Модель общей ответственности
Ответственность за обеспечение безопасности и соответствия требованиям совместно несут AWS и клиент. Такая модель общей ответственности помогает снизить операционную нагрузку на клиента, поскольку AWS берет на себя вопросы эксплуатации, контроля и управления компонентами от уровня виртуализации и операционной системы узла до уровня физической безопасности объектов, где работает сервис. Клиент берет на себя ответственность за гостевую операционную систему и управление ею (включая обновления и исправления безопасности) и прочим прикладным программным обеспечением, а также настройку брандмауэра группы безопасности, предоставляемого платформой AWS. Клиенты должны тщательно оценивать сервисы, которые они выбирают, так как их обязанности меняются в зависимости от используемых сервисов, их интеграции в собственные ИТ‑среды и применимых законов и нормативных актов. Система такой общей ответственности также обеспечивает гибкость и контроль клиента за выполнением развертываний. Как показано на схеме ниже, такое разделение ответственности обычно определяют как «безопасность облака» и «безопасность в облаке».
Ответственность AWS, «безопасность облака». AWS несет ответственность за защиту инфраструктуры облака AWS, на которой работают все предлагаемые сервисы. Эта инфраструктура состоит из аппаратного и программного обеспечения, сетей и объектов, на базе которых работают облачные сервисы AWS.
Ответственность клиента, «безопасность в облаке». Ответственность клиента будет определяться выбранными для использования облачными сервисами AWS. Выбор сервисов определяет объем работ по настройке, которые должен выполнить клиент в рамках своих обязанностей по обеспечению безопасности. Например, такой сервис, как Amazon Elastic Compute Cloud (Amazon EC2), относится к модели «инфраструктура как сервис» (IaaS), а потому требует от клиента выполнения всех необходимых настроек безопасности и задач управления. Клиенты, которые развертывают инстанс Amazon EC2, отвечают за управление гостевой операционной системой (включая обновления и исправления безопасности), любым прикладным программным обеспечением или сервисными компонентами, установленными на инстансах, и за настройку брандмауэра (группы безопасности), предоставляемого AWS, для каждого инстанса. В случае абстрактных сервисов, таких как Amazon S3 и Amazon DynamoDB, AWS управляет уровнем инфраструктуры, операционной системой и платформой, а клиенты получают доступ к конечным точкам для хранения и извлечения данных. Клиенты отвечают за управление своими данными (включая параметры шифрования), классификацию своих ресурсов и использование инструментов IAM для применения соответствующих разрешений.
Эта модель общей ответственности клиента и AWS также распространяется на системы управления ИТ‑ресурсами. Подобно тому как ответственность за управление ИТ‑средой распределяется между AWS и клиентами, распределяются и задачи по использованию и проверке систем контроля ИТ‑ресурсов, а также по управлению таковыми. AWS помогает снизить нагрузку на клиента при управлении настройками безопасности, взяв на себя настройки, которые связаны с физической инфраструктурой в среде AWS, и освободив клиента от необходимости управлять ими. Поскольку каждый клиент выполняет развертывание в AWS по‑своему, клиенты могут воспользоваться преимуществом и передать управление некоторыми ИТ‑ресурсами в AWS, что приведет к созданию (новой) среды распределенного управления. Клиенты также могут использовать доступную документацию AWS по вопросам управления и соответствия требованиям для выполнения необходимых процедур оценки и проверки настроек управления. Ниже приведены примеры настроек, находящихся под управлением AWS, клиента AWS и/или обеих сторон.
Наследуемые настройки безопасности: настройки, которые клиент полностью наследует от AWS.
- Физические настройки и настройки среды
Общие настройки безопасности: настройки безопасности, которые применяются как на уровне инфраструктуры, так и на уровне клиента, но в различных контекстах или перспективах. При использовании общих настроек AWS предоставляет требования к инфраструктуре, а клиент должен обеспечить свою собственную реализацию настроек безопасности в рамках использования сервисов AWS. Примеры перечислены ниже.
- Управление исправлениями: AWS отвечает за исправление и устранение недостатков в инфраструктуре, а клиенты несут ответственность за исправления гостевой ОС и приложений.
- Управление конфигурацией: AWS обслуживает конфигурацию своих инфраструктурных устройств, а клиент отвечает за настройку своих гостевых операционных систем, баз данных и приложений.
- Осведомленность и обучение: AWS обучает сотрудников AWS, а клиент должен самостоятельно обучать своих сотрудников.
Особые настройки клиента: настройки, за которые несет ответственность только клиент, поскольку они зависят от приложения, которое клиент развертывает на AWS. Примеры перечислены ниже.
- Защита сервисов и коммуникаций, или зональная безопасность, когда от клиента может потребоваться маршрутизация или зонирование данных в определенных средах безопасности.
Применение модели общей ответственности AWS на практике
Как только покупатель понимает модель общей ответственности AWS и ее применение к работе в облаке, он обязан определить, каким образом модель относится к его примеру использования. Ответственность потребителя зависит от множества факторов, включая выбор сервисов и регионов AWS, интеграцию данных сервисов в IT-систему, законы и нормы, касающиеся организации и рабочей нагрузки.
Следующие упражнения могут помочь клиентам распределить ответственность исходя из конкретного примера использования:
Определить внешнюю и внутреннюю системы безопасности и связанные с ней требования и задачи, а также изучить отраслевые платформы, такие как NIST Cybersecurity Framework (CSF) и ISO.
Рассмотреть возможность использования платформы AWS Cloud Adoption Framework (CAF) и рекомендаций Well-Architected по планированию и осуществлению цифровой трансформации в масштабе.
Ознакомьтесь с функциями безопасности и параметрами настройки отдельных сервисов AWS в главах о безопасности из документации о сервисе AWS.
Оцените сервисы AWS по безопасности, идентификации и соответствию требованиям, чтобы понять, каким образом задействовать их для осуществления ваших задач в области безопасности и соответствия требованиям.
Просмотрите аудиторские аттестационные документы третьей стороны, чтобы определить наследуемые настройки безопасности и то, какие из необходимых настроек можно оставить для реализации в вашей среде.
Предоставьте внутренним и внешним аудиторским командам возможность обучения в облаке с помощью программ Cloud Audit Academy.
Выполните обзор Well-Architected для ваших рабочих нагрузок AWS, чтобы оценить внедрение передовых методов обеспечения безопасности, надежности и производительности.
Откройте решения цифрового каталога AWS Marketplace, в котором содержатся тысячи программных продуктов от независимых поставщиков, позволяющие вам находить, тестировать, покупать и развертывать программное обеспечение, работающее на AWS.
Откройте для себя Партнеров AWS Competency в сфере безопасности, предлагающих глубокие технические знания и стабильно успешные результаты клиентов. Они обеспечивают безопасность на всех этапах внедрения облачных технологий, от начальной миграции до постоянного повседневного управления.