隨著計算堆棧向下移動，客戶控制公共云計算服務的數量，逐漸增加，軟件即服務(SaaS)很少甚至為零，基礎設施即服務(IaaS)占絕大部分。云安全責任也一樣：軟件即服務以及保證平臺和基礎設施安全的責任顯然落在了提供商身上。

但是隨著堆棧的深入，事情變得更糟。談到IaaS，提供商和用戶之間的安全責任沒有明確的界線。定義界線的責任落在客戶身上。

推廣最佳實踐和提高云安全培訓的組織——云安全聯盟的執行董事Jim Reavis表示：“從治理的視角、控制的視角、管理的視角來看，讓云租戶或客戶明白這是一個共同的責任很重要。”

識別安全缺口 理解安全規定

為了強調共同的安全責任，舉一個事實，即由于備受關注的IaaS問題，如2012年6月的亞馬遜中斷事件，不同的組織遭受了不同的后果。Reavis介紹：“當數據脫機時，一些組織幾乎倒閉了，而其它組織卻沒有出現任何停工期。這表明客戶使數據處于他們的控制之中，也同時控制著他們的命運。”

總部位于弗吉尼亞州的萊斯頓ScienceLogicIT的業務管理軟件的提供商、首席技術官Antonio Piraino表示，要實施適當的控制，云租戶必須明白哪些地方存在安全漏洞，“你必須知道你在買什么。一些人比其他人更關注安全。”

加州洛杉磯的云計算風險緩解的顧問兼講師Thomas Trappler表示：“與云中大多數事物一樣，安全也隨供應商的不同而不一樣，”例如，亞馬遜網絡服務(AWS)提供“各式各樣的選擇，”他說，“這不只是任何一種AWS服務。所以即使是在AWS服務范圍內，客戶負責的內容不同，你向亞馬遜付款買東西，承擔的責任也會有所差異。”

最終，客戶得到他們所想要的，Piraino說：“如果你為云服務買單，那么你要為額外的安全和額外的正常運行時間和災難恢復支付額外的費用。”

由于(客戶從IaaS提供商采購的)計算堆棧的不同部分，安全責任的劃分進一步混淆。Piraino說：“我們正看到IaaS和PaaS之間聯系更加緊密;從根本上來講，(IaaS是)一種原始的計算基礎設施，”——低于操作系統(OS)，他解釋說，“最初，客戶負責配置(虛擬機)、操作系統、安裝防火墻這類事情。但是除了原始的虛擬機，你可以購買IaaS。可能會附帶一個操作系統或者是具有一些應用的數據庫。你買的越多，IaaS提供商的責任就越大。”

再來看AWS。例如，“當涉及到對AWS部署具有惡意企圖的具體問題時，通常的經驗法則是，堆棧越高，負責工作負載或數據安全責任的AWS的能力越低，”他解釋說，“很簡單，在設施和物理基礎設施層，采用AWS的能力和興趣來提供物理安全是最佳的做法，因為其項目大，但成本很低。”

Piraino補充說：“在網絡層和虛擬化層，就沒那么簡單”。對于AWS數據中心的數據傳輸——區域與亞馬遜彈性云計算(EC2)或彈性塊存儲(EBS)技術之間——由AWS負責。

Piraino說：“同樣，AWS的工具集Xen系統管理程序負責它的基礎設施即服務——使云產品中不可缺少的一部分轉讓所有權，客戶沒有發言權，從而實現真正意義上的由AWS負責”。

培養正確的公共云安全心態

組織將應用程序轉移到公共云時，模式發生了轉變，Trappler說：“心態不同。你思考的方式也必須有所不同。這似乎是顯而易見的，但這很重要。大家在說，‘我們從我們所習慣的——技術管理的解決方案——再到有人為我們做好的云合同的管理解決方案。我們怎么知道他們所做的就是正確的呢?”

答案是：“總是恰到好處地確認并且按照合同履行義務(提供商)，你就能明白他們應該關注什么，”Trappler說。為此，了解提供商的基礎設施哪些部分被注冊和/或審計。他說：“可能不是整個基礎設施。中間通常有多個數據中心和點。”

“合同就是針對提供商責任與顧客責任的界線問題，達成的共識，”他說，“你需要一個合同，來建立關系條款，對誰做什么達成共識的條款。然后要有客戶方的供應商管理來維持這種關系。”