隨著企業(yè)不斷進(jìn)入云端，選擇云廠商以及同這個(gè)廠商簽訂合同一項(xiàng)重要的考慮就是要明確規(guī)定責(zé)任。大多數(shù)云環(huán)境以共享安全責(zé)任為特征，形成連續(xù)體。對(duì)于SaaS環(huán)境，SaaS提供商承擔(dān)了大部分的責(zé)任。對(duì)于基礎(chǔ)架構(gòu)即服務(wù)(IaaS)或者平臺(tái)即服務(wù)(PaaS)環(huán)境，廠商的責(zé)任更小，而客戶的更大。

在IaaS云環(huán)境中(為了簡(jiǎn)潔，這篇文章將吧IaaS和PaaS合并在一起)，廠商提供核心基礎(chǔ)架構(gòu)。也就是說基礎(chǔ)的網(wǎng)絡(luò)、流程和存儲(chǔ)服務(wù)。客戶負(fù)責(zé)顆?；W(wǎng)絡(luò)管理、服務(wù)器管理和數(shù)據(jù)存儲(chǔ)管理。大部分主要的云安全考量都控制在客戶手上，客戶責(zé)任包括：

控制網(wǎng)絡(luò)訪問(開啟和關(guān)閉端口以及協(xié)議)

授權(quán)或者拒絕服務(wù)器和服務(wù)層訪問(客戶負(fù)責(zé)服務(wù)器和服務(wù)配置)

設(shè)計(jì)、實(shí)施、維護(hù)和檢查應(yīng)用內(nèi)的訪問控制

實(shí)施故障恢復(fù)和其他冗余解決方案

持續(xù)監(jiān)控訪問、安全和可用性

通過設(shè)計(jì)、配置和操作的主要控制，客戶在確保IaaS環(huán)境安全的責(zé)任就是確保廠商(通過技術(shù)或者策略控制)不能訪問服務(wù)器或者數(shù)據(jù)。廠商實(shí)施技術(shù)控制而不是依賴于策略更合適。作為一個(gè)限制技術(shù)控制的廠商的IaaS客戶而且較大依賴于策略和規(guī)程，理解廠商的監(jiān)控方法非常重要。確信廠商能夠且將會(huì)監(jiān)測(cè)未認(rèn)證的嘗試對(duì)于你的資源的訪問。記住：目標(biāo)是限制你的廠商的數(shù)據(jù)和服務(wù)訪問，同時(shí)他們能夠影響你的服務(wù)可用性。

隨著現(xiàn)在數(shù)據(jù)加密的新發(fā)展，廠商訪問敏感信息已經(jīng)可以通過沒有加密密鑰的透視數(shù)據(jù)不可讀進(jìn)行可行控制。這種情況下的密鑰考慮就是維護(hù)加密密鑰的位移控制。大量IaaS廠商將會(huì)同意“禁止訪問”場(chǎng)景，如果你的廠商對(duì)于密鑰訪問施壓，你應(yīng)該嚴(yán)肅的重新考慮你們之間的關(guān)系。實(shí)施了數(shù)據(jù)加密，要記住依賴數(shù)據(jù)庫(kù)加密增加了風(fēng)險(xiǎn)。應(yīng)用可以成功查詢數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)，就會(huì)擊敗加密工作。因?yàn)檫@個(gè)原因，***在應(yīng)用層投資實(shí)施加密和解密。

在同一個(gè)IaaS廠商簽訂合同時(shí)，你的職責(zé)包括：

選擇具有強(qiáng)壯技術(shù)控制的廠商，能夠阻止訪問或者數(shù)據(jù)和服務(wù)中斷

在合適的地方加強(qiáng)合同關(guān)系，加強(qiáng)自身部分***的需求控制，最小化廠商部分的控制

開發(fā)和實(shí)施技術(shù)控制，強(qiáng)化合同關(guān)系，監(jiān)測(cè)潛在服務(wù)終端和未授權(quán)訪問嘗試

設(shè)計(jì)和實(shí)施評(píng)估程序，在合同和技術(shù)邊界上驗(yàn)證廠商的運(yùn)營(yíng)

簡(jiǎn)而言之，你的IaaS環(huán)境目標(biāo)就是限制廠商安全事件導(dǎo)致的風(fēng)險(xiǎn)，在評(píng)估中增加你發(fā)現(xiàn)不足技術(shù)和策略控制的可能性，最小化在事件發(fā)生時(shí)發(fā)現(xiàn)安全事件的可能性。