ศูนย์ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR)

การควบคุมของลูกค้า

การถ่ายโอนภายนอกเขตเศรษฐกิจยุโรป (EEA)

มาตรการทางเทคนิคและทางองค์กร

• GDPR มีผลกระทบอย่างไรต่อโมเดลความรับผิดชอบร่วมกันของ AWS

  GDPR จะไม่เปลี่ยนแปลงโมเดลความรับผิดชอบร่วมกันของ AWS ซึ่งยังคงมีความเกี่ยวข้องกับลูกค้า โมเดลความรับผิดชอบร่วมกันคือแนวทางที่มีประโยชน์ในการแสดงให้เห็นถึงความรับผิดชอบต่างๆ ที่แตกต่างกันของ AWS (ในฐานะผู้ประมวลผลข้อมูล หรือ ผู้ประมวลผลย่อย) และลูกค้า (ทั้งในฐานะผู้ควบคุมข้อมูล หรือ ผู้ประมวลผลข้อมูล) ภายใต้ GDPR

  ภายใต้โมเดลความรับผิดชอบร่วมกัน AWS จะรับผิดชอบการรักษาความปลอดภัยโครงสร้างพื้นฐานซึ่งรองรับบริการของ AWS (“การรักษาความปลอดภัย “ของ” ระบบคลาวด์”) และลูกค้าซึ่งทำหน้าที่เป็นทั้งผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล มีหน้าที่รับผิดชอบข้อมูลส่วนบุคคลใดๆ ที่อัปโหลดไปยังบริการของ AWS (“การรักษาความปลอดภัย “ใน” ระบบคลาวด์”)
  

  ความรับผิดชอบของ AWS “การรักษาความปลอดภัยของระบบคลาวด์”– AWS รับผิดชอบในการปกป้องโครงสร้างพื้นฐานในการให้บริการทั้งหมดของ AWS โครงสร้างพื้นฐานนี้จะประกอบไปด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่เรียกใช้บริการของ AWS ที่รวมถึงการควบคุมการกำหนดค่าความปลอดภัย ซึ่งมอบการควบคุมอันทรงพลังแก่ลูกค้าสำหรับการจัดการเนื้อหาของลูกค้า AWS ยังมอบรายงานการปฏิบัติตามข้อกำหนดหลายฉบับจากผู้ตรวจสอบบริษัทอื่นซึ่งได้ยืนยันการปฏิบัติตามข้อกำหนดของเราด้วยมาตรฐานและข้อบังคับด้านความปลอดภัยคอมพิวเตอร์ต่างๆ (สำหรับข้อมูลเพิ่มเติม ไปที่หน้าเว็บการปฏิบัติตามข้อกำหนดของ AWS) รายงานเหล่านี้แสดงให้ลูกค้าเห็นว่าเรากำลังปกป้องข้อมูลของตนเอง ตัวอย่างของเราประกอบด้วยการปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นเรื่องการคุ้มครองข้อมูลของลูกค้า
  

  ความรับผิดชอบของลูกค้า “การรักษาความปลอดภัยในระบบคลาวด์” - ลูกค้า AWS มีความรับผิดชอบต่อการสร้างและรักษาความปลอดภัยแอปพลิเคชันและโซลูชันที่เลือกติดตั้งใช้จริงบนบริการของ AWS และลูกค้า AWS มีความรับผิดชอบต่อการกำหนดค่าบริการของ AWS ในลักษณะที่คุ้มครองความจำเป็นด้านการเป็นความลับ ความสมบูรณ์ และความปลอดภัยของข้อมูลลูกค้า ความรับผิดชอบแต่ละด้านที่ลูกค้ามีต่อการรักษาความปลอดภัยของข้อมูลตนเองนั้นแตกต่างกันไป โดยขึ้นอยู่กับบริการของ AWS ที่ลูกค้าเลือกใช้และวิธีที่บริการเหล่านั้นรวมเข้าอยู่ในสภาพแวดล้อมไอทีของลูกค้า ลูกค้า AWS มีความสามารถในการมองเห็นและควบคุมข้อมูลของตนเองและใช้มาตรการควบคุมที่ยืดหยุ่นตามความละเอียดอ่อนของข้อมูลดังกล่าวในประเภทต่างๆ ได้ ลูกค้าทำเช่นนี้ได้โดยใช้มาตรการและเครื่องมือรักษาความปลอดภัยในระบบเอง หรือใช้มาตรการรและเครื่องมือรักษาความปลอดภัยที่ AWS หรือซัพพลายเออร์อื่นมีให้ใช้ โดยวิธีนี้ช่วยให้ลูกค้าวางชั้นรักษาความปลอดภัยเพิ่มเติมสำหรับข้อมูลที่ละเอียดอ่อนกว่าของตนเองได้
  

  AWS มีผลิตภัณฑ์ เครื่องมือ และบริการต่างๆ ให้ลูกค้าสามารถใช้เพื่อสร้างและรักษาความปลอดภัยแอปพลิเคชันและโซลูชันที่ติดตั้งใช้จริงเพื่อช่วยจัดการกับข้อกำหนดของ GDPR ได้ ได้แก่

  • AWS Identity and Access Management (IAM) ช่วยให้องค์กรจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM ลูกค้าจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
  • AWS CloudTrail จะทำให้องค์กรสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ใน AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
  • Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่ได้รับการจัดการซึ่งคอยเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่องเพื่อช่วยปกป้องบัญชี และปริมาณงาน AWS โดยจะเฝ้าติดตามกิจกรรมต่างๆ ซึ่งสามารถบ่งบอกถึงการบุกรุกบัญชีที่อาจเกิดขึ้นได้อย่างเช่น การเรียก API ที่ผิดปกติหรือการปรับใช้ที่อาจไม่ได้รับอนุญาต GuardDuty ยังตรวจจับอินสแตนซ์ที่อาจถูกบุกรุกหรือการลาดตระเวนที่กระทำโดยผู้บุกรุก
  • Amazon Macie เป็นเครื่องมือ Machine Learning ที่ช่วยในการสำรวจและจัดหมวดหมู่ของข้อมูลส่วนบุคคลที่จัดเก็บใน Amazon S3

  โปรดดูเอกสารรายงานของเรา การปฏิบัติตามข้อกำหนด GDPR บน AWS สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีใช้ทรัพยากรของ AWS ให้เป็นไปตามข้อกำหนด GDPR
  

• คู่ค้าของ AWS มีผลิตภัณฑ์และบริการเพื่อช่วยให้ปฏิบัติตามข้อกำหนดของ GDPR หรือไม่

  มี คุณสามารถค้นหา “GDPR” ใน AWS Partner Solutions Finder เพื่อช่วยให้ค้นหาคู่ค้า ISV MSP และ SI ซึ่งมีผลิตภัณฑ์และบริการเพื่อช่วยในการปฏิบัติตามข้อกำหนดของ GDPR ลูกค้ายังสามารถค้นหาโซลูชัน “GDPR” บน AWS Marketplace ได้

• AWS เสนอบริการระดับมืออาชีพที่ช่วยในการปฏิบัติตามข้อกำหนดของ GDPR หรือไม่

  ใช่ ทีมบริการประกันความปลอดภัยของ AWS ได้จัดกิจกรรมมากมายเพื่อช่วยลูกค้าในเส้นทางการปฏิบัติตามข้อกำหนดของ GDPR ทีมผู้เชี่ยวชาญด้านการปฏิบัติตามข้อกำหนดที่ผ่านการรับรองในอุตสาหกรรมนี้จะช่วยให้ลูกค้าบรรลุหน้าที่ รักษา และตั้งระบบอัตโนมัติสำหรับการปฏิบัติตามข้อกำหนดในระบบคลาวด์ โดยเชื่อมโยงมาตรฐานการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับคุณสมบัติและฟังก์ชันเฉพาะบริการของ AWS สามารถดูรายละเอียดเพิ่มเติมว่าที่ปรึกษา AWS Professional Services ช่วยลูกค้าอย่างไรบ้างได้ที่นี่
  

• AWS Support จะช่วยฉันในเส้นทางการปฏิบัติตามข้อกำหนดของ GDPR ได้อย่างไร

  ลูกค้าสามารถใช้ AWS Support เพื่อรับคำแนะนำทางเทคนิคเพื่อช่วยปูเส้นทางสู่การปฏิบัติตามข้อกำหนดของ GDPR ได้ โดยเรามีทีมวิศวกรสนับสนุนด้านระบบคลาวด์และผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ที่ผ่านการฝึกมาเพื่อช่วยระบุและลดความเสี่ยงด้านปฏิบัติตามข้อกำหนดในฐานะส่วนหนึ่งของกิจกรรมนี้อีกด้วย ระดับการสนับสนุนที่ AWS มีให้จะขึ้นอยู่กับแผน AWS Support ที่ลูกค้าเลือก ลูกค้าที่กำลังต้องการจะเข้าใจว่า AWS Premium Support สามารถช่วยเหลือพวกเขาได้อย่างไร สามารถหาข้อมูลเพิ่มเติมได้ใน AWS Support Center ซึ่งมีให้ใช้งานผ่าน AWS Management Console โดยการใช้รายละเอียดการติดต่อซึ่งระบุไว้ในข้อตกลงการสนับสนุนสำหรับองค์กรที่ป้อนไว้ให้กับ AWS หรือไปที่หน้าเว็บ AWS Support ลูกค้าที่มีการสนับสนุนสำหรับองค์กรโปรดติดต่อ TAM ของตนหากมีคำถามที่เกี่ยวข้องกับ GDPR
  

  สองโปรแกรมที่อาจมีประโยชน์กับลูกค้าในการดำเนินการตามการปฏิบัติตามข้อกำหนดของ GDPR ได้แก่:
  

  • การตรวจสอบการปฏิบัติการบนระบบคลาวด์ – พร้อมให้ลูกค้า AWS Enterprise Supportใช้บริการ โปรแกรมนี้ออกแบบมาเพื่อช่วยระบุช่องโหว่ในแนวทางที่ลูกค้าใช้ในการปฏิบัติการบนระบบคลาวด์ โปรแกรมนี้ให้การตรวจสอบปฏิบัติการบนระบบคลาวด์และแนวปฏิบัติด้านการจัดการที่เกี่ยวข้อง โดยเป็นโปรแกรมที่มาจากชุดแนวปฏิบัติที่ดีที่สุดซึ่งกลั่นกรองจากประสบการณ์ของ AWS ที่มีร่วมกับลูกค้าที่เป็นตัวแทนจำนวนมาก ซึ่งสามารถช่วยองค์กรในเส้นทางสายปฏิบัติตามข้อกำหนดของ GDPR ได้ โปรแกรมจะใช้แนวทางสี่เสาหลักซึ่งมุ่งเน้นด้านการเตรียมความพร้อม การเฝ้าติดตาม การปฏิบัติการ และเพิ่มประสิทธิภาพของระบบบนระบบคลาวด์ให้เหมาะสมเพื่อนำไปสู่ความเป็นเลิศด้านการปฏิบัติงาน
  • การตรวจสอบ Well-Architected – โปรแกรมนี้จะทำให้องค์กรสามารถวัดสถาปัตยกรรมของตนกับแนวปฏิบัติที่ดีที่สุดของ AWS และเพื่อสร้างสถาปัตยกรรมที่ปลอดภัย น่าเชื่อถือ, มีประสิทธิภาพสูง และคุ้มค่า การตรวจสอบ Well-Architected ยังสามารถทำให้ลูกค้าเข้าใจว่าสถาปัตยกรรมของตนมีความเสี่ยงตรงจุดใดบ้างและช่วยจัดการกับความเสี่ยงนั้นก่อนนำแอปพลิเคชันไปสู่ขั้นตอนการผลิต
    
    

• AWS จะช่วยลูกค้าให้บรรลุภาระผูกพันภายใต้ GDPR เกี่ยวกับการแจ้งเตือนการรั่วไหลของข้อมูลส่วนบุคคลได้อย่างไร

  AWS มีกระบวนการตรวจสอบเหตุการณ์ด้านความปลอดภัยและการแจ้งเตือนกรณีข้อมูลรั่วไหลเพียบพร้อมอยู่ และจะแจ้งให้ลูกค้าทราบถึงกรณีการเจาะระบบรักษาความปลอดภัยของ AWS โดยไม่มีการล่าช้าตาม AWS DPA AWS ยังมอบเครื่องมือมากมายให้ลูกค้าในการทำความเข้าใจว่าใครมีสิทธิ์เข้าถึงแหล่งข้อมูลตน เข้าถึงเมื่อใดและจากที่ใดบ้าง หนึ่งในเครื่องมือเหล่านั้นคือ AWS CloudTrail ซึ่งทำให้เกิดการกำกับดูแล การปฏิบัติตามข้อกำหนด การตรวจสอบการดำเนินงาน และการตรวจสอบความเสี่ยงของบัญชี AWS ด้วย AWS CloudTrail ลูกค้าจะสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมของบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐาน AWS ได้ ซึ่งนี่จะช่วยให้องค์กรต่างๆ เข้าใจว่ากำลังเกิดอะไรขึ้นกับโครงสร้างพื้นฐาน AWS ของลูกค้าและสามารถลงมือจัดการกับกิจกรรมที่ไม่ปกติได้ทันที สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือด้านความปลอดภัยอื่นๆ ที่ AWS มอบให้แก่ลูกค้าเพื่อช่วยให้บรรลุภาระผูกพันในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ ให้ดูที่หน้าเว็บการรักษาความปลอดภัยของ AWS Cloud  

• AWS จะช่วยฉันปกป้องข้อมูลของลูกค้าจากการโจมตีทางไซเบอร์ได้อย่างไร

  AWS ยังมอบเครื่องมือมากมายให้แก่ลูกค้าและคู่ค้า APN เพื่อรักษาความปลอดภัยให้กับข้อมูลของลูกค้าและช่วยปกป้องจากการโจมตีทางไซเบอร์ หนึ่งในเครื่องมือดังกล่าวนั้นคือ AWS Shield ซึ่งนี่เป็นบริการป้องกัน Distributed Denial of Service (DDoS) ที่ได้รับการจัดการเพื่อปกป้องเว็บไซต์และแอปพลิเคชันที่ทำงานบน AWS AWS Shield Standard มีให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม และมีการตรวจจับที่ทำงานอยู่ตลอดเวลาและการลดการโจมตีภายในแบบอัตโนมัติที่จะลดเวลาหยุดทำงานและเวลาแฝงของแอปพลิเคชัน เพื่อการป้องกันระดับสูงจากการโจมตีที่มุ่งเป้าไปยังแอปพลิเคชันบนเว็บที่ทำงานบน AWS และใช้ทรัพยากร ELB, Amazon CloudFront, and Amazon Route 53 ลูกค้าและคู่ค้า APN สามารถสมัครใช้งาน AWS Shield Advanced ได้ ทั้งนี้ AWS ยังเผยแพร่และอัปเดตแนวทางปฏิบัติที่ดีที่สุดของ AWS สำหรับความทนทานต่อความเสียหายจาก DDoS เป็นประจำ ซึ่งช่วยลูกค้าสามารถใช้ AWS เพื่อสร้างแอปพลิเคชันที่ยืดหยุ่นต่อการโจมตีของ DDoS ได้

  เครื่องมืออื่นๆ ของ AWS ที่ช่วยปกป้องข้อมูลของลูกค้าจากการโจมตีทางไซเบอร์ประกอบด้วย:

  • AWS Identity and Access Management (IAM) ช่วยให้องค์กรจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM ลูกค้าและคู่ค้า APN จะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
  • AWS Config ช่วยลูกค้าและคู่ค้า APN สามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
  • AWS CloudTrail จะทำให้องค์กรสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ใน AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
  • Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่ได้รับการจัดการซึ่งคอยเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่องเพื่อช่วยปกป้องบัญชี และปริมาณงาน AWS โดยจะเฝ้าติดตามกิจกรรมต่างๆ ซึ่งสามารถบ่งบอกถึงการบุกรุกบัญชีที่อาจเกิดขึ้นได้อย่างเช่น การเรียก API ที่ผิดปกติหรือการปรับใช้ที่อาจไม่ได้รับอนุญาต GuardDuty ยังตรวจจับอินสแตนซ์ที่อาจถูกบุกรุกหรือการลาดตระเวนที่กระทำโดยผู้บุกรุก

• เครื่องมือชนิดใดที่พร้อมช่วยฉันในการระบุข้อมูลส่วนบุคคลภายในเนื้อหาบน AWS

  Amazon Macie เป็นบริการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่ได้รับการจัดการแบบเต็มรูปแบบซึ่งใช้แมชชีนเลิร์นนิ่งและการจับคู่รูปแบบเพื่อค้นหาและปกป้องข้อมูลส่วนบุคคลของคุณใน AWS ในขณะที่องค์กรต่างๆ จัดการกับปริมาณข้อมูลที่เพิ่มขึ้นเรื่อยๆ การระบุและปกป้องข้อมูลส่วนบุคคลในทุกระดับอาจมีความซับซ้อน มีราคาแพง และกินเวลามากขึ้น Amazon Macie จะทำให้การค้นหาข้อมูลส่วนบุคคลเป็นระบบอัตโนมัติในทุกระดับและลดค่าใช้จ่ายในการปกป้องข้อมูลของคุณ Macie จะมอบคลังบัคเก็ต Amazon S3 ให้โดยอัตโนมัติซึ่งรวมถึงรายการบัคเก็ตที่ไม่ได้เข้ารหัส บัคเก็ตที่ทุกคนสามารถเข้าถึงได้ และบัคเก็ตที่แชร์กับบัญชี AWS นอกเหนือจากที่คุณกำหนดไว้ใน AWS Organizations จากนั้น Macie จะใช้แมชชีนเลิร์นนิ่งและเทคนิคการจับคู่รูปแบบกับบัคเก็ตที่คุณเลือกเพื่อระบุและเตือนให้คุณทราบถึงข้อมูลส่วนบุคคล
  

  Amazon Macie ได้รับการรับรองตามมาตรฐานที่เป็นที่ยอมรับในระดับสากล เช่น ISO 27017 สำหรับความปลอดภัยของระบบคลาวด์, ISO 27018 สำหรับความเป็นส่วนตัวของระบบคลาวด์ และลูกค้าและคู่ค้า APN ยังสามารถใช้ Macie เพื่อเฝ้าติดตามการเข้าถึงข้อมูลได้อย่างต่อเนื่องเพื่อตรวจจับกิจกรรมที่น่าสงสัยโดยอิงตามรูปแบบการเข้าถึง
  

• ฉันจะควบคุมการเข้าถึงข้อมูลส่วนบุคคลภายในเนื้อหาของฉันบน AWS ได้อย่างไร

  เพื่อช่วยเหลือลูกค้าในการปฏิบัติตามข้อกำหนดของ GDPR AWS จึงมีเครื่องมือมากมายสำหรับควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่มีในเนื้อหาของลูกค้าบน AWS เครื่องมือเหล่านี้ประกอบด้วย:

  • ความปลอดภัยตั้งแต่เริ่มต้นหมายความว่าบริการของ AWS ถูกออกแบบมาให้ปลอดภัยตั้งแต่เริ่มต้น หากมีการใช้งานการกำหนดค่าเริ่มต้น การเข้าถึงทรัพยากรจะถูกล็อกให้เฉพาะเจ้าของบัญชีและผู้ดูแลระบบระดับรากเท่านั้นที่สามารถเข้าถึงได้
  • AWS Identity and Access Management (IAM) ช่วยให้ลูกค้าจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS อย่างปลอดภัย เมื่อใช้ IAM องค์กรจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
  • AWS Multi-Factor Authentication เพิ่มชั้นป้องกันพิเศษสำหรับชื่อผู้ใช้และรหัสผ่านของบัญชี AWS AWS มอบตัวเลือกของอุปกรณ์ MFA แบบเสมือนจริงและแบบฮาร์ดแวร์ให้แก่ลูกค้า
  • AWS Directory Service จะช่วยให้ลูกค้าผสานและรวมเข้ากับไดเรกทอรีขององค์กรเพื่อลดค่าใช้จ่ายด้านการจัดการและปรับปรุงประสบการณ์ของผู้ใช้ปลายทาง
  • AWS Config ช่วยลูกค้าสามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
  • AWS CloudTrail จะทำให้ลูกค้าสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐานของ AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
  • Amazon Macie ใช้ Machine Learning เพื่อช่วยลูกค้าป้องกันการสูญหายของข้อมูลด้วยการค้นหา จัดหมวดหมู่ และปกป้องข้อมูลที่อ่อนไหวใน AWS โดยอัตโนมัติ บริการที่ได้รับการจัดการอย่างเต็มรูปแบบนี้จะเฝ้าติดตามกิจกรรมการเข้าถึงข้อมูลอย่างต่อเนื่องเพื่อตรวจหาความผิดปกติและส่งคำเตือนโดยละเอียดเมื่อตรวจพบความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ – เช่น ข้อมูลที่อ่อนไหวที่ลูกค้าเผลอให้เกิดการเข้าถึงจากภายนอกโดยไม่ได้ตั้งใจ
     

• ฉันจะเข้ารหัสข้อมูลของลูกค้าใน AWS เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างไร

  AWS มอบความสามารถในการเพิ่มความปลอดภัยอีกชั้นให้กับข้อมูลของลูกค้าที่จัดเก็บในระบบคลาวด์ให้แก่ลูกค้าและช่วยให้ลูกค้าสามารถดำเนินการรักษาความปลอดภัยตามภาระผูกพันด้านการประมวลผลในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ เครื่องมือการเข้ารหัสที่พร้อมให้ใช้งานบน AWS ประกอบด้วย:

  • ความสามารถในการเข้ารหัสมีให้ใช้งานในบริการพื้นที่จัดเก็บและบริการฐานข้อมูลของ AWS เช่น Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS และ Redshift
  • ตัวเลือกการจัดการคีย์ที่มีความยืดหยุ่น รวมทั้ง AWS Key Management Service จะช่วยให้คุณเลือกได้ว่าจะให้ AWS จัดการคีย์การเข้ารหัสหรือให้ลูกค้าเข้าควบคุมคีย์ได้เองอย่างสมบูรณ์
  • คิวข้อความที่ถูกเข้ารหัสสำหรับการส่งผ่านข้อมูลอ่อนไหวโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ (SSE) สำหรับ Amazon SQS
  • พื้นที่จัดเก็บคีย์การเข้ารหัสลับด้วยฮาร์ดแวร์เฉพาะโดยใช้ AWS CloudHSM ทำให้ลูกค้าสามารถปฏิบัติตามข้อกำหนดได้

   

  นอกจากนี้ AWS ยังมี API ต่างๆ ให้ลูกค้าและคู่ค้าของ APN สามารถผนวกรวมการเข้ารหัสและการป้องกันข้อมูลกับบริการใดๆ ที่ลูกค้าพัฒนาหรือปรับใช้ในสภาพแวดล้อม AWS ได้

• AWS นำเสนอบริการใดให้แก่ลูกค้าเพื่อช่วยในการปฏิบัติตามข้อกำหนดของ GDPR

  AWS ได้มอบคุณสมบัติและบริการเฉพาะซึ่งช่วยลูกค้าให้บรรลุข้อกำหนดของ GDPR ดังนี้

  การควบคุมการเข้าถึง: อนุญาตเฉพาะผู้ดูแลระบบ ผู้ใช้ และแอปพลิเคชันที่ได้รับอนุญาตให้เข้าถึงทรัพยากร AWS

  • Multi-Factor Authentication (MFA)
  • การเข้าถึงวัตถุแบบละเอียดพิเศษใน Amazon S3-Buckets/ Amazon SQS/ Amazon SNS และอื่นๆ
  • การตรวจสอบสิทธิ์คำขอ API
  • ข้อจำกัดทางภูมิศาสตร์
  • โทเค็นการเข้าถึงแบบชั่วคราวผ่าน AWS Security Token Service

  การเฝ้าติดตามและการบันทึก: รับภาพรวมเกี่ยวกับกิจกรรมบนทรัพยากร AWS ของคุณ

  • การบริหารจัดการสินทรัพย์และการกำหนดค่าด้วย AWS Config
  • การวิเคราะห์ความปลอดภัยและการตรวจสอบการปฏิบัติตามข้อกำหนดด้วย AWS CloudTrail
  • การระบุความท้าทายด้านการกำหนดค่าผ่าน AWS Trusted Advisor
  • การบันทึกแบบละเอียดพิเศษของการเข้าถึงอ็อบเจ็กต์ Amazon S3
  • ข้อมูลอย่างละเอียดเกี่ยวกับการไหลในเครือข่ายผ่าน Amazon VPC Flow Logs
  • การตรวจสอบและการดำเนินการการกำหนดค่าซึ่งอิงตามกฎด้วย AWS Config Rules
  • คัดกรองและเฝ้าติดตามการเข้าถึงของ HTTP สู่แอปพลิเคชันด้วยฟังก์ชัน AWS WAF ใน AWS CloudFront

  การเข้ารหัส: การเข้ารหัสข้อมูลบน AWS

  • การเข้ารหัสข้อมูลที่จัดเก็บของคุณด้วย AES256 (EBS/S3/Glacier/RDS)
  • Key Management ซึ่งถูกจัดการแบบรวมศูนย์ (โดย AWS Region)
  • IPsec เจาะเข้าสู่ AWS ด้วยเกตเวย์ VPN
  • โมดูล Dedicated HSM ในระบบคลาวด์พร้อมด้วย AWS CloudHSM

  เฟรมเวิร์กการปฏิบัติตามข้อกำหนดและมาตรฐานการรักษาความปลอดภัยที่แข็งแกร่ง: เราแสดงให้เห็๖ถึงการปฏิบัติตามมาตรฐานนานาชาติที่รัดกุม เช่น:

  • ISO 27001 สำหรับมาตรการทางเทคนิค
  • ISO 27017 สำหรับการรักษาความปลอดภัยของระบบคลาวด์
  • ISO 27018 สำหรับความเป็นส่วนตัวของระบบคลาวด์
  • SOC 1, SOC 2 และ SOC 3, PCI DSS ระดับ 1,
  • Common Cloud Computing Controls Catalogue (C5) ของ BSI
    
  • ENS High