Modelo de responsabilidade compartilhada

Visão geral

Segurança e conformidade são responsabilidades compartilhadas entre a AWS e o cliente. Esse modelo compartilhado pode auxiliar a reduzir os encargos operacionais do cliente na medida em que a AWS opera, gerencia e controla os componentes do sistema operacional do host e a camada de virtualização, incluindo a segurança física das instalações em que o serviço opera. O cliente assume a gestão e a responsabilidade pelo sistema operacional convidado (inclusive atualizações e patches de segurança), por outro software de aplicativo associado, bem como pela configuração do firewall do grupo de segurança fornecido pela AWS. Os clientes devem examinar cuidadosamente os serviços que escolherem, pois suas respectivas responsabilidades variam de acordo com os serviços utilizados; a integração desses serviços ao seu ambiente de TI e as leis e regulamentos aplicáveis. A natureza dessas responsabilidades compartilhadas também oferece a flexibilidade e o controle do cliente necessários para que a implantação seja feita. Como pode ser visto no gráfico abaixo, esta distinção entre responsabilidades é denominada comumente como segurança “da” nuvem versus segurança “na” nuvem.

Responsabilidade da AWS: “segurança da nuvem” – A AWS é responsável por proteger a infraestrutura que executa todos os serviços oferecidos na Nuvem AWS. Essa infraestrutura é composta por hardware, software, redes e instalações que executam os Serviços de nuvem AWS.

Responsabilidade do cliente: “segurança na nuvem” – A responsabilidade do cliente será determinada pelos serviços da Nuvem AWS selecionados por ele. Isso determina a quantidade de operações de configuração que o cliente deverá executar como parte de suas responsabilidades de segurança. Por exemplo, serviços, como Amazon Elastic Compute Cloud (Amazon EC2), Amazon Virtual Private Cloud (Amazon VPC) e Amazon S3, são categorizados como Infrastructure as a Service (IaaS – Infraestrutura como serviço) e, dessa forma, exigem que o cliente execute todas as tarefas necessárias de configuração e gerenciamento da segurança. Se um cliente implantar uma instância do Amazon EC2, ele será responsável pelo gerenciamento do sistema operacional convidado (o que inclui atualizações e patches de segurança), de qualquer utilitário ou software de aplicativo instalado pelo cliente nas instâncias, bem como da configuração do firewall disponibilizado pela AWS (chamado de security group) em cada instância.

compliance-srm

Esse modelo de responsabilidade compartilhada entre o cliente e a AWS também se estende aos controles de TI. Assim como a responsabilidade para operar o ambiente de TI é compartilhada entre a AWS e os seus clientes, o mesmo ocorre com o gerenciamento, a operação e a verificação de controles compartilhados de TI. A AWS pode auxiliar a reduzir os encargos operacionais de controles do cliente gerenciando os controles associados à infraestrutura física implementada no ambiente da AWS que anteriormente eram gerenciados pelo cliente. Já que cada cliente é implementado de forma diferente na AWS, os clientes podem aproveitar a mudança de gerenciamento de determinados controles de TI para a AWS, resultando em um (novo) ambiente de controle distribuído. Os clientes podem usar a documentação sobre controle e conformidade da AWS para executar seus procedimentos de avaliação e verificação de controle, conforme for necessário. Veja abaixo exemplos de controles gerenciados pela AWS, por clientes da AWS e/ou por ambos.

Controles herdados: controles que um cliente herda completamente da AWS.

  • Controles físico e ambiental

Controles compartilhados: controles que se aplicam à camada de infraestrutura e às camadas do cliente, mas em perspectivas ou contextos totalmente distintos. Em um controle compartilhado, a AWS disponibiliza os requisitos de infraestrutura e o cliente deve disponibilizar sua própria implementação de controles dentro do uso de Serviços da AWS. Os exemplos incluem:

  • Gerenciamento de patches: a AWS é responsável pela aplicação de patches e pela correção de falhas na infraestrutura, mas os clientes são responsáveis pela aplicação de patches em seu SO convidado e nos seus aplicativos.
  • Gerenciamento de configuração: a AWS mantém a configuração dos dispositivos de infraestrutura, mas o cliente é responsável pela configuração dos seus próprios bancos de dados, aplicativos e sistemas operacionais convidados.
  • Conhecimentos e treinamento: a AWS treina funcionários da AWS, mas o cliente deve treinar seus próprios funcionários.

Específico do cliente: controla o que é de responsabilidade exclusiva do cliente com base no aplicativo implantado nos serviços da AWS. Os exemplos incluem:

  • Proteção ou zona de segurança de serviços e comunicação, que pode exigir que o cliente roteie dados para ambientes de segurança específicos, ou que divida os dados em questão entre eles.
compliance-contactus-icon
Dúvidas? Entre em contato com um representante de conformidade da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a conformidade da AWS?
Sigam-nos no Twitter »