我想取得有關共同的責任模型的資訊

安全與合規是 AWS 和客戶之間共同的責任。此共同模型有助於減輕客戶的操作負擔,因為從託管作業系統和虛擬化層的元件到服務運作的設施實體安全性都由 AWS 操作、管理和控制。客戶負責和管理訪客作業系統 (包含更新和安全性修補程式)、其他相關應用程式軟體,以及 AWS 提供的安全群組防火牆組態。客戶應審慎考量選擇的服務,因為根據使用的服務、這些服務與 IT 環境的整合及適用的法律和法規,所需負擔的責任各有不同。此共同的責任性質也提供允許部署的彈性和客戶控制。如下表所示,這種責任的區分通常稱為雲端「本身」的安全與雲端「內部」的安全。

AWS 負責「雲端本身的安全」– AWS 負責保護執行 AWS 雲端提供的所有服務的基礎設施。此基礎設施由執行 AWS 雲端服務的硬體、軟體、聯網與設施組成。

客戶負責「雲端內部的安全」– 客戶的責任由自行選擇的 AWS 雲端服務決定。這會決定客戶在安全責任中必須執行的組態工作量。例如,Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Virtual Private Cloud (Amazon VPC) 和 Amazon S3 等服務分類為基礎設施即服務 (IaaS),因此,需要客戶執行所有必要的安全組態和管理任務。如果客戶部署 Amazon EC2 執行個體,則需負責管理訪客作業系統 (包含更新和安全性修補程式)、客戶在執行個體上安裝的所有應用程式軟體或公用程式,以及 AWS 在每個執行個體提供的防火牆組態 (稱為安全群組)。

AWS 共同的責任

此客戶/AWS 共同的責任模型也延伸適用於 IT 控制。就像 AWS 及其客戶需共同負擔操作 IT 環境的責任一樣,IT 控制的管理、操作和驗證也是共同的責任。AWS 透過管理部署在 AWS 環境中且之前可能由客戶管理的實體基礎設施相關控制,協助客戶減輕操作控制的負擔。因為每個客戶在 AWS 中的部署情況各不相同,所以他們可利用將特定 IT 控制的管理轉移至 AWS,藉此產生 (新的) 分散式控制環境。然後,客戶便可透過可用的 AWS 控制和合規文件,視需要執行控制評估和驗證程序。以下是由 AWS、AWS 客戶及/或雙方管理的控制範例。

沿用的控制 – 客戶完全沿用自 AWS 的控制。

  • 實體和環境控制

共同的控制 – 同時適用於基礎設施層和客戶層、但內容或觀點完全不同的控制。在共同的控制,AWS 提供基礎設施的要求,而客戶必須在其使用 AWS 服務內提供自己的控制實作。範例包括:

  • 修補程式管理 – AWS 負責基礎設施內的漏洞修補和修正,但客戶需負責修補自己的訪客作業系統和應用程式。
  • 組態管理 – AWS 負責維護其基礎設施裝置的組態,而客戶負責設定自己的訪客作業系統、資料庫和應用程式。
  • 感知與培訓 – AWS 訓練 AWS 員工,而客戶必須訓練自己的員工。

客戶特定 – 根據客戶在 AWS 服務內部署的應用程式,完全由客戶負責的控制。範例包括:

  • 可能需要客戶在特定安全環境內路由或分區資料的服務和通訊保護或區域安全性。
AWS 共同的責任

 

聯絡我們