Le modèle suivant explique les niveaux de responsabilité, dans l'utilisation et la gestion des services Cloud, qui doivent être partagés entre le fournisseur (Aruba Cloud) et le Client.
On croit à tort qu'en utilisant un service Cloud la responsabilité de tout problème peut être déléguée au fournisseur : qu'il soit de nature technique, juridique ou de sécurité.
Comme souligné dans le modèle ci-dessous, le fournisseur n'a aucune responsabilité pour la gestion et la classification des données. Par exemple, la distinction entre données sensibles et données publiables relève de la responsabilité exclusive du Client. A l'inverse, le Client n'est pas responsable de la sécurité physique de l'infrastructure Cloud.
Suite à ces distinctions, on parle couramment de sécurité "du" Cloud et "dans" le Cloud.
La sécurité "du" Cloud est de la responsabilité du fournisseur et concerne tout ce qui touche à la protection de l'infrastructure qui délivre les services (data center).
La sécurité "dans" le Cloud est une prérogative du Client. Les services Cloud fournis par Aruba Cloud sont IaaS et, en tant que tels, nécessitent que le Client configure, gère et vérifie la sécurité.