云计算作为一种持续运营、动态变化的基础设施,具有服务链纵深长、服务关系多级嵌套的情况。为避免安全风险依附于服务链不断渗透,控制影响范围与危害程度,应全面识别云计算相关方安全责任,落实责任承担机制。一方面,《网络安全法》《关键信息基础设施安全保护条例》等法律法规明确了云计算运营者的安全责任与义务。另一方面,除云计算运营者外,云服务用户也在服务链中有至关重要的影响,Gartner预估到2025年,99%的云安全事件将源于用户配置错误。
为建立更加精细可落地、普遍适用于云计算行业的安全责任共担模型,提升云服务客户责任共担意识与承担水平,2019年起,由中国信息通信研究院(以下简称“中国信通院”)牵头,联合数十家云服务商开展了云计算安全责任共担的相关研究,制定YD/T 4060—2022《云计算安全责任共担模型》行业标准,该标准已于2022年7月正式发布施行。
该标准从物理基础设施、资源抽象和管理、操作系统、网络控制、应用、数据、IAM七大类安全责任领域入手,对IaaS、PaaS、SaaS三种服务模式剖析云服务参与主体需要承担的责任。
来源:中国信息通信研究院
