Din cloud leverandør kan kun gøre så meget for at beskytte dig. De giver fysiske infrastruktur og adgang; de giver (formentlig) sikker software til opbygning og administration af din virtuelle infrastruktur; de kan give operativsystemet og anden software, du bruger i dine virtuelle maskiner. Men de kan ikke fritage dig for din egen sikkerhed ansvar.
Både du og leverandøren har et ansvar. Dette kaldes det Fælles Ansvar Model. Amazon Web Services beskriver den skelnen, som AWS, der er ansvarlig for sikkerheden “i” skyen, og den kunde, der har ansvaret “i” skyen.
AWS sikrer den globale infrastruktur: tilgængelighed zoner, kant steder, og de grundlæggende faciliteter til at beregne, storage, database og netværk. AWS tilbyder også tjenester som globale DNS (kaldet Rute 53), som hjælper med at fjerne en fælles målsætning om, at cyberangreb. Med Rute 53, AWS påtager sig ansvaret for DNS-server sikkerhed, så godt.
Kunden er ansvarlig for håndtering af alle aspekter af deres miljø i den offentlige sky. Denne indeholder elementer som networking konfigurationer, adgangskontrol regler, kryptering, brug og så videre. Mere vigtigt at forstå – kunden er ansvarlig for beskyttelsen af deres programmer og data, uanset om de bruger [basic] cloud-leverede tjenester og funktioner eller [mere omfattende sikkerhed] tilgængelig fra tredjemand, som Palo Alto Networks.
Dette fælles ansvar-modellen ikke kan virkelig arbejde på nogen anden måde. Hvis dine systemer er sikret ordentligt, så den infrastruktur, vil udbyderen har ingen synlighed i dine data og programmer. Med få undtagelser, alle de vil se, er krypterede data. Deres job med hensyn til sikkerhed er at beskytte den fysiske infrastruktur, administrative systemer, og integriteten af skyen selv, der er, for at beskytte kunderne fra hinanden. Optimal beskyttelse af dine systemer og data kræver viden om og kontrol af disse systemer og data. Dette skal være det domæne af kunden.
Cloud-udbydere altid påstår, at deres datacentre er mere sikker end din. Det er sandsynligt, at de er. Af denne grund, er det fristende for kunderne at overse deres ansvar – at beskytte de programmer og data, som de udsende til cloud. Virkeligheden er dette: hvis du tager de nødvendige skridt til at beskytte dine applikationer og data i den offentlige sky, du sætte din virksomhed i fare. Sagt på en anden måde, du bør beskytte dine applikationer og data i den offentlige sky med den samme omhu, der anvendes til at beskytte dine data center.