2.4　云中的事件响应

当讲到云计算的时候，我们说的是云提供商和承包服务的公司之间的责任划分[4]。责任等级将根据服务模型的不同而有所不同，如图2-6所示。

图2-6　云中的责任划分

对于软件即服务（Software as a Service，SaaS），大部分责任在云提供商身上。事实上，客户的责任基本上是保护其内部的基础设施（包括访问云资源的端点）。

对于基础设施即服务（Infrastructure as a Service，IaaS），大部分责任在于客户端，包括漏洞和补丁管理。

要了解事件响应目的的数据收集边界，理解责任非常重要。在IaaS环境中，你可以完全控制虚拟机，并且可以完全访问操作系统提供的所有日志。此模型中唯一缺少的信息是底层网络基础设施和虚拟机管理程序日志。每个云提供商[5]都有自己的事件响应目的的数据收集策略，因此请务必在请求任何数据之前查看云提供商策略。

对于SaaS模型，与事件响应相关的绝大多数信息都掌握在云提供商手中。如果在SaaS服务中发现可疑活动，应该直接联系云提供商，或通过门户[6]开启事件。请务必查看SLA，以便更好地了解事件响应场景中的洽谈规则。