โมเดลความรับผิดชอบร่วมกัน

ภาพรวม

การรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดเป็นความรับผิดชอบร่วมกันระหว่าง AWS และลูกค้า โมเดลที่ใช้ร่วมกันนี้ช่วยลดภาระด้านการดำเนินการของลูกค้าได้โดยที่ AWS จะเป็นผู้ดำเนินการ จัดการ และควบคุมคอมโพเนนต์จากระบบการปฏิบัติการโฮสต์และการแสดงข้อมูลที่ในระดับที่ลึกถึงระบบรักษาความปลอดภัยทางกายภาพของสิ่งอำนวยความสะดวกที่มีการใช้บริการนี้อยู่ ลูกค้ามีความรับผิดชอบและต้องจัดการระบบปฏิบัติการของผู้เข้าร่วม (ซึ่งประกอบด้วยการอัปเดตและแพตช์การรักษาความปลอดภัย) ซอฟต์แวร์แอปพลิเคชันอื่นๆ ที่เกี่ยวข้อง รวมทั้งการกำหนดค่าไฟร์วอลล์กลุ่มการรักษาความปลอดภัยจาก AWS ลูกค้าควรพิจารณาอย่างรอบคอบเกี่ยวกับบริการที่เลือกใช้เนื่องจากความรับผิดชอบของลูกค้าจะแตกต่างกันไปตามบริการที่ใช้งาน การผสานการทำงานบริการดังกล่าวกับระบบ IT รวมถึงกฎหมายและข้อบังคับที่เกี่ยวข้อง ลักษณะของความรับผิดชอบร่วมกันนี้ยังให้ความยืดหยุ่นและการควบคุมของลูกค้าที่สามารถปรับใช้ได้ ความรับผิดชอบที่แตกต่างกันออกไปนี้จะหมายถึงการรักษาความปลอดภัย “ของ” ระบบคลาวด์ เทียบกับการรักษาความปลอดภัย “ใน” ระบบคลาวด์ ตามแผนภูมิที่แสดงด้านล่าง

ความรับผิดชอบของ AWS “การรักษาความปลอดภัยของระบบคลาวด์” – AWS รับผิดชอบในการปกป้องโครงสร้างพื้นฐานในการให้บริการทั้งหมดใน AWS Cloud โครงสร้างพื้นฐานนี้ประกอบด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่ดำเนิน AWS Cloud services

ความรับผิดชอบของลูกค้า “การรักษาความปลอดภัยในระบบคลาวด์” – ความรับผิดชอบของลูกค้าจะกำหนดตาม AWS Cloud services ที่ลูกค้าเลือกใช้ โดยบริการจะเป็นตัวกำหนดการดำเนินการกำหนดค่าที่ลูกค้าต้องทำเพื่อเป็นส่วนหนึ่งของความรับผิดชอบด้านการรักษาความปลอดภัย ตัวอย่างเช่น บริการอย่าง Amazon Elastic Compute Cloud (Amazon EC2) จะจัดอยู่ในหมวดหมู่การให้บริการโครงสร้างพื้นฐาน (IaaS) ซึ่งกำหนดให้ลูกค้าดำเนินการกำหนดค่าการรักษาความปลอดภัยที่จำเป็นทั้งหมดและทำหน้าที่จัดการด้วยตัวเอง ลูกค้าที่ปรับใช้ Amazon EC2 instance จะต้องรับผิดชอบเกี่ยวกับการจัดการระบบปฏิบัติการเยือน (ซึ่งประกอบด้วยการอัปเดตและแพตช์รักษาความปลอดภัย) และซอฟต์แวร์แอปพลิเคชันหรือยูทิลิตีใดๆ ที่ลูกค้าติดตั้งบนอินสแตนซ์ดังกล่าว และการกำหนดค่าไฟล์วอลล์จาก AWS (เรียกว่ากลุ่มการรักษาความปลอดภัย) ของแต่ละอินสแตนซ์ สำหรับบริการแยกอิสระอย่าง Amazon S3 และ Amazon DynamoDB นั้น AWS จะจัดการเลเยอร์โครงสร้างพื้นฐาน ระบบปฏิบัติการ และแพลตฟอร์ม โดยลูกค้าเป็นฝ่ายเข้าถึงตำแหน่งข้อมูลเพื่อจัดเก็บและเรียกใช้ข้อมูล ลูกค้าต้องรับผิดชอบการจัดการข้อมูลของตน (รวมถึงตัวเลือกการเข้ารหัส), การจัดประเภทแอสเซท และการใช้เครื่องมือ IAM เพื่อบังคับใช้สิทธิ์ที่เหมาะสม

Shared_Responsibility_Model_V2

โมเดลความรับผิดชอบร่วมกันของลูกค้า/AWS นี้ยังครอบคลุมถึงการควบคุมด้าน IT อีกด้วย การจัดการ การดำเนินการ และการรับรองของการควบคุมด้าน IT เป็นดำเนินการร่วมกันระหว่าง AWS และลูกค้าเช่นเดียวกับความรับผิดชอบในการดำเนินการบนระบบ IT AWS สามารถช่วยลดภาระของลูกค้าในการดำเนินการควบคุมได้โดยจัดการการควบคุมดังกล่าวที่เชื่อมโยงกับโครงสร้างพื้นฐานทางกายภาพที่ใช้งานใน AWS ซึ่งลูกค้าอาจทำการจัดการมาก่อนแล้ว เนื่องจากลูกค้าใช้งาน AWS ในวิธีที่ต่างกัน ลูกค้าจึงสามารถใช้ประโยชน์จากการเปลี่ยนระบบการจัดการของการควบคุมด้าน IT มาเป็น AWS ซึ่งเป็นระบบการควบคุมแบบกระจาย (รูปแบบใหม่) จากนั้นลูกค้าสามารถใช้เอกสารประกอบด้านการควบคุมและการปฏิบัติตามข้อกำหนดของ AWS ในการประเมินและการควบคุมและทำการตรวจสอบตามที่กำหนดได้ ด้านล่างนี้เป็นตัวอย่างการควบคุมที่ได้รับการจัดการโดย AWS, ลูกค้าของ AWS หรือทั้งสองฝ่าย

การควบคุมที่รับมา – การควบคุมที่ลูกค้าได้รับมาจาก AWS อย่างเต็มรูปแบบ

  • การควบคุมทางกายภาพและทางระบบ

การควบคุมร่วมกัน – การควบคุมที่ใช้กับทั้งระดับโครงสร้างพื้นฐานและระดับลูกค้า แต่เป็นบริบทหรือมุมมองที่แยกกันโดยสิ้นเชิง ในการควบคุมร่วมกัน AWS จะมีข้อบังคับสำหรับโครงสร้างพื้นฐาน และลูกค้าจะต้องนำการควบคุมของตนเองมาใช้ร่วมกับการใช้บริการของ AWS ตัวอย่าง

  • การจัดการแพตช์ – AWS มีความรับผิดชอบในการแพตช์และแก้ไขข้อบกพร่องภายในโครงสร้างพื้นฐาน แต่ลูกค้ามีความรับผิดชอบในการแพตช์ระบบปฏิบัติการผู้เข้าร่วมและแอปพลิเคชันของตนเอง
  • การจัดการการกำหนดค่า – AWS จะดูแลการกำหนดค่าของอุปกรณ์โครงสร้างพื้นฐาน แต่ลูกค้าจะต้องรับผิดชอบในการกำหนดค่าระบบปฏิบัติการผู้เข้าร่วม ฐานข้อมูล และแอปพลิเคชั่นของตนเอง
  • การรับรู้และการฝึกอบรม – AWS จะฝึกอบรมพนักงานภายใน แต่ลูกค้าจะต้องฝึกอบรมพนักงานของตนเอง

เฉพาะลูกค้า – การควบคุมที่เป็นความรับผิดชอบของลูกค้าแต่เพียงผู้เดียว อิงตามแอปพลิเคชันที่ตนนำมาใช้งานกับบริการของ AWS ตัวอย่าง

  • บริการและการปกป้องการสื่อสารหรือความปลอดภัยของโซนอาจกำหนดให้ลูกค้ากำหนดเส้นทางหรือจัดโซนข้อมูลภายในระบบการรักษาความปลอดภัยที่กำหนด
compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »