那么，只有这一家公司在安全方面严重失误?并不是，这个事件与众不同。首先需要了解一些事情。调查表明，Capital One公司的业务在很大程度上依赖亚马逊网络服务(AWS)的云计算服务。并且网络攻击是在Amazon简单存储服务(S3存储桶)中保存的数据上进行的。但是，由于防火墙配置错误，这次攻击并不是在没有任何安全措施的情况下对S3存储桶进行的攻击。

 

简而言之，这些违规行为不是因为企业犯下了愚蠢的安全错误，而是因为在维护自身安全方面做得很差。  

 

Capital One公司的ModSecurity Web应用程序防火墙(WAF)配置错误使得网络攻击者(前AWS员工)能够欺骗防火墙，并将请求转发给关键的AWS后端资源。攻击者使用服务器端请求伪造(SSRF)攻击来欺骗防火墙让攻击者进入。

 

人们今后将会看到更多此类攻击。正如Cloudflare公司产品安全团队经理Evan Johnson所说的那样，“这个问题很常见，并且众所周知，但很难预防，而且AWS平台没有任何应对或缓解措施。”  

 

因此，显然很多人可以将一些责任归咎于AWS公司的公共云服务。但是，正如所谓的攻击者自己对AWS的配置所说的那样，很多公司在这方面做错了。正如Gartner公司在调查报告中预测，“其实95%的云安全故障都是客户的错。”  

 

然而有些人(例如参议员Ron Wyden)却将此次数据泄露的大部分责任推给AWS公司，AWS公司确实需要为此进行解释，但真正的问题是如果企业的安全措施不佳，就会在遭遇攻击时损失惨重。并且采用的云服务规模越大，损失越大。  

 

正如安全专家Brian Krebs指出的那样，这一漏洞并不是由先前未知的‘零日’缺陷或内部攻击造成的，而是由使用众所周知的错误进行攻击造成的。  

 

但是，在这一系列安全灾难事件中，谁真正犯了安全错误呢?是云计算提供商还是使用云服务的公司?答案是他们都有责任。  

 

云安全的共享责任模型   客户和云计算提供商各自负责云堆栈的不同部分。这个概念称为共享责任模型(SRM)。快速思考此模型的方法是云计算提供商负责云平台的安全性，采用云平台的用户则需要负责在云中的业务安全性。

 

AWS和Microsoft Azure公司都明确支持此模型。但是，所有公共云都在某种程度上使用它，它是企业目前处理云安全的技术和合同方式的基础。

 

在最基本的层面上，它意味着企业负责管理程序级别以上的所有内容。其中包括客户操作系统、应用程序软件、云计算实例的防火墙以及传输和空闲时的加密数据。云计算提供商负责主机操作系统、虚拟化层及其设施的物理安全性。   当然在现实世界中，它从未如此简单，人们需要了解一些最新的安全事件。  

 

AWS公司表示，“安全与合规是AWS与用户之间的共同责任。这种共享模式可以帮助减轻用户的运营负担，因为AWS公司可以运行、管理和控制从主机操作系统和虚拟化层到组件的物理安全性的组件，以及服务运营的设施。客户承担操作系统的责任和管理(包括更新和安全补丁)，其他相关的应用软件以及AWS提供的安全组防火墙的配置。”   对于Capital One公司来说，他们没有正确设置防火墙。但是，获得AWS身份和访问管理(IAM)角色临时凭据变得更容易。有了这些临时凭证，进行服务端请求伪造(SSRF)攻击相对容易。

 

Johnson声称有几种方法可以减少临时凭证的使用。Netflix公司还表明，企业可以在AWS云平台中发现临时安全凭证的使用。所以AWS公司可以更好地锁定防火墙，但是，Capital One公司首先设置防火墙。简而言之，这一切都变得相当混乱。

 

这并不奇怪。正如行业专家指出的那样，将云安全要求视为一种范围。云计算服务客户将适用于其组织的所有监管法规、行业和业务要求(GDPR、PCI DSS、合同等)，其总和等于该组织的所有特定安全要求。这些安全要求将有助于确保数据的机密性、完整性、可用性。  

 

安全要求范围的一端是云计算服务提供商，另一端是采用云计算服务的用户。提供商负责其中一些安全要求，用户对其余部分负责，但都应该满足一些安全要求。云计算服务提供商和采用云服务的用户都有义务保护数据。