โมเดลความรับผิดชอบร่วมกัน
ความปลอดภัยและการปฏิบัติตามข้อกำหนดเป็นความรับผิดชอบร่วมกันระหว่าง AWS และลูกค้า โมเดลที่ใช้ร่วมกันนี้ช่วยลดภาระด้านการดำเนินการของลูกค้าได้โดยที่ AWS จะเป็นผู้ดำเนินการ จัดการ และควบคุมคอมโพเนนต์จากระบบการปฏิบัติการโฮสต์และการแสดงข้อมูลที่ในระดับที่ลึกถึงระบบรักษาความปลอดภัยทางกายภาพของสิ่งอำนวยความสะดวกที่มีการใช้บริการนี้อยู่ ลูกค้ามีความรับผิดชอบและต้องจัดการระบบปฏิบัติการของผู้เข้าร่วม (ซึ่งประกอบด้วยการอัปเดตและแพตช์การรักษาความปลอดภัย) ซอฟต์แวร์แอปพลิเคชันอื่นๆ ที่เกี่ยวข้อง รวมทั้งการกำหนดค่าไฟร์วอลล์กลุ่มการรักษาความปลอดภัยจาก AWS ลูกค้าควรพิจารณาอย่างรอบคอบเกี่ยวกับบริการที่เลือกใช้เนื่องจากความรับผิดชอบของลูกค้าจะแตกต่างกันไปตามบริการที่ใช้งาน การผสานการทำงานบริการดังกล่าวกับระบบ IT รวมถึงกฎหมายและข้อบังคับที่เกี่ยวข้อง ลักษณะของความรับผิดชอบร่วมกันนี้ยังให้ความยืดหยุ่นและการควบคุมของลูกค้าที่สามารถปรับใช้ได้ ความรับผิดชอบที่แตกต่างกันออกไปนี้จะหมายถึงการรักษาความปลอดภัย “ของ” ระบบคลาวด์ เทียบกับการรักษาความปลอดภัย “ใน” ระบบคลาวด์ ตามแผนภูมิที่แสดงด้านล่าง
ความรับผิดชอบของ AWS “การรักษาความปลอดภัยของระบบคลาวด์” – AWS รับผิดชอบในการปกป้องโครงสร้างพื้นฐานในการให้บริการทั้งหมดใน AWS Cloud โครงสร้างพื้นฐานนี้ประกอบด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่ดำเนิน AWS Cloud services
ความรับผิดชอบของลูกค้า “การรักษาความปลอดภัยในระบบคลาวด์” – ความรับผิดชอบของลูกค้าจะกำหนดตาม AWS Cloud services ที่ลูกค้าเลือกใช้ โดยบริการจะเป็นตัวกำหนดการดำเนินการกำหนดค่าที่ลูกค้าต้องทำเพื่อเป็นส่วนหนึ่งของความรับผิดชอบด้านการรักษาความปลอดภัย ตัวอย่างเช่น บริการอย่าง Amazon Elastic Compute Cloud (Amazon EC2) จะจัดอยู่ในหมวดหมู่การให้บริการโครงสร้างพื้นฐาน (IaaS) ซึ่งกำหนดให้ลูกค้าดำเนินการกำหนดค่าการรักษาความปลอดภัยที่จำเป็นทั้งหมดและทำหน้าที่จัดการด้วยตัวเอง ลูกค้าที่ปรับใช้ Amazon EC2 instance จะต้องรับผิดชอบเกี่ยวกับการจัดการระบบปฏิบัติการเยือน (ซึ่งประกอบด้วยการอัปเดตและแพตช์รักษาความปลอดภัย) และซอฟต์แวร์แอปพลิเคชันหรือยูทิลิตีใดๆ ที่ลูกค้าติดตั้งบนอินสแตนซ์ดังกล่าว และการกำหนดค่าไฟล์วอลล์จาก AWS (เรียกว่ากลุ่มการรักษาความปลอดภัย) ของแต่ละอินสแตนซ์ สำหรับบริการแยกอิสระอย่าง Amazon S3 และ Amazon DynamoDB นั้น AWS จะจัดการเลเยอร์โครงสร้างพื้นฐาน ระบบปฏิบัติการ และแพลตฟอร์ม โดยลูกค้าเป็นฝ่ายเข้าถึงตำแหน่งข้อมูลเพื่อจัดเก็บและเรียกใช้ข้อมูล ลูกค้าต้องรับผิดชอบการจัดการข้อมูลของตน (รวมถึงตัวเลือกการเข้ารหัส), การจัดประเภทแอสเซท และการใช้เครื่องมือ IAM เพื่อบังคับใช้สิทธิ์ที่เหมาะสม
![](https://d1.awsstatic.com/security-center/Shared_Responsibility_Model_V2.59d1eccec334b366627e9295b304202faf7b899b.jpg)
โมเดลความรับผิดชอบร่วมกันของลูกค้า/AWS นี้ยังครอบคลุมถึงการควบคุมด้าน IT อีกด้วย การจัดการ การดำเนินการ และการรับรองของการควบคุมด้าน IT เป็นดำเนินการร่วมกันระหว่าง AWS และลูกค้าเช่นเดียวกับความรับผิดชอบในการดำเนินการบนระบบ IT AWS สามารถช่วยลดภาระของลูกค้าในการดำเนินการควบคุมได้โดยจัดการการควบคุมดังกล่าวที่เชื่อมโยงกับโครงสร้างพื้นฐานทางกายภาพที่ใช้งานใน AWS ซึ่งลูกค้าอาจทำการจัดการมาก่อนแล้ว เนื่องจากลูกค้าใช้งาน AWS ในวิธีที่ต่างกัน ลูกค้าจึงสามารถใช้ประโยชน์จากการเปลี่ยนระบบการจัดการของการควบคุมด้าน IT มาเป็น AWS ซึ่งเป็นระบบการควบคุมแบบกระจาย (รูปแบบใหม่) จากนั้นลูกค้าสามารถใช้เอกสารประกอบด้านการควบคุมและการปฏิบัติตามข้อกำหนดของ AWS ในการประเมินและการควบคุมและทำการตรวจสอบตามที่กำหนดได้ ด้านล่างนี้เป็นตัวอย่างการควบคุมที่ได้รับการจัดการโดย AWS, ลูกค้าของ AWS หรือทั้งสองฝ่าย
การควบคุมที่รับมา – การควบคุมที่ลูกค้าได้รับมาจาก AWS อย่างเต็มรูปแบบ
- การควบคุมทางกายภาพและทางระบบ
การควบคุมร่วมกัน – การควบคุมที่ใช้กับทั้งระดับโครงสร้างพื้นฐานและระดับลูกค้า แต่เป็นบริบทหรือมุมมองที่แยกกันโดยสิ้นเชิง ในการควบคุมร่วมกัน AWS จะมีข้อบังคับสำหรับโครงสร้างพื้นฐาน และลูกค้าจะต้องนำการควบคุมของตนเองมาใช้ร่วมกับการใช้บริการของ AWS ตัวอย่าง
- การจัดการแพตช์ – AWS มีความรับผิดชอบในการแพตช์และแก้ไขข้อบกพร่องภายในโครงสร้างพื้นฐาน แต่ลูกค้ามีความรับผิดชอบในการแพตช์ระบบปฏิบัติการผู้เข้าร่วมและแอปพลิเคชันของตนเอง
- การจัดการการกำหนดค่า – AWS จะดูแลการกำหนดค่าของอุปกรณ์โครงสร้างพื้นฐาน แต่ลูกค้าจะต้องรับผิดชอบในการกำหนดค่าระบบปฏิบัติการผู้เข้าร่วม ฐานข้อมูล และแอปพลิเคชั่นของตนเอง
- การรับรู้และการฝึกอบรม – AWS จะฝึกอบรมพนักงานของ AWS แต่ลูกค้าจะต้องฝึกอบรมพนักงานของตนเอง
เฉพาะลูกค้า – การควบคุมที่เป็นความรับผิดชอบของลูกค้าแต่เพียงผู้เดียว อิงตามแอปพลิเคชันที่ตนนำมาใช้งานกับบริการของ AWS ตัวอย่าง
- บริการและการปกป้องการสื่อสารหรือความปลอดภัยของโซนอาจกำหนดให้ลูกค้ากำหนดเส้นทางหรือจัดโซนข้อมูลภายในสภาพแวดล้อมการรักษาความปลอดภัยที่กำหนด
การใช้โมเดลความรับผิดชอบร่วมกันของ AWS ในทางปฏิบัติ
เมื่อลูกค้าเข้าใจโมเดลความรับผิดชอบร่วมกันของ AWS รวมถึงวิธีที่จะนำไปใช้กับการดำเนินงานในระบบคลาวด์โดยทั่วไปแล้ว ลูกค้าจะต้องกำหนดว่าจะนำไปใช้กับกรณีการใช้งานของตนอย่างไร ความรับผิดชอบของลูกค้าจะแตกต่างกันไปตามปัจจัยหลายอย่าง รวมถึงบริการของ AWS และรีเจี้ยนที่ลูกค้าเลือก การผสานรวมบริการเหล่านั้นเข้ากับสภาพแวดล้อมด้านไอทีของตน รวมทั้งกฎหมายและข้อบังคับที่เกี่ยวข้องกับองค์กรและปริมาณงานของลูกค้า
แบบฝึกหัดต่อไปนี้สามารถช่วยลูกค้าในการกำหนดการกระจายความรับผิดชอบตามกรณีการใช้งานที่เฉพาะเจาะจง:
![](https://d1.awsstatic.com/Compliance%20V2/security-images/security-illustrations/Page-Illo_Detect.7149d8eebba1671694336e6d121bc7974305cf6a.png)
กำหนดความปลอดภัยภายนอกและภายในและข้อกำหนดและวัตถุประสงค์ในการปฏิบัติตามข้อกำหนดที่เกี่ยวข้อง และพิจารณาเฟรมเวิร์กของอุตสาหกรรมอย่างเช่น NIST Cybersecurity Framework (CSF) และ ISO
![ความสามารถด้านบริการของ AWS เกี่ยวกับข้อพิจารณาด้านความเป็นส่วนตัว ความสามารถด้านบริการของ AWS เกี่ยวกับข้อพิจารณาด้านความเป็นส่วนตัว](https://d1.awsstatic.com/Industries/Financial%20Services/Solutions/Compliance/Financial-Resource-Center_Segment-SEC-OCIE-Audit-Guide_Illustration.657cf43ecc1401e627d972999625fe59eaf14edd.png)
พิจารณาการปรับใช้ AWS Cloud Adoption Framework (CAF) และ แนวทางปฏิบัติที่ดีที่สุดของ Well-Architected เพื่อวางแผนและดำเนินการเปลี่ยนแปลงไปสู่ระบบดิจิทัลในทุกขนาด
![ความสามารถด้านบริการของ AWS เกี่ยวกับข้อพิจารณาด้านความเป็นส่วนตัว ความสามารถด้านบริการของ AWS เกี่ยวกับข้อพิจารณาด้านความเป็นส่วนตัว](https://d1.awsstatic.com/Industries/Financial%20Services/Solutions/Compliance/Financial-Resource-Center_Segment-Coalfire-Audit-Guide_Illustration.ac2aabd54127e78e06e2e33114675cb2a7a0c824.png)
ตรวจสอบฟังก์ชันความปลอดภัยและตัวเลือกการกำหนดค่าแต่ละบริการของ AWS ในบทความปลอดภัยของเอกสารประกอบบริการของ AWS
![แนวทางปฏิบัติที่ดีที่สุดสำหรับความปลอดภัย ข้อมูลประจำตัว และการปฏิบัติตามข้อกำหนด แนวทางปฏิบัติที่ดีที่สุดสำหรับความปลอดภัย ข้อมูลประจำตัว และการปฏิบัติตามข้อกำหนด](https://d1.awsstatic.com/Compliance%20V2/security-images/security-illustrations/Page-Illo_Remediate.56d68c7b713a02fb011c69b2d9a45f847bbb13db.png)
ประเมินบริการด้านความปลอดภัย ข้อมูลประจำตัว และการปฏิบัติตามข้อกำหนดของ AWS เพื่อทำความเข้าใจว่าจะสามารถใช้บริการเหล่านี้เพื่อช่วยให้บรรลุวัตถุประสงค์ด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดของคุณได้อย่างไร
![บล็อกการปกป้องข้อมูล บล็อกการปกป้องข้อมูล](https://d1.awsstatic.com/Compliance%20V2/security-images/security-illustrations/Page-Illo_Prevent.9a440a3b5794ae42ee42d76dd98f30a7e152629e.png)
ตรวจสอบเอกสารการรับรองการตรวจสอบของบุคคลภายนอกเพื่อกำหนดการควบคุมแบบสืบทอดและกำหนดว่าการควบคุมที่จำเป็นอะไรบ้างที่อาจเหลือไว้เพื่อให้คุณใช้งานในสภาพแวดล้อมของคุณ
![ศูนย์ GDPR ศูนย์ GDPR](https://d1.awsstatic.com/Compliance%20V2/security-images/security-illustrations/Page-Illo_Respond.b85154b05b25d1e6e661b15fb1c6065a327103ae.png)
เปิดโอกาสให้ทีมตรวจสอบภายในและภายนอกของคุณได้ศึกษาหาความรู้ที่เฉพาะเจาะจงเกี่ยวกับระบบคลาวด์ โดยการใช้ประโยชน์จากโปรแกรมการฝึกอบรมของ Cloud Audit Academy
![รายชื่อผู้ประมวลผลชั้นรอง รายชื่อผู้ประมวลผลชั้นรอง](https://d1.awsstatic.com/Compliance%20V2/security-images/security-illustrations/Page-Illo_Vulnerability%20reporting.04215ddd694a38678c9d0ca5d75bd03afcd7bd44.png)
ดำเนินการตรวจสอบ Well-Architected ของปริมาณงาน AWS ของคุณเพื่อประเมินการนำแนวทางปฏิบัติที่ดีที่สุดไปใช้ในด้านความปลอดภัย ความน่าเชื่อถือ และประสิทธิภาพ
![ความสามารถด้านบริการของ AWS เกี่ยวกับข้อพิจารณาด้านความเป็นส่วนตัว ความสามารถด้านบริการของ AWS เกี่ยวกับข้อพิจารณาด้านความเป็นส่วนตัว](https://d1.awsstatic.com/product-marketing/Management%20Tools/Page-Illos_MG-Use-Cases_Configuration_3-column_Audit.a97491edcdc02f0c348dd6bd647ca50f473b300e.png)
สำรวจโซลูชันที่มีอยู่ใน AWS Marketplace ซึ่งเป็นแค็ตตาล็อกดิจิทัลที่มีรายการซอฟต์แวร์จากผู้จำหน่ายซอฟต์แวร์อิสระนับพันรายการที่ช่วยให้คุณค้นหา ทดสอบ ซื้อ และติดตั้งใช้งานซอฟต์แวร์ที่ทำงานบน AWS
![ความสามารถด้านบริการของ AWS เกี่ยวกับข้อพิจารณาด้านความเป็นส่วนตัว ความสามารถด้านบริการของ AWS เกี่ยวกับข้อพิจารณาด้านความเป็นส่วนตัว](https://d1.awsstatic.com/Compliance%20V2/security-images/security-illustrations/Page-Illo_Expert%20guidance.17d03ec1bd08b40c20505251cdeb196bb7bfe164.png)
สำรวจคู่ค้าด้านความสามารถด้านความปลอดภัยของ AWS ที่มอบความเชี่ยวชาญและความสำเร็จของลูกค้าที่ได้รับการพิสูจน์แล้วในการรักษาความปลอดภัยของการเริ่มนำระบบคลาวด์ไปใช้ในทุกขั้นตอน ตั้งแต่เริ่มต้นย้ายข้อมูลไปจนถึงการจัดการประจำวันอย่างต่อเนื่อง