云共享责任模型

什么是云共享责任模型

云共享责任模型 (Shared Responsibility Model) 是云环境安全由云提供商和用户共同分担的理念。提供商负责"云的安全"（物理基础设施、虚拟机管理程序、网络基础），用户负责"云中的安全"（数据、访问控制、应用配置）。

这一模型并非特定提供商独有 - - AWS、Azure 和 GCP 都采用相同的基本概念。但具体的责任边界因服务模型（IaaS、PaaS、SaaS）而异，对这一边界的误解是云安全事件的主要原因。

各服务模型的责任范围

责任边界因云服务模型而异。

• IaaS（EC2、Azure VM 等）：提供商管理物理基础设施和虚拟机管理程序。用户负责操作系统补丁、中间件配置、应用安全、数据加密和所有网络设置。用户责任范围最广
• PaaS（RDS、Azure App Service 等）：提供商在基础设施之外还管理操作系统和中间件。用户负责应用代码、数据、访问控制和加密设置。操作系统补丁由提供商处理，减轻运维负担
• SaaS（Microsoft 365、Salesforce 等）：提供商管理从基础设施到应用的几乎所有内容。用户负责用户管理、访问设置、数据分类和共享设置。用户责任范围最窄，但并非完全消失

用户容易忽视的责任领域

在共享责任模型中，有些领域用户特别容易忽视。

• 云存储访问设置：S3 存储桶和 Azure Blob Storage 的公共访问设置是用户的责任。不确认默认设置可能导致数据意外公开。大量数据泄露事件由此引起
• 加密启用：许多云服务提供加密功能，但并非总是默认启用。启用静态数据和传输中数据的加密，以及正确管理加密密钥，是用户的责任
• 日志启用与监控：审计日志（CloudTrail、Azure Activity Log）和资源监控并非在所有服务中自动配置。启用必要的日志并构建监控体系是用户的责任
• 网络配置：安全组规则、网络 ACL 和 VPC 配置完全是用户的责任。过于宽松的规则（允许来自 0.0.0.0/0 的所有流量）是常见的配置错误

如何在组织中落实共享责任模型

正确运用共享责任模型不仅需要技术措施，还需要组织层面的努力。

• 文档化责任边界：为使用的每项服务明确记录提供商和用户的责任范围。特别是 PaaS 和 SaaS 的边界容易模糊，需要在具体配置项级别进行整理
• 建立安全基线：为每项服务定义最低安全设置（加密启用、日志配置、访问控制策略），并通过自动化检查验证合规性
• 定期培训：确保开发和运维团队理解共享责任模型。特别是在采用新服务时，使用前明确责任边界
• 利用合规工具：使用 AWS Security Hub、Azure Security Center 和 GCP Security Command Center 等工具持续监控用户侧责任是否得到履行

常见误解

迁移到云端后安全就全由提供商负责了

提供商仅负责物理基础设施和平台基础部分。数据保护、访问控制、应用配置和加密启用是用户的责任，需要与本地环境同等甚至更高的安全意识。

使用托管服务后用户的安全责任几乎消失了

托管服务减轻了操作系统和中间件的管理负担，但 IAM 设置、网络访问控制、数据加密和日志启用仍然是用户的责任。责任范围缩小了，但并没有消失。

相关术语