云安全责任共担模型 任何一个云服务的参与者都应当承担起相应的职责,不同角色的参与者通常会承担实施和管理不同部分的责任。因此,云安全职责由云服务不同的参与者分担。 平安云提供基础设施即服务(IaaS),平台即服务(PaaS)和软件即服务(SaaS)的各类云服务的技术资源,在云服务安全责任主要涉及两种角色:云服务提供商(即平安云)和客户。 平安云的主要责任是研发和运维平安云平台,维护平安云平台基础设施,提供各项基础设施服务以及各项服务内置的安全功能。同时,平安云还负责构建物理层、基础设施层、平台层、应用层、数据层和用户身份管理层的多维安全防护体系,并保障其运维运营安全。 客户的主要责任是在租用的平安云基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理、安全等各项服务,包括对平安云服务的定制配置和对客户自行部署的平台、应用、用户身份管理等服务的运维运营。同时,客户还负责其在虚拟网络层、平台层、应用层、数据层和用户身份管理层的各项安全防护措施的定制配置,运维运营安全,以及用户身份的有效管理。 例如,在网络安全中,平安云将可能监视平安云平台的网络边界所受到的攻击并提供网络防护功能或建议,而客户在平安云提供的功能或防护建议上,全权负责如何定义和实现自己的虚拟网络安全。   平安云的安全责任 平安云保障云平台自身安全。基于平安云作为云技术的研发者和云服务提供商的双重角色,平安云一方面确保各项云技术的安全开发、配置和部署;另一方面作为云服务提供商,平安云负责所提供云服务的运维运营安全; 平安云负责基础设施的安全。平安云基础设施主要包括支撑云服务的物理环境,平安自研的软硬件,以及运维运营包括计算、存储、网络、数据库、平台、应用、身份管理和高级安全服务等各项云服务的系统设施。 负责保护底层基础设施和虚拟化技术以免外部攻击和内部滥用。 保障云平台硬件、软件和网络安全,如操作系统及数据库的补丁管理、网络访问控制、DDoS防护、灾难恢复等; 平安云为客户提供数据保护手段,并且对实现数据保护的相关功能的安全性负责。但是,平安云只是客户数据托管者,平安云决不允许运维运营人员在未经授权情况下访问客户数据,客户对其数据拥有所有权和控制权。 遵从平安云服务所必需的安全法律法规,关注内外部合规要求的变化,对平安云进行安全合规与审计评估。   客户的安全责任 客户对其位于平安云的各项可控资源的安全配置负责,平安云只提供客户执行特定安全任务所需的所有资源、功能和性能。 客户应保护好平安云的账号,使用平安云账号的访问控制管理策略,对运维人员实施权限管理及职责分离。 客户负责其虚拟网络的防火墙,网关和高级安全服务等的策略配置;客户负责对其自行部署在平安云的任何应用的安全管理。 客户负责其各项云服务安全配置在部署到生产环境前做好充分测试。 客户始终是其云服务上的数据的所有者和控制者。客户负责各项具体的数据安全配置,对数据保密性、完整性、可用性以及数据访问身份验证和授权进行管理。 对于客户自行部署于平安云上的那些非平安云提供的各项应用和服务,客户自行负责识别并遵从与这些应用或服务有关的安全法律法规要求。