聚焦云安全：在数字化世界中保护公司敏感数据的战略、架构和合同模式

数据是现代数字化经济的工具，也是企业（私营部门）乃至国家（公共部门）的“新黄金”。在当今数字化世界中，海量的新数据集如潮水般涌现，其中绝大多数最终都流向了互联网。 其中部分数据集涉及个人数据，这些数据构成了数字身份。企业真正的诀窍在于仔细筛选这些数据，并最重要的是妥善存储这些数据。本短文旨在从企业视角探讨云端数据及其处理方式。 此外，本文还将阐述该行业采用哪些合同类型、架构以及针对网络攻击的适当安全措施，以期为自身的数据处理奠定坚实基础。

在深入探讨云安全主题之前，首先需要了解所谓“云计算”的一些基本概念、其运作原理以及云的架构： “云计算是一种数据处理模式，用户可通过网络随时随地便捷地访问共享的可配置计算资源池（例如网络、服务器、存储系统、应用程序和服务）。 这些资源能够快速提供，且管理开销极低，或只需极少的与服务提供商的交互。云计算可分为三种模式（基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS））。 云的类型根据部署方式的不同而有所区别（私有云、社区云、公有云、混合云）。» [1]

在云计算领域，云服务提供商向用户提供云服务的方式有多种。与云计算相关的主要有四种模式：

1. 公有云

公有云允许所有用户 通过订阅或按需付费的方式访问计算机资源， 例如硬件（操作系统、CPU、内存）或软件（应用服务器、数据库）。 实际应用场景包括开发和测试关键及非关键任务的应用程序，例如文件共享和电子邮件服务。

2. 私有云

私有云通常由单一组织专属使用，既可由内部管理，也可由外部IT服务提供商负责维护。尽管由于购置和维护方面的投资，私有云的成本通常高于公有云，但它们能更有效地解决组织在安全和数据保护方面的担忧。

3. 混合云（由物理数据中心或外部私有云和/或公有云混合而成）

混合云同时利用私有云和公有云基础设施。企业选择这种模式是为了在需要时快速扩展其IT基础设施。例如，在线零售商可以在节假日期间利用公有云资源来补充其私有云的容量或分担其负载。

4. 社区云

社区云为共同使用计算资源 的多个组织提供支持。 例如，在特定 研究领域开展合作的 大学 ，或在一个县内共享资源的政府机构（如警察局）。社区云的访问权限仅限于社区成员。

对于最终用户而言，公共云的成本通常较低，且无需额外的大额投资。相比之下，私有云虽然需要 初期投资，但与自建基础设施的运营成本相比 ，通常能 带来 显著的成本节约。 私有云还 比公有云提供更强的安全性和 合规性支持。因此，一些组织将私有云用于业务关键型或敏感数据及应用程序，而将公有云用于应用程序开发、测试环境和电子邮件服务等基础任务。[2]

混合云解决方案有助于降低或分散网络攻击的风险。与单纯使用公有云相比，它能提供对自身安全状况的更大控制权。 此外，混合云基础设施还允许企业建立个性化的安全标准，并在 私有服务器上 进行定制化软件 配置。这种分布式架构不仅提高了系统的可靠性，还使企业能够更准确地评估系统问题并进行分类处理。

此外，其成本效益也高于购买和维护本地服务器。[3]

云服务架构模型

鉴于混合云解决方案具有从增强安全控制到提高可靠性等诸多优势，理解各种云服务架构至关重要。 这些架构，即基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS），提供了不同层级的服务交付，并规定了不同的合规责任。

1. 基础设施即服务（IaaS）

IaaS 提供商提供基本的计算、存储和网络基础设施， 以及用于虚拟化的虚拟机管理程序。用户负责创建和管理虚拟实例、安装操作系统、部署应用程序和数据，以及进行整体配置。 IaaS 对于小型企业及中小企业都极具吸引力。这种无需自行运营的云基础设施操作简便，是购买自有硬件之外的一种经济实惠的替代方案。

示例：DigitalOcean、AWS、Azure、Google Compute Engine、Hetzner Cloud

2. 平台即服务（PaaS）

与 IaaS 相比，PaaS 提供商通过补充操作系统和中间件（例如数据库）来进一步扩展应用堆栈。用户可以更专注于应用程序的开发，而平台则负责管理底层基础设施。

示例：AWS Elastic Beanstalk、Google App Engine。

3. 软件即服务（SaaS）

SaaS 提供商提供完整的应用程序堆栈。用户可以通过网页浏览器访问完全托管的应用。工作负载和 IT 资源的管理完全由 SaaS 提供商控制，而用户则明确拥有对应用生成的数据的控制权。

示例：Salesforce、Dropbox、Google Workspace、aBusiness Suite[4]

合同法中的云计算

迄今为止，立法者尚未对 SaaS 合同作出明确的法律规定。目前，从法律角度来看，SaaS 合同只能被归类为混合合同，其中包含服务合同、承揽合同和租赁合同的要素。因此，适用的法律领域取决于合同中相应的服务部分。 SaaS 合同的核心部分主要属于租赁法范畴，因为软件的提供最接近于租赁法中财产的交付。 由于软件不被视为租赁法意义上的“物”，目前普遍认为SaaS合同构成一种限时使用权转让。这与租赁法的规定及其追求的目标相一致。[5]

PaaS 合同主要受服务级别协议（SLA）的约束，该协议 规定了最低服务标准，并界定了双方的权利与义务。

数据保护和数据安全起着至关重要的作用，因为 PaaS 服务通常会处理敏感数据。 合同 必须包含关于个人数据保护的明确条款 。此外，合同中必须明确规定所创建应用程序的知识产权归属，通常情况下，用户保留应用程序的所有权，而供应商则保留平台的所有权。[6]

结论

无论是一家初创企业、风险投资公司、中小企业还是大型企业，云安全对每一家企业都至关重要。

在此过程中，企业不仅需要考虑与哪些云服务提供商 合作，还需明确相关框架条件。

归根结底，安全责任不仅在于云技术服务提供商本身，企业的员工在云安全方面同样扮演着至关重要的角色。

必须定期投资于员工培训和安全意识提升，以确保员工掌握必要的专业知识，能够妥善执行安全准则和流程。 然而，为了充分发挥云的全部潜力，企业不仅应投资于自身系统或外部合作伙伴系统的维护，还应投资于招聘新的IT员工。 这样，企业才能确保系统安全，从而提高客户满意度，进而长期提升企业声誉。

在选择外部云服务提供商时，一个长期存在的关键问题是 依赖外国供应商及其数据保护法规。 企业通过采取以下措施应对这一挑战：彻底审查数据保护政策、采用混合云方案以降低风险、评估供应商的安全措施和认证资质、进行数据保护影响评估、定期监控和审计，以及为可能发生的数据泄露做好准备。 这些策略因企业规模和行业而异，但都旨在确保数据保护合规性，并最大限度地降低使用外部云服务时的潜在风险。

参考文献

云计算
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

云部署模型 (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

了解云——您知道什么是公有云，什么是混合云吗？（2023）
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

什么是IaaS？定义与相关知识
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

平台即服务（PaaS）（2022）
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

起草SaaS合同时应注意的事项 (2022)
https://www.top.legal/wissen/saas-vertraege

平台即服务（PaaS）合同：指南（2023）
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html