我想了解有关责任共担模型的信息

安全性和合规性是 AWS 和客户之间的共同责任。该共享模型可以帮助缓解客户操作负担,因为 AWS 会操作、管理并控制各个方面的组件,从主机操作系统和虚拟化层至运行服务的设施的物理安全,全权负责。客户承担的责任包括:管理来宾操作系统(包括更新和安全补丁程序)、其他相关应用软件以及 AWS 提供的安全组防火墙配置。客户应慎重选择服务,因为他们所承担的责任因他们使用的服务、服务与其 IT 环境的集成以及适用法律法规而各异。这一责任共担的性质还为客户实施部署提供了灵活性和控制力。如下图所示,这种责任分工通常指的是云“本身”的安全和云“内部”的安全。

AWS 责任“云本身的安全” – AWS 负责保护运行所有 AWS 云服务的基础设施。该基础实施由运行 AWS 云服务的硬件、软件、网络和设备组成。

客户责任“云内部的安全” – 客户责任由客户所选的 AWS 云服务确定。这决定了客户在安全责任中必须履行的配置工作量。例如,Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Virtual Private Cloud (Amazon VPC) 和 Amazon S3 等服务被归类为基础设施即服务 (IaaS),因此要求客户执行所有必要的安全配置和管理任务。如果客户部署了 Amazon EC2 实例,那么他们就要负责来宾操作系统 (包括更新和安全补丁) 的管理、客户在实例上安装的任何应用程序软件或实用工具,以及每个实例上 AWS 提供的防火墙 (称为安全组) 的配置。

AWS 责任共担

客户/ AWS 分担责任模型还扩展到 IT 控制体系方面。正如 AWS 与客户共同行使控制 IT 环境的责任一样,管理、运营和验证 IT 控制体系的责任也是由双方共同承担。AWS 可帮助客户缓解管理控制体系的负担,方式是接手管理之前可能由客户在 AWS 环境中管理、部署的物理基础设施相关的控制体系。因为每个客户在 AWS 中的部署均不相同,所以客户可以藉此将管理特定 IT 控制体系的责任移交到 AWS,从而形成一个新型分布式控制环境。然后,客户可使用可用的 AWS 控制和合规性文档,根据需要执行控制体系评估和验证流程。以下是由 AWS、AWS 客户和/或两者共同管理的控制体系示例。

继承控制体系 – 客户完全继承自 AWS 的控制体系。

  • 物理和环境控制体系

共享控制体系 – 同时适用于基础设施层和客户层 (位于完全不同的上下文或环境中) 的控制体系。在共享控制体系中,AWS 会提出基础设施方面的要求,而客户必须在使用 AWS 服务时提供自己的控制体系实施。示例包括:

  • 补丁管理 – AWS 负责修补和修复基础设施内的缺陷,而客户负责修补其来宾操作系统和应用程序。
  • 配置管理 – AWS 负责维护基础设施设备的配置,而客户负责配置自己的来宾操作系统、数据库和应用程序。
  • 认知和培训 – AWS 负责培训 AWS 员工,而客户必须负责培训自己的员工。

特定于客户的控制体系 – 完全由客户负责(基于其部署在 AWS 服务中的应用程序)的控制体系。示例包括:

  • 需要客户在特定安全环境中路由数据或对数据进行分区的服务和通信保护或分区安全性。
AWS 责任共担

 

联系我们