0x00 前言

云安全的职责范围实际上一直遵循的是，谁提供谁负责，如果交付给云消费者的时候，交付者使用过程中就要自行负责，也就是我们经常遇到的配置不当等问题，在三层服务模式中，责任互相嵌套，最后形成了责任共享的机制。

0x01 宏观拆分

根据NIST提供的云计算模型，三种云计算模式承担不同的责任。

1.IaaS

云服务商提供基本虚拟机机器服务，和服务器相关的问题由云服务商进行负责，而运行在上面的中间件和软件以及其他的内容都由云消费者来进行承担

2.PaaS

云服务商提供IaaS的内容+运行环境中间件，那么云消费者只需要关注运行软件的安全性即可。

3.SaaS

这种模式对于云消费者来说是非常省事的模式，只要关注使用过程中的管理即可，其余所有的安全都由云服务商来进行完成，非常适合中小型企业的业务快速展开，并且节省安全运维的费用和成本。

4. SAAS（软件即服务）和消费者的相似之处包括：

1. 都需要方便易用的产品：SAAS和消费者都希望产品易于使用，拥有直观的界面和流畅的交互体验。

2. 都需要稳定和高质量的服务：SAAS和消费者都需要产品和服务能够稳定运行，提供高质量的用户体验。

3. 都需要快速响应和解决问题：SAAS和消费者都希望提供快速响应和解决问题的服务。

4. 都需要价格透明和公正：SAAS和消费者都希望产品的价格透明和公正，不会出现任何隐藏费用或欺诈行为。

5. 都需要保障隐私和数据安全：SAAS和消费者都需要保障隐私和数据安全，确保用户数据不会被窃取或滥用。

0x02 责任相关

• 云提供商需要明确自身责任范围，需要正确的设计实施这些安全职责和内容
• 云消费者需要建立责任矩阵，确定职责范围，满足合规标准。

其实就是需要一个统一的责任和负责表，相当于是基线，谁提供，那对应的部分的基线就由谁去做。云消费者一部分，云提供商一部分，出问题了自己担责处理即可。

目前找到的资料就是CAIQ以及云控制矩阵CCM。但是CAIQ目前没有找到中文的。

其实就是相当于是一个表，里面包含了很多责任划分的项，并且多达200，如果是要求安全合规的话，这里面的内容还是需要熟练掌握的才可以。

但是这个表是经过保护的，可以通过智能识别进行识别，这里给出一个demo，大家可以自行修改，当然大家可以自行写脚本搞定，感觉excel是可以的，或者就想我这样通过文字识别，但是识别是需要更改的，下面的demo只是做一个例子

import easyocr
# coding:gbk
import openpyxl 
import csv
from openpyxl import Workbook
from openpyxl.styles import Border,Side,Alignment,Font
def any_fish(filename):
	reader = easyocr.Reader(['ch_sim','en'])
	result = reader.readtext(filename,detail = 0)
	kg=[]
	end={}
	for i in result:
		if "%" in i or "分" in i or "小时" in i or i.isdigit(): 
			continue
		if "公斤" in i or "斤" in i:
			kg.append(i[:-2])	
		elif "克" in i:
			kg.append(i[:-1])	
		else:
			if len(kg)>0:
				if "水牛鱼" in i:
					i="大口水牛鱼"
				if "花鲤鱼" in i:
					i="三花鲤鱼"
				if i not in end:
					end[i]=[]
				end[i].append(kg[0])
				del kg[0]
	return end

end=any_fish("3.png")
print(end)

file = open("test.csv","w",newline="\r")

writer =csv.writer(file)

for i in end:
	data=[i]
	data=data+end[i]
	print(data)
	writer.writerow(data)
file.close

0x03 后记

云安全，可以划分为两个基础方向，一个是云安全合规，一个是云安全攻防。攻防的话只需要在意可能存在的攻击点即可，但是在云安全合规上来说，就是需要系统的了解学习每个合规项的内容，当然学习成本也会增加。就对于甲方安全的角度而言，云安全合规是必不可少的。

责任共担主要分为云提供商，以及云消费者，云提供商又分为IaaS，PaaS和SaaS三种提供商，可能是一个，也可能是三个提供商，要做的安全以及安全角度肯定就是综合的模式以及不同的角度，而单纯的云攻防就只需要关注攻击点即可。

补充知识

IaaS，PaaS和SaaS

1. IaaS（基础设施即服务）：IaaS是一种云计算服务模型，它提供基础设施，如虚拟机、存储、网络和操作系统等，让用户可以通过云平台管理和使用这些资源，无需购买、部署、维护自己的硬件设施。在IaaS模型下，用户可以自由选择和配置所需的资源来满足自己的业务需求。

2. PaaS（平台即服务）：PaaS是一种云计算服务模型，它提供平台级别的服务，如应用程序运行时环境、数据库、开发工具和应用服务等。PaaS服务由云提供商负责管理和维护，用户只需要专注于应用程序的开发和部署。PaaS可以大大简化应用程序的开发和部署流程，提高开发效率和部署速度。

3. SaaS（软件即服务）：SaaS是一种云计算服务模型，它提供基于互联网的应用程序，这些应用程序由云提供商管理和维护。用户只需通过互联网访问这些应用程序，无需购买、部署、维护软件，即可享受这些应用程序的功能和服务。SaaS模型下的应用程序通常是多租户的，可以同时为多个用户提供服务。SaaS模型可以为用户提供灵活、可扩展、高效的应用程序服务，降低了用户的IT成本和风险。好的，以下是IaaS，PaaS和SaaS的介绍：

4. IaaS（基础设施即服务）：IaaS是一种云计算服务模型，它提供基础设施，如虚拟机、存储、网络和操作系统等，让用户可以通过云平台管理和使用这些资源，无需购买、部署、维护自己的硬件设施。在IaaS模型下，用户可以自由选择和配置所需的资源来满足自己的业务需求。

5. PaaS（平台即服务）：PaaS是一种云计算服务模型，它提供平台级别的服务，如应用程序运行时环境、数据库、开发工具和应用服务等。PaaS服务由云提供商负责管理和维护，用户只需要专注于应用程序的开发和部署。PaaS可以大大简化应用程序的开发和部署流程，提高开发效率和部署速度。

6. SaaS（软件即服务）：SaaS是一种云计算服务模型，它提供基于互联网的应用程序，这些应用程序由云提供商管理和维护。用户只需通过互联网访问这些应用程序，无需购买、部署、维护软件，即可享受这些应用程序的功能和服务。SaaS模型下的应用程序通常是多租户的，可以同时为多个用户提供服务。SaaS模型可以为用户提供灵活、可扩展、高效的应用程序服务，降低了用户的IT成本和风险。

各大平台责任共担机制

1. Amazon Web Services (AWS)：AWS采用一个共同的责任模型，其中AWS负责保护云基础设施，但客户负责保护其在AWS上运行的应用程序和数据。

2. Microsoft Azure：Azure也采用一个共同的责任模型，其中Microsoft负责保护云基础设施，但客户负责保护其在Azure上运行的应用程序和数据。

3. Google Cloud Platform (GCP)：GCP的责任共担机制与AWS和Azure类似，其中Google负责保护云基础设施，但客户负责保护其在GCP上运行的应用程序和数据。

4. Alibaba Cloud：阿里云的责任共担机制与其他云平台类似，其中阿里云负责保护云基础设施，但客户负责保护其在阿里云上运行的应用程序和数据。

5. 腾讯云：腾讯云的责任共担机制也类似于其他云平台，其中腾讯云负责保护云基础设施，但客户负责保护其在腾讯云上运行的应用程序和数据。

总体来说，云平台与客户之间的责任共担模型相对类似，而且都需要客户自己负责保护其在云平台上运行的应用程序和数据。因此，在选择云平台时，客户应该仔细了解平台的责任共担机制，并采取适当的措施来确保其应用程序和数据的安全性。

云消费者承担的安全责任

云消费者需要承担以下安全责任：

1. 数据安全：云消费者需要确保自己的数据得到保护。这包括选择合适的数据存储服务，使用安全的访问控制以及加密技术等。

2. 身份认证和授权：云消费者需要确保只有授权人员才能访问他们的云资源。这涉及到身份验证和授权技术。

3. 网络和设备安全：云消费者需要确保他们的网络和所有终端设备都得到了适当的安全措施。这涉及到网络安全，设备管理以及数据备份等。

4. 合规和法规要求：云消费者需要确保他们的云服务遵守所有的法律法规和合规要求。这包括隐私法规、数据保护法规等。

总的来说，云消费者需要全面地了解云计算安全，采取一系列措施来保护他们的数据和系统安全。