随着云计算使用不断增加，数据保护和网络安全的共同责任模式概念也在改变。虽然这并不是新概念，我们已经与大多数外包共享安全责任多年，但共同安全责任的性质已经随着云计算的出现而改变。在最近的白皮书中，微软已经明确表示支持云端共同责任，但并非所有共同责任模式都一样。微软表明定义数据分类和保护控制是客户的责任，而提供商的责任包括通过云计算堆栈的流程，描述应用和操作系统控制、网络功能和底层主机基础设施（包括管理程序、存储组件、冗余和可扩展性工具等）。下面是微软在其白皮书中描述的基本责任模型：

• 数据保护和分类：在所有模型中这都是客户的责任；
• 端点和客户端保护：除了在软件即服务环境中责任共同承担外，这都是客户的责任。例如在使用微软InTune时的移动设备安全；
• 身份和访问管理：对于SaaS和平台即服务（PaaS）产品，身份和访问管理是共同责任，但在IaaS环境则是客户的责任；
• 应用水平控制：SaaS产品内的应用水平控制由提供商提供保护。PaaS产品是共同责任，而基础设施即服务（IaaS）则需要客户保护他们部署的应用堆栈；
• 网络控制：这非常有限，只有部分网络配置在IaaS内可用；提供商控制一切；
• 主机基础设施：与网络非常相似，底层计算堆栈完全由提供商管理–只有在IaaS环境，客户可访问或控制某些功能。

其他云服务提供商的共同责任模型

亚马逊云计算服务提供类似的模型，他们将责任模型分为两大类：云中的安全以及云的安全。云中安全是客户的责任，这包括数据保护、身份和访问管理、操作系统配置、网络安全–访问控制–以及加密。AWS负责基础设施的底层部分，包括计算组件、存储基础设施、数据库和网络。

大多数其他云服务提供商遵循与微软及亚马逊相似的模型。CenturyLink的共同责任模型也指明安全编码是其核心职责。谷歌并没有描述其谷歌云计算平台共同责任模型的文件，但他们在一个文档中明确列出其云计算中的共同责任以满足PCI DSS合规性。所有云服务提供商都完全负责其数据中心环境的物理安全。

共同责任模型缺少什么？

共同责任模型很少涵盖的领域是安全流程和工作流程。例如，谁负责云计算中事件响应的哪些方面？微软试图在另一份白皮书中解决这个问题，该白皮书主要描述了对事件响应共同责任的概念。对于客户的所有责任领域（例如在Azure IaaS云中运行的虚拟机），微软不会执行入侵监测或事件响应。对于微软的责任领域，他们详细介绍了所有团队成员的角色和职责，以及每个阶段的通知和通信，还有内部事件响应团队采取的措施。

目前，大多数其他提供商在安全流程责任方面没有提供任何文档介绍，只有在查看合同后，客户才会了解。希望更多的大型提供商会按照微软的做法，记录安全控制维护以及安全流程及工作流程所有方面的责任分配。