Shared Responsibility 共担责任
安全不是安全团队一个部门的事 —— 每个人都有一份。
在组织内
- 员工 —— 不点钓鱼链接、报告可疑、遵守密码策略
- 管理者 —— 给团队培训预算、把安全要求写进 KPI
- IT/Dev —— 写代码考虑安全、配置时不走捷径
- 高管 —— 接受残余风险(RMF Authorize 步骤)
- 安全团队 —— 制定策略、监控、响应、培训
文化层面: “Security is everyone’s job” 不是口号是底线。
在云环境(Cloud Shared Responsibility Model)
云厂商和客户的责任划分:
| 模式 | 厂商负责 | 客户负责 |
|---|---|---|
| IaaS | 物理硬件、虚拟化层 | OS、应用、数据、配置 |
| PaaS | + OS、Runtime | 应用、数据、配置 |
| SaaS | + 应用本身 | 数据、用户权限、配置 |
误区: 很多人以为”上了云就安全了”。错。数据始终是你的责任。 AWS 的 S3 bucket 配错权限造成的泄露事件无数,Amazon 不会替你背锅。