2020年云计算安全责任共担白皮书.pdf

云计算安全责任共担 白 皮书 （ 2020 年） 云计算开源产业联盟 OpenSource Cloud Alliance for industry， OSCAR 2020年 7月 版权声明 本白皮书版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本 白皮书 文字或者观点的，应注明“来源：云计算开源产业联盟 ”。违反上述声明者，本联盟将追究其相关法律责任。 前 言 云计算作为 新型基础设施 建设的重要组成，关键作用日益凸显，市场规模呈现持续增长趋势。 同时，云计算安全态势日益严峻， 安全性 成 为 影响云计算充分发挥 其 作用的核心要素 。 与传统 IT 系统架构不同，上云后安全迎来责任共担新时代，建立云计算安全责任共担模型，明确划分云计算相关方的责任成为关键。 白皮书首先介绍了云计算在市场发展、安全等方面的现状及趋势，分析安全责任承担 在云计算安全发展中的 必要性 ，以及安全责任共担模式的应用现状与痛点 。 重点 围绕公有云场景， 白皮书建立了更加精细落地、普遍适用的云计算安全责任共担模型，确定责任主体，识别安全责任，对责任主体应承担的责任进行划分，以 提升云 计算相关方责任共担意识与承担水平 。 最后 ，白皮书 对 云计算安全责任共担未来发展进行了展望 ，并分享了责任承担优秀案例 。 参与编写单位 中国信息通信研究院、 阿里云计算有限公司、 腾讯云计算（北京）有限责任公司 、 华为技术有限公司、 浪潮云信息技术股份公司 主要撰稿人 孔松、 栗蔚、 郭雪 、 王永霞、 康雪婷、 黄瑞瑞、 王婷、 胡甜、郑原斌、黄少青 、 王方、朱勇、贺进、周健 目 录 一、云计算安全责任共担成共识 . 1 （一）云计算作为新型基础设施，安全性成关键 . 1 （二）安全责任共担，保障云计算全方位安全 . 4 （三）云计算安全责任共担应用 与发展有痛点 . 10 二、云计算安全责任共担模型框架 . 12 （一）模型应用场景 . 13 （二）云计算安全责任主体 . 14 （三）云计算安全责任分类 . 14 三、云计算安全责任识别与划分 . 16 （一）云计算安全责任识别 . 16 （二）云计算安全责任划分 . 20 四、云计算安全责任共担未来发展趋势展望 . 28 附录 1：公有云安全责任承担优秀案例 . 30 （一）阿里云 . 30 （二）华为云 . 38 （三）腾讯云 . 46 附录 2：政务云安全责任承担优秀案例 . 56 （一）浪潮 云 . 56 图 目 录 图 1 中国云计算市场规模及增速 . 2 图 2 全球云服务安全市场规模 . 3 图 3 中国云服务安全市场规模 . 4 图 4 云计算威胁渗透示意图 . 5 图 5 AWS 基础设施服务责任共担模型 . 7 图 6 AWS 容器 服务责任共担模型 . 7 图 7 AWS 抽象 服务责任共担模型 . 7 图 8 Azure 责任共担模型 . 8 图 9 云计算服务模式与控制范围的关系 . 9 图 10 云服务商与云客户责任划分边界 . 10 图 11 CSA 安全责任与云服务模式关系 . 10 图 12 云计算安全责任共担模型 . 15 表 目 录 表 1 IaaS 模式下云计算安全责任划分 . 20 表 2 IaaS 模式下云计算安全责任协商划分参考 . 25 表 3 PaaS 模式下云计算安全责任划分 . 26 表 4 SaaS 模式下云计算安全责任划分 . 27 表 5 SaaS 模式下云计算安全责任协商划分参考 . 28 表 6 浪潮政务云安全责任划分案例 . 56 云计算开源产业联盟 云计算安全责任共担白皮书（ 2020 年） 1 一、 云计算 安全责任共担 成共识 （一） 云计算作为新型基础设施， 安全 性 成关键 随着互联网与实体经济深度融合，企业数字化转型成为必然趋势 。云计算作为新 型 基础设施 建设 ， 是实现数字化转型的必然选择， 安全性则 是影响 云计算 充分 发挥 其 关键作用的核心要素 。 云计算 “新基建” 重要性 凸显 ， 市场规模 将持续增长 。 2015 年国务院在关于积极推进“互联网 +”行动的指导意见中第一次提出新型基础设施概念 。 2020 年 4 月， 国家发改委首次就“新基建”概念作出正式解释 ，将其定义为 以新发展理念为引领，以技术创新为驱动，以信息网络为基础，面向高质量发展需要，提供数字转型、智能升级、融合创新等服务的基础设施体系 ，具体包括 信息基础设施、融合基础设施与创新基础设施三个方面。 云计算被纳入 信息基础设施中的新技术基础设施 ，在社会 数字化 转型 中 的重要性得到肯定 ， 依托其高资源利用率、强业务承载能力等优势， 成为 企业 信息化建设 的首选。 据 IDC统计， 2019 年全球云计算基础设施规模超过传统 IT 基础设施，占全球 IT 基础设施的 50%以上 。 在未来几年 ， 我国云计算市场 仍将处于快速 增长阶段 ， 据中国信息通信研究院统计， 2019 年 我国云计算 市场（公有云、私有云） 整体 规模达 1334.5 亿元，增速 38.6%， 2023 年预计达 3754.2 亿元 ，与 2019 年相比， 市场规模约扩大 1.8 倍 。 云计算开源产业联盟 云计算安全责任共担白皮书（ 2020 年） 2 数据来源：中国信息通信研究院， 2020 年 5 月 图 1 中国云计算市场规模及增速 云计算 成攻击焦点， 安全态势日益严峻 。 随着 云计算的持续发展 ，云平台 将 承载 越来越多的 重要 数据 与 用户关键业务， 同时，云计算环境下多 用户共享云基础架构 ，云平台 一旦发生安全事件， 将有 海量用户受到影响， 带来不可估量的经济损失， 甚至 影响 社会的稳定生产。一方面， 云计算的 重要性 与价值导致其成为黑客攻击的重要目标 。 黑客利用 云计算提供商技术和管理上的漏洞，或 利用云计算客户 在云计算使用上的疏忽， 对云平台进行破坏 。 据国 家 计算机网络应急技术处理协调中心统计， 2019 年，我国云平台网络安全事件或威胁情况进一步加剧 ， DDoS 攻击次数占境内目标被攻击次数的 74.0%、被植入后门链接数量占境内全部被植入后门链接数量的 86.3%、被篡改网页数量占境内被篡改网页数量的 87.9%。 另一方面， 云计算 提供商 或云计算客户造成的安全事件时有发生 。 安全事件主要包括 大规模服务中断、数据泄露 和 数据丢失 。 云计算客户对云服务的错误配置 或使用， 容易导致数据泄露或丢失的发生 。 2019 年， Attunity（以色列公司，为大691.6962.81334.51781.82308.22951.53754.234.34%39.21%28.61%33.52% 29.54%27.87% 27.19%050010001500200025003000350040002017 2018 2019 2020E 2021E 2022E 2023E市场规模（亿元） 增速云计算开源产业联盟 云计算安全责任共担白皮书（ 2020 年） 3 约 2000 名客户提供数据管理、仓储和复制服务，很多客户为财富100 强企业）因其将三个 AWS S3 桶的访问权限设置为公开，导致至少 1T 数据的泄露，其中包括电子邮件、系统密码、项目规格等重要数据。 对于云计算提供商来说， 内部人员误操作、恶意行为、软硬件故障 、 基础设施 故障等都 可能 导致三类安全事件的发生。 数据来源： Gartner 图 2 全球云服务安全市场规模 云计算 安全受重视 ， 云服务安全市场 将持续 发展 。 受云计算安全态势的影响，云计算客户对云上的安全需求越发迫切， 关注点从 “上云”逐步发展为“安全上云” ，安全成为客户选择云计算的 重要 考量因素 。 据中国信通院中国公有云发展调查报告（ 2020 年）显示，42.4%的企业在选择云服务时会考虑服务安全性， 安全性成为企业选择公有云服务商的第三大考量因素， 较 2018 年 提升一位 。 另一方面 ，云计算提供商 增加 安全投入， 不断提升云平台安全性 的同时， 向客户提供丰富的安全产品， 促进云计算客户云上数据与业务的安全防护水0.00%2.00%4.00%6.00%8.00%10.00%12.00%14.00%16.00%18.00%20.00%020406080100120市场规模（亿美元） 增长率云计算开源产业联盟 云计算安全责任共担白皮书（ 2020 年） 4 平发展 。据 Gartner 统计， 2020 年全球云服务安全市场规模预计可达 84.18 亿美元，增速 13.9%。中国云服务安全市场规模预计可达2.67 亿美元，增速 17.11%， 2018-2023 年间，增长速率均高于全球水平，发展空间极大。 数据来源： Gartner 图 3 中国云服务安全市场规模 （ 二 ） 安全责任共担， 保障云计算全方位安全 1.安全责任 的承担与落实影响 云计算整体安全 云平台作为 一种持续运营 、动态变化的 基础设施， 涉及 的 关键点复杂 ，既包括 数据中心、计算、存储、网络、应用、数据、人员等实体要素， 也包括 研发、运维、运营 、使用 等 关键 环节 。 同时，云平台面临的 威胁多样 ，威胁利用关键点的脆弱性对云平台进行破坏， 环境灾害、黑客行为、技术故障等 威胁 都将带来不程度的损失 和 危害。 在实际运营中， 云计算的 服务产业链 纵深延长 ， 服务关系 存在多0.00%10.00%20.00%30.00%00.511.522.533.544.5市场规模（亿美元） 增长率