安全性是云供應商和客戶之間共同承擔的責任。因為云供應商在進行操作和管控時，按需靈活組合使用物理和虛擬化IT及IDC資源，這種共享模型有助于減輕客戶的運營負擔。

目前，當客戶在基礎設施即服務(IaaS)平臺上部署應用程序時，客戶承擔著管理操作系統的責任，包括更新安全補丁、關聯應用程序和配置網絡防火墻。針對云環境中的虛擬項目實例來講，客戶需要仔細考慮如何選擇云服務，這具體取決于所使用的服務與IT環境的集成和法律法規的適用情況等等。

隨著無服務器計算(FaaS或功能即服務)的引入，安全責任更加向云供應商轉移，企業可轉移更多事項以專注于核心業務。但是，通過將安全責任轉移到云，公司從中真正獲得了多少收益?

[[258128]]

核心要求：從物理安全到應用安全

以下項自下而上列出，從物理層延伸至應用層。

• 物理基礎設施，物理邊界和硬件的訪問限制
• 安全配置基礎設施和系統
• 定期測試所有系統和進程(操作系統、服務)的安全性
• 識別和認證對系統的訪問(操作系統、服務)
• 修復操作系統中的缺陷
• 加強操作系統和服務
• 保護所有系統免受惡意軟件和后門的侵害
• 修復運行時環境和相關軟件包中的漏洞
• 預防并實施存儲保護
• 細分網絡
• 監控所有網絡資源和訪問
• 安裝和維護網絡防火墻
• 網絡層DoS保護
• 用戶身份驗證
• 訪問應用程序和數據時的權限控制
• 記錄并維護對應用程序和所有訪問數據的審計及跟蹤
• 部署應用層防火墻以進行事件數據審查
• 檢測并修復第三方附屬項中的漏洞
• 使用權限更低的IAM(身份識別與訪問管理)角色和權限
• 實施合法的應用程序運營
• 數據防泄密
• 在開發過程中靜態掃描代碼和配置
• 維護無服務器或云資產庫存
• 刪除超時或未使用的云服務和功能
• 持續監控錯誤和安全事件

IaaS：供應商與客戶

在IaaS上開發應用程序時，安全責任大致分為以下幾種：

1. 云供應商責任：

• IT基礎設施、物理邊界和硬件的訪問限制
• 安全配置基礎設施和系統

2. 客戶責任：

• 定期測試所有系統和進程(操作系統，服務)的安全性
• 識別和認證對系統的訪問(操作系統，服務)
• 修補操作系統中的缺陷
• 加強操作系統和服務
• 保護所有系統免受惡意軟件和后門的侵害
• 修復運行時環境和相關軟件包中的缺陷
• 預防并進行存儲保護
• 細分網絡
• 跟蹤和監控所有網絡資源和訪問
• 安裝和維護網絡防火墻
• 網絡層DoS保護
• 用戶身份驗證
• 訪問應用程序和數據時的權限控制
• 記錄和維護對應用程序和所有訪問數據的審計及跟蹤
• 部署應用層防火墻以進行事件數據審查

無服務器(FaaS)：供應商與客戶

在無服務器架構上開發應用程序時應如何分擔責任：

1. 云供應商責任：

• 物理基礎設施，物理邊界和硬件的訪問限制
• 安全配置基礎設施和系統
• 定期測試所有系統和進程(操作系統，服務)的安全性
• 識別和認證對系統的訪問(操作系統，服務)
• 修復操作系統中的缺陷
• 加強操作系統和服務
• 保護所有系統免受惡意軟件和后門的侵害
• 修復運行時環境和相關軟件包中的缺陷
• 預防并進行存儲保護
• 細分網絡
• 跟蹤和監控所有網絡資源和訪問
• 安裝和維護網絡防火墻
• 網絡層DoS保護

2. 客戶責任：

• 用戶身份驗證
• 訪問應用程序和數據時的授權控制
• 記錄和維護對應用程序和所有訪問數據的審計及跟蹤
• 部署應用程序層防火墻以進行事件數據檢查
• 檢測并修復第三方附屬項中的漏洞
• 使用權限更低的IAM(身份識別與訪問管理)角色和權限
• 實施合法的應用程序行為
• 數據防泄密
• 在開發過程中靜態掃描代碼和配置
• 維護無服務器或云資產庫存
• 刪除超時或未使用的云服務和功能
• 持續監控錯誤和和安全事件