隨著企業(yè)不斷進(jìn)入云端，選擇云廠商以及同這個廠商簽訂合同一項重要的考慮就是要明確規(guī)定責(zé)任。大多數(shù)云環(huán)境以共享安全責(zé)任為特征，形成連續(xù)體。對于SaaS環(huán)境，SaaS提供商承擔(dān)了大部分的責(zé)任。對于基礎(chǔ)架構(gòu)即服務(wù)(IaaS)或者平臺即服務(wù)(PaaS)環(huán)境，廠商的責(zé)任更小，而客戶的更大。

在IaaS云環(huán)境中(為了簡潔，這篇文章將吧IaaS和PaaS合并在一起)，廠商提供核心基礎(chǔ)架構(gòu)。也就是說基礎(chǔ)的網(wǎng)絡(luò)、流程和存儲服務(wù)。客戶負(fù)責(zé)顆粒化網(wǎng)絡(luò)管理、服務(wù)器管理和數(shù)據(jù)存儲管理。大部分主要的云安全考量都控制在客戶手上，客戶責(zé)任包括：

控制網(wǎng)絡(luò)訪問(開啟和關(guān)閉端口以及協(xié)議)

授權(quán)或者拒絕服務(wù)器和服務(wù)層訪問(客戶負(fù)責(zé)服務(wù)器和服務(wù)配置)

設(shè)計、實施、維護(hù)和檢查應(yīng)用內(nèi)的訪問控制

實施故障恢復(fù)和其他冗余解決方案

持續(xù)監(jiān)控訪問、安全和可用性

通過設(shè)計、配置和操作的主要控制，客戶在確保IaaS環(huán)境安全的責(zé)任就是確保廠商(通過技術(shù)或者策略控制)不能訪問服務(wù)器或者數(shù)據(jù)。廠商實施技術(shù)控制而不是依賴于策略更合適。作為一個限制技術(shù)控制的廠商的IaaS客戶而且較大依賴于策略和規(guī)程，理解廠商的監(jiān)控方法非常重要。確信廠商能夠且將會監(jiān)測未認(rèn)證的嘗試對于你的資源的訪問。記住：目標(biāo)是限制你的廠商的數(shù)據(jù)和服務(wù)訪問，同時他們能夠影響你的服務(wù)可用性。

隨著現(xiàn)在數(shù)據(jù)加密的新發(fā)展，廠商訪問敏感信息已經(jīng)可以通過沒有加密密鑰的透視數(shù)據(jù)不可讀進(jìn)行可行控制。這種情況下的密鑰考慮就是維護(hù)加密密鑰的位移控制。大量IaaS廠商將會同意“禁止訪問”場景，如果你的廠商對于密鑰訪問施壓，你應(yīng)該嚴(yán)肅的重新考慮你們之間的關(guān)系。實施了數(shù)據(jù)加密，要記住依賴數(shù)據(jù)庫加密增加了風(fēng)險。應(yīng)用可以成功查詢數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)，就會擊敗加密工作。因為這個原因，***在應(yīng)用層投資實施加密和解密。

在同一個IaaS廠商簽訂合同時，你的職責(zé)包括：

選擇具有強壯技術(shù)控制的廠商，能夠阻止訪問或者數(shù)據(jù)和服務(wù)中斷

在合適的地方加強合同關(guān)系，加強自身部分***的需求控制，最小化廠商部分的控制

開發(fā)和實施技術(shù)控制，強化合同關(guān)系，監(jiān)測潛在服務(wù)終端和未授權(quán)訪問嘗試

設(shè)計和實施評估程序，在合同和技術(shù)邊界上驗證廠商的運營

簡而言之，你的IaaS環(huán)境目標(biāo)就是限制廠商安全事件導(dǎo)致的風(fēng)險，在評估中增加你發(fā)現(xiàn)不足技術(shù)和策略控制的可能性，最小化在事件發(fā)生時發(fā)現(xiàn)安全事件的可能性。