新態(tài)勢：云安全責(zé)任共擔(dān)模式面臨新發(fā)展需求 1（一）政策標(biāo)準(zhǔn)為云安全責(zé)任共擔(dān)提供更堅(jiān)實(shí)的發(fā)展基礎(chǔ) 1（二）安全風(fēng)險(xiǎn)加劇，對云安全責(zé)任共擔(dān)提出更明確的發(fā)展要求 3（三）行業(yè)用戶共擔(dān)意識(shí)仍存提升空間，實(shí)際需求為云安全責(zé)任共擔(dān)指明發(fā)展方向 二、新理念：建立云安全責(zé)任共擔(dān)2.0體系 6（一）明確云安全責(zé)任共擔(dān)主體角色 6（二）遵循四大云安全責(zé)任共擔(dān)基本原則 8（三）依據(jù)云計(jì)算的服務(wù)類型和服務(wù)模式開展云安全責(zé)任共擔(dān) 91、云計(jì)算的服務(wù)類型影響云安全責(zé)任范圍 92、云計(jì)算的服務(wù)模式影響云安全責(zé)任范圍 11（四）構(gòu)建云安全責(zé)任共擔(dān)三大關(guān)鍵環(huán)節(jié) 14三、云安全責(zé)任共擔(dān)實(shí)施參考 17（一）夯實(shí)云平臺(tái)安全建設(shè)與使用能力 171、云服務(wù)商提升云平臺(tái)自身安全性 172、云服務(wù)客戶增強(qiáng)云平臺(tái)安全使用能力 19（二）共筑云上持續(xù)安全防護(hù)體系 201、識(shí)別云安全防護(hù)能力域，打造安全履責(zé)能力 202、依托云安全服務(wù)構(gòu)建安全防護(hù)體系 23（三）多主體建立信息傳遞機(jī)制，促進(jìn)云安全責(zé)任共擔(dān)協(xié)同 251、云服務(wù)商和云服務(wù)客戶之間的信息傳遞機(jī)制 252、云安全廠商和云服務(wù)客戶之間的信息傳遞機(jī)制 27四、云安全責(zé)任共擔(dān)發(fā)展建議 29五、結(jié)語 31附錄：云安全責(zé)任共擔(dān)模式在多場景下的應(yīng)用案例 32一一求1，2022436035.0%展態(tài)勢。（一） 政策標(biāo)準(zhǔn)為云安全責(zé)任共擔(dān)提供更堅(jiān)實(shí)的發(fā)展基礎(chǔ)IT1中國信息通信研究院《云計(jì)算白皮書（2023年》2022多項(xiàng)標(biāo)準(zhǔn)規(guī)范推動(dòng)建立云安全責(zé)任共擔(dān)共識(shí)。YD/T4060-2022客戶兩大主體間的責(zé)任分擔(dān)方式；GB/T31168-2023《信息安全技術(shù)來源：YD/T4060-2022《云計(jì)算安全責(zé)任共擔(dān)模型》圖1 云計(jì)算安全責(zé)任共擔(dān)模型（二） 安全風(fēng)險(xiǎn)加劇，對云安全責(zé)任共擔(dān)提出更明確的發(fā)展要求742%一方面20215Everis2CybersecurityInsiders《2023CloudSecurityReport》3Sonatype《8thStateofthesoftwaresupplychain》20312650一方面完整性依賴于云平臺(tái)的技術(shù)架構(gòu)。另一方面，（三） 行業(yè)用戶共擔(dān)意識(shí)仍存提升空間實(shí)際需求為云安全責(zé)任共擔(dān)指明發(fā)展方向（2023年2021年提升了2.7%4世界經(jīng)濟(jì)論壇《2022年全球網(wǎng)絡(luò)安全展望報(bào)告》/DevOps.系2.02.0（一） 明確云安全責(zé)任共擔(dān)主體角色2.0云服務(wù)客戶：使用云服務(wù)的企事業(yè)客戶和個(gè)人客戶。云服務(wù)客戶/平臺(tái)能力類云服務(wù)，也可以是物理機(jī)等非云服務(wù)資源。圖2 云安全責(zé)任共擔(dān)主體（二） 遵循四大云安全責(zé)任共擔(dān)基本原則責(zé)任合理性原則：云服務(wù)客戶、云服務(wù)商、云安全廠商對云及云上資產(chǎn)的可見性不同，法律法規(guī)規(guī)定的責(zé)任義務(wù)也不同，云安全責(zé)任效率。（三） 依據(jù)云計(jì)算的服務(wù)類型和服務(wù)模式開展云安全責(zé)任共擔(dān)1、云計(jì)算的服務(wù)類型影響云安全責(zé)任范圍2.0基礎(chǔ)設(shè)施能力類云服務(wù)：為云服務(wù)客戶提供能配置和使用計(jì)算、存儲(chǔ)或網(wǎng)絡(luò)資源的云服務(wù)。服務(wù)。應(yīng)用能力類云服務(wù)：為云服務(wù)客戶提供應(yīng)用的云服務(wù)，如協(xié)同辦公服務(wù)、運(yùn)營管理服務(wù)等。任則變少，保障類服務(wù)涉及支撐的責(zé)任范圍也變小。圖3 云計(jì)算的服務(wù)類型對主體安全責(zé)任范圍的影響示意圖2、云計(jì)算的服務(wù)模式影響云安全責(zé)任范圍三是云軟件交付+服務(wù)托管模式：云服務(wù)客戶采購資源類云軟件，API4圖4 云服務(wù)模式對主體安全責(zé)任范圍的影響示意圖5圖5 云軟件交付模式對主體安全責(zé)任范圍的影響示意圖對于云軟件交付+服務(wù)托管模式，云服務(wù)商負(fù)責(zé)云軟件自身的安全；云平臺(tái)所依賴的底層資產(chǎn)及云平臺(tái)日常運(yùn)營的安全責(zé)任由云服務(wù)6圖6 云軟件交付+服務(wù)托管模式對主體安全責(zé)任范圍的影響示意圖（四）構(gòu)建云安全責(zé)任共擔(dān)三大關(guān)鍵環(huán)節(jié)環(huán)節(jié)：二是云安全廠商與云服務(wù)客戶責(zé)任共擔(dān)，夯實(shí)云環(huán)境的安全防護(hù)體系。對于云上的業(yè)務(wù)和數(shù)據(jù)資產(chǎn)，云服務(wù)客戶對其安全防護(hù)負(fù)責(zé)，2.07所示。2.0體系，一個(gè)組織機(jī)構(gòu)可能同時(shí)承擔(dān)一種以上的4，圖7 云安全責(zé)任共擔(dān)2.0體系考（一）夯實(shí)云平臺(tái)安全建設(shè)與使用能力1、云服務(wù)商提升云平臺(tái)自身安全性安全管理制度：訪問控制安全：云平臺(tái)基礎(chǔ)架構(gòu)安全：云服務(wù)功能安全：提供云平臺(tái)和云服務(wù)的訪問控制、身份鑒2、云服務(wù)客戶增強(qiáng)云平臺(tái)安全使用能力應(yīng)合管理者需明確責(zé)任1表1云服務(wù)客戶安全責(zé)任云服務(wù)客戶責(zé)任管理安全1、建立組織內(nèi)部安全管理制度，明確云安全責(zé)任人；2、遵守當(dāng)?shù)胤煞ㄒ?guī)和云平臺(tái)用戶協(xié)議；3、正確評估上云需求，選擇合適的云服務(wù)；4、引入安全咨詢和培訓(xùn)機(jī)制，不斷提升企業(yè)安全水平；5、建立安全運(yùn)維運(yùn)營團(tuán)隊(duì)，或引入外部專家服務(wù)；網(wǎng)絡(luò)安全1、根據(jù)業(yè)務(wù)安全需求，選擇合適的網(wǎng)絡(luò)類型；2IP3NATIP綁定情況；計(jì)算安全1、選擇功能、性能與需求相符的計(jì)算資源；23、開啟鏡像備份并關(guān)注備份情況；存儲(chǔ)安全123、合理配置數(shù)據(jù)備份并關(guān)注備份情況；訪問、授權(quán)、認(rèn)證1、合理配置IAM，確保用戶權(quán)限分配最小化；2、妥善保存憑證和密鑰信息，視情況開啟多因子認(rèn)證；3、配置遠(yuǎn)程訪問方式和參數(shù)，關(guān)閉非必要服務(wù)；4APISDK安全與審計(jì)1、開啟審計(jì)功能，定期查看日志記錄；2、留意安全通知和平臺(tái)告警，及時(shí)更新云資源版本，安裝補(bǔ)丁修復(fù)漏洞。（二）共筑云上持續(xù)安全防護(hù)體系1、識(shí)別云安全防護(hù)能力域，打造安全履責(zé)能力面IT基礎(chǔ)安全能力域是保證云上安全的基石，主要包括：1）API進(jìn)行安全全局化能力域是對抗高級威脅的有效手段，主要包括：1）安全自動(dòng)化能力域?qū)⑷轿惶岣甙踩?，主要包括?）自動(dòng)著眼于真正的威脅上；2）自動(dòng)化安全處理能力，將常見安全操作以威脅的秒級響應(yīng)。

表2安全服務(wù)與安全能力對應(yīng)關(guān)系2、依托云安全服務(wù)構(gòu)建安全防護(hù)體系云服務(wù)客戶的云上安全防護(hù)體系依托云安全廠商提供的云安全戶在進(jìn)行云安全服務(wù)選型時(shí)應(yīng)充分考慮自身實(shí)際生產(chǎn)場景與業(yè)務(wù)需選擇云服務(wù)商作為云安全服務(wù)供應(yīng)商主要有以下優(yōu)勢：1），一方面云服務(wù)商提供的云安全服務(wù)通過云平臺(tái)的統(tǒng)一身份認(rèn)證體系進(jìn)行登，當(dāng)前安，云計(jì)算技術(shù)發(fā)展選擇安全廠商作為云安全服務(wù)供應(yīng)商主要有以下優(yōu)勢：1）定制IT。云服務(wù)客戶主要負(fù)責(zé)安全服務(wù)履約過程中的責(zé)任：1）對由操作不當(dāng)而引發(fā)的安全事件負(fù)責(zé)按照說明進(jìn)行操作；2）對由維護(hù)不當(dāng)而引發(fā)的安全事件負(fù)責(zé)，客戶云安全廠商主要負(fù)責(zé)安全服務(wù)部署前交付與服務(wù)期內(nèi)的售后支持方面的責(zé)任：1）應(yīng)保證交付工具符合驗(yàn)收標(biāo)準(zhǔn)，安全能力滿足客SLA，在交付時(shí)無已知漏4）應(yīng)在服務(wù)期內(nèi)持續(xù)提供技術(shù)支持，定期更新升級規(guī)則庫保證工具圖9 云安全工具責(zé)任劃分（三）多主體建立信息傳遞機(jī)制，促進(jìn)云安全責(zé)任共擔(dān)協(xié)同1、云服務(wù)商和云服務(wù)客戶之間的信息傳遞機(jī)制云服務(wù)商和云服務(wù)客戶在采購、提供、運(yùn)營云服務(wù)的過程中，應(yīng)主動(dòng)提供必要的信息并知曉相關(guān)規(guī)定以提高協(xié)作效率。雙方的信息傳遞與協(xié)作責(zé)任如表3所示。表3云服務(wù)商和云服務(wù)客戶之間信息傳遞與協(xié)作責(zé)任協(xié)作內(nèi)容協(xié)作過程云服務(wù)商云服務(wù)客戶用戶信息處理通知、選擇、收集告知用戶信息收集范圍、用途等，提供隱私政策聲明提供和授權(quán)必要信息，確保信息真實(shí)可用使用、留存、處置告知用戶信息使用方式和主體、留存位置和形式、處置方式和期限授權(quán)信息使用、留存、處置，依據(jù)留存和處置規(guī)則管理信息信息公開披露告知用戶公開披露場景和內(nèi)容，審查公開場景的合法合規(guī)性知曉信息披露規(guī)則并選擇性授權(quán)數(shù)據(jù)跨境轉(zhuǎn)移告知用戶跨境傳輸場景，與用戶簽訂數(shù)據(jù)轉(zhuǎn)移協(xié)議，遵循當(dāng)?shù)胤煞ㄒ?guī)知曉數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則并選擇性授權(quán)委托處理告知用戶委托處理情況，限制委托方使用的信息在用戶授權(quán)范圍內(nèi)知曉委托處理規(guī)則并選擇性授權(quán)云計(jì)算技術(shù)服務(wù)網(wǎng)站與賬號服務(wù)提供云平臺(tái)服務(wù)條款、保密條款等，明確使用網(wǎng)站和賬號所涉及的法律問題在服務(wù)條款和法律法規(guī)范圍內(nèi)使用云平臺(tái)和賬號云服務(wù)訂閱與變更告知用戶服務(wù)訂閱規(guī)則、付費(fèi)方式、違約責(zé)任等，明確雙方的權(quán)利和義務(wù)知曉云服務(wù)訂閱與變更要求，恰當(dāng)?shù)剡x擇和使用云服務(wù)云服務(wù)退訂與終止告知用戶服務(wù)退訂規(guī)則、資源處理方式等，明確雙方的權(quán)利和義務(wù)知曉云服務(wù)退訂與終止要求，對主動(dòng)退訂或終止服務(wù)的后果負(fù)責(zé)服務(wù)等級協(xié)議提供各類云服務(wù)的SLA協(xié)議，內(nèi)容變更應(yīng)及時(shí)告知用戶SLA等級未達(dá)標(biāo)時(shí)依據(jù)協(xié)議提出賠償申請第三方支持（API、SDK等）說明，和安全風(fēng)險(xiǎn)提示在合規(guī)范圍內(nèi)使用第三方服務(wù)接入，承擔(dān)數(shù)據(jù)云外安全責(zé)任安全合規(guī)監(jiān)管合規(guī)確保云平臺(tái)符合所在地安全監(jiān)管要求，為用戶實(shí)現(xiàn)合規(guī)目標(biāo)提供幫助應(yīng)用部署、功能使用、數(shù)據(jù)上傳等操作應(yīng)符合監(jiān)管要求信息透明在確保云平臺(tái)安全的前提下不斷提升信息透明能力主動(dòng)了解并合理使用公開信息，促進(jìn)業(yè)務(wù)開展安全高效2、云安全廠商和云服務(wù)客戶之間的信息傳遞機(jī)制4表4云服務(wù)客戶和云安全廠商之間信息傳遞與協(xié)作責(zé)任協(xié)作內(nèi)容協(xié)作過程云安全廠商云服務(wù)客戶用戶數(shù)據(jù)處理通知、選擇、收集告知用戶信息（包括云平臺(tái)信息）收集范圍、用途等，提供隱私政策聲明提供和授權(quán)必要信息，確保信息真實(shí)可用使用、留存、處置信息期限安全工具接入遠(yuǎn)程工具告知用戶工具接入方式、認(rèn)證方式、安全覆蓋范圍等，提供必要的身份認(rèn)證信提供工具安全性、合規(guī)性證明放云平臺(tái)接口，協(xié)商工具使用和管理方式部署云上工具告知用戶工具部署位置、運(yùn)行機(jī)制、安全覆蓋范圍等，提供工具安全性、合規(guī)性證明提供必要的身份認(rèn)證信方式旁路監(jiān)測工具告知用戶監(jiān)測范圍、監(jiān)測結(jié)果處理方式等，提供工具安全性、合規(guī)性證明遵循最小授權(quán)原則開放云平臺(tái)接口，協(xié)商工具使用和管理方式安全服務(wù)持續(xù)性交付明確服務(wù)范圍、周期，提供服務(wù)方案和協(xié)議明確安全需求，提供必要的信息和支持，持續(xù)關(guān)注并反饋服務(wù)效果交付物明確交付內(nèi)容、時(shí)間，提供服務(wù)方案和協(xié)議明確安全需求，提供必要的信息和支持安全一致性功能適配提供安全產(chǎn)品和服務(wù)說明，確保云平臺(tái)支持且符合用戶需求根據(jù)信息安全三要素和最小授權(quán)原則選擇適當(dāng)?shù)陌踩a(chǎn)品消息傳遞及時(shí)處理威脅告警、漏洞信息等并告知用戶及時(shí)關(guān)注相關(guān)的威脅告警、漏洞信息等補(bǔ)丁更新及時(shí)更新產(chǎn)品補(bǔ)丁并告知用戶關(guān)注補(bǔ)丁更新動(dòng)態(tài)，及時(shí)下載并安裝議事前的2023710云服務(wù)客戶上云用云過程中面對的供應(yīng)商不僅僅包括云服務(wù)商和云安M任何一個(gè)環(huán)節(jié)存在安全薄弱點(diǎn)，都有可能影響云上業(yè)務(wù)和數(shù)據(jù)安全，各/語“十四五”時(shí)期，云計(jì)算迎來新發(fā)展階段，只有充分發(fā)揮云安全責(zé)任共擔(dān)模式作用與價(jià)值，才能更好的保障千行百業(yè)云上業(yè)務(wù)與數(shù)據(jù)安全。在此過程中，云服務(wù)商、云服務(wù)客戶、云安全廠商等主體應(yīng)充分發(fā)揮各方優(yōu)勢，提升云安全責(zé)任共擔(dān)意識(shí)和能力，統(tǒng)一安全目標(biāo)，協(xié)同推動(dòng)云安全工作的高質(zhì)量開展，有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)。附錄：云安全責(zé)任共擔(dān)模式在多場景下的應(yīng)用案例2.02.0（一）云安全配置風(fēng)險(xiǎn)場景5表5云安全配置風(fēng)險(xiǎn)場景下責(zé)任共擔(dān)示例云服務(wù)模式下責(zé)任云軟件交付模式下責(zé)任云軟件交付+服務(wù)托管模式下責(zé)任云服務(wù)商1、保障機(jī)房基礎(chǔ)設(shè)施的安全建設(shè)和運(yùn)營；2、保障虛擬化平臺(tái)的安全建設(shè)和運(yùn)營；3為云服務(wù)設(shè)計(jì)、開發(fā)完備的安全功能供云服務(wù)客戶使用，如訪問控制功數(shù)據(jù)加密功能等。1安全性，包括無高危漏洞、架構(gòu)安全等。2為云服務(wù)設(shè)計(jì)、開發(fā)完備的安全功能供云服務(wù)客戶使用。1、保障交付的云軟件安全性，包括無高危漏洞、架構(gòu)安全等。2SLA服務(wù)，依據(jù)云服務(wù)客戶安全配置規(guī)范配置云服務(wù)。云服務(wù)客戶1、合理配置和使用云服務(wù)的安全功能，如設(shè)置細(xì)粒度訪問控制權(quán)限、關(guān)閉不必要開放端口、設(shè)置數(shù)據(jù)加密算法等；1合理配置和使用云服務(wù)的安全功能；2可購買云安全配置檢查相關(guān)產(chǎn)品輔助3、保障機(jī)房基礎(chǔ)設(shè)施的安全建設(shè)和運(yùn)1、按業(yè)務(wù)需求明確云服務(wù)安全配置規(guī)范；2、可購買云安全配置檢查相關(guān)產(chǎn)品輔助檢測不合理配置；3、保障機(jī)房基礎(chǔ)設(shè)施2、可購買云安全配置檢查相關(guān)產(chǎn)品輔助檢測不合理配置；3、可購買其它安全服務(wù)實(shí)現(xiàn)云服務(wù)及其上業(yè)務(wù)的安全防護(hù)，如DDoS檢測等。營；4、可購買其它安全服務(wù)實(shí)現(xiàn)整個(gè)云環(huán)境的安全防護(hù)。的安全建設(shè)和運(yùn)營；4、可購買其它安全服務(wù)實(shí)現(xiàn)整個(gè)云環(huán)境的安全防護(hù)。云安全廠商1SLA安全配置檢查產(chǎn)品。1SLA安全配置檢查產(chǎn)品。1SLA安全配置檢查產(chǎn)品。（二）軟件供應(yīng)鏈風(fēng)險(xiǎn)場景6（5。表6軟件供應(yīng)鏈風(fēng)險(xiǎn)場景下責(zé)任共擔(dān)示例云服務(wù)模式下責(zé)任云軟件交付模式下責(zé)任云軟件交付+服務(wù)托管交付模式下責(zé)任云服務(wù)商1、在云服務(wù)的軟件依賴組件暴漏安全漏洞時(shí)，及時(shí)修復(fù)并告知云服務(wù)客戶潛在風(fēng)險(xiǎn)；2、當(dāng)云平臺(tái)被入侵且可能影響云服務(wù)客戶云上業(yè)務(wù)時(shí)，及時(shí)防護(hù)并告知云服務(wù)客戶潛在風(fēng)險(xiǎn)；3、當(dāng)云服務(wù)商發(fā)生重大變更可能影響云服務(wù)客戶業(yè)務(wù)連續(xù)性時(shí)，提前告知云服務(wù)客戶變更計(jì)劃。1需求時(shí)，向云服務(wù)客戶提供云軟件的軟件物料清單；2問題時(shí)，及時(shí)修復(fù)并提供補(bǔ)丁包。1需求時(shí)，向云服務(wù)客戶提供云軟件的軟件物料清單；2問題時(shí)，及時(shí)修復(fù)并提供補(bǔ)丁包；3、強(qiáng)化云運(yùn)維服務(wù)人員的培訓(xùn)教育，制定規(guī)范化服務(wù)方案，避免服務(wù)人員成為軟件供應(yīng)鏈攻擊的突破口。云服務(wù)客戶1、針對云服務(wù)可能存在的軟件供應(yīng)鏈風(fēng)險(xiǎn)，制定應(yīng)急響應(yīng)方案，如服務(wù)遷移等；2、及時(shí)接收云服務(wù)商和云安全廠商告知信息并依據(jù)應(yīng)急響應(yīng)方案采取措施；3可購買軟件供應(yīng)鏈安全相關(guān)產(chǎn)品輔助防范軟件供應(yīng)鏈風(fēng)IASTSAST、RASP等。1在的軟件供應(yīng)鏈風(fēng)險(xiǎn)，制定應(yīng)急響應(yīng)方案；2、依據(jù)軟件物料清單，在發(fā)現(xiàn)云軟件依賴組件暴漏安全漏洞時(shí)，及時(shí)告知云服務(wù)商和云安全廠商并要求其協(xié)助實(shí)施應(yīng)急響應(yīng)方案；3、發(fā)現(xiàn)云軟件問題時(shí)，及時(shí)告知云服務(wù)商和云安全廠商并要求其解決優(yōu)化；4接收云服務(wù)商和云安全廠商提供的補(bǔ)丁包并及時(shí)安裝。1在的軟件供應(yīng)鏈風(fēng)險(xiǎn)，制定應(yīng)急響應(yīng)方案；2、依據(jù)軟件物料清單，在發(fā)現(xiàn)云軟件依賴組件暴漏安全漏洞時(shí)，及時(shí)告知云服務(wù)商和云安全廠商并要求其協(xié)助實(shí)施應(yīng)急響應(yīng)方案；3、發(fā)現(xiàn)云軟件問題時(shí)，及時(shí)告知云服務(wù)商和云安全廠商并要求其解決優(yōu)化；5接收云服務(wù)商和云安全廠商提供的補(bǔ)丁包并及時(shí)安裝；6建立第三方人員安全管理規(guī)范云運(yùn)維運(yùn)營服務(wù)人員的管理。云安全廠商1SLA件供應(yīng)鏈安全產(chǎn)品。2、在云安全服務(wù)的軟件依賴組件暴漏安全漏洞時(shí)，及時(shí)修復(fù)并告知云服務(wù)客戶潛在風(fēng)險(xiǎn)；3云安全廠商發(fā)生重大變更可能影響云服務(wù)客戶業(yè)務(wù)連續(xù)性時(shí)，提前告知1SLA件供應(yīng)鏈安全產(chǎn)品。2云安全軟件的軟件依賴組件暴漏安全漏洞時(shí)，及時(shí)修復(fù)并告知云服務(wù)客3云安全廠商發(fā)生重大變更可能影響云服務(wù)客戶業(yè)務(wù)連續(xù)性時(shí)，提前告知1SLA件供應(yīng)鏈安全產(chǎn)品。2、在云安全軟