如今，很多組織遭遇網絡攻擊，這表明云計算安全是一個復雜的技術和合同問題。

在最近發生的主要云安全事件中，Capital One公司的數據泄露事件影響了美國的1億人和加拿大的600萬人。其實并不只有Capital One公司遭遇網絡攻擊，黑客Paige A. Thompson與此同時竊取了其他三十多家公司、教育機構和其他實體的數TB的數據。  

正如這位被指控的網絡攻擊者在談到AWS配置時所說，“很多組織在其安全方面都做錯了。”  

那么，只有這一家公司在安全方面嚴重失誤?并不是，這個事件與眾不同。首先需要了解一些事情。調查表明，Capital One公司的業務在很大程度上依賴亞馬遜網絡服務(AWS)的云計算服務。并且網絡攻擊是在Amazon簡單存儲服務(S3存儲桶)中保存的數據上進行的。但是，由于防火墻配置錯誤，這次攻擊并不是在沒有任何安全措施的情況下對S3存儲桶進行的攻擊。

簡而言之，這些違規行為不是因為企業犯下了愚蠢的安全錯誤，而是因為在維護自身安全方面做得很差。  

Capital One公司的ModSecurity Web應用程序防火墻(WAF)配置錯誤使得網絡攻擊者(前AWS員工)能夠欺騙防火墻，并將請求轉發給關鍵的AWS后端資源。攻擊者使用服務器端請求偽造(SSRF)攻擊來欺騙防火墻讓攻擊者進入。

人們今后將會看到更多此類攻擊。正如Cloudflare公司產品安全團隊經理Evan Johnson所說的那樣，“這個問題很常見，并且眾所周知，但很難預防，而且AWS平臺沒有任何應對或緩解措施。”  

因此，顯然很多人可以將一些責任歸咎于AWS公司的公共云服務。但是，正如所謂的攻擊者自己對AWS的配置所說的那樣，很多公司在這方面做錯了。正如Gartner公司在調查報告中預測，“其實95%的云安全故障都是客戶的錯。”  

然而有些人(例如參議員Ron Wyden)卻將此次數據泄露的大部分責任推給AWS公司，AWS公司確實需要為此進行解釋，但真正的問題是如果企業的安全措施不佳，就會在遭遇攻擊時損失慘重。并且采用的云服務規模越大，損失越大。  

正如安全專家Brian Krebs指出的那樣，這一漏洞并不是由先前未知的‘零日’缺陷或內部攻擊造成的，而是由使用眾所周知的錯誤進行攻擊造成的。  

但是，在這一系列安全災難事件中，誰真正犯了安全錯誤呢?是云計算提供商還是使用云服務的公司?答案是他們都有責任。  

云安全的共享責任模型   客戶和云計算提供商各自負責云堆棧的不同部分。這個概念稱為共享責任模型(SRM)?？焖偎伎即四Ｐ偷姆椒ㄊ?a href="http://www.qzkangyuan.com/cnidc/cloud/yaq/2016/3067.html">云計算提供商負責云平臺的安全性，采用云平臺的用戶則需要負責在云中的業務安全性。

AWS和Microsoft Azure公司都明確支持此模型。但是，所有公共云都在某種程度上使用它，它是企業目前處理云安全的技術和合同方式的基礎。

在最基本的層面上，它意味著企業負責管理程序級別以上的所有內容。其中包括客戶操作系統、應用程序軟件、云計算實例的防火墻以及傳輸和空閑時的加密數據。云計算提供商負責主機操作系統、虛擬化層及其設施的物理安全性。   當然在現實世界中，它從未如此簡單，人們需要了解一些最新的安全事件。  

AWS公司表示，“安全與合規是AWS與用戶之間的共同責任。這種共享模式可以幫助減輕用戶的運營負擔，因為AWS公司可以運行、管理和控制從主機操作系統和虛擬化層到組件的物理安全性的組件，以及服務運營的設施?？蛻舫袚僮飨到y的責任和管理(包括更新和安全補丁)，其他相關的應用軟件以及AWS提供的安全組防火墻的配置。”   對于Capital One公司來說，他們沒有正確設置防火墻。但是，獲得AWS身份和訪問管理(IAM)角色臨時憑據變得更容易。有了這些臨時憑證，進行服務端請求偽造(SSRF)攻擊相對容易。

Johnson聲稱有幾種方法可以減少臨時憑證的使用。Netflix公司還表明，企業可以在AWS云平臺中發現臨時安全憑證的使用。所以AWS公司可以更好地鎖定防火墻，但是，Capital One公司首先設置防火墻。簡而言之，這一切都變得相當混亂。

這并不奇怪。正如行業專家指出的那樣，將云安全要求視為一種范圍。云計算服務客戶將適用于其組織的所有監管法規、行業和業務要求(GDPR、PCI DSS、合同等)，其總和等于該組織的所有特定安全要求。這些安全要求將有助于確保數據的機密性、完整性、可用性。  

安全要求范圍的一端是云計算服務提供商，另一端是采用云計算服務的用戶。提供商負責其中一些安全要求，用戶對其余部分負責，但都應該滿足一些安全要求。云計算服務提供商和采用云服務的用戶都有義務保護數據。