Mô hình trách nhiệm chung

Tổng quan

Bảo mật và tuân thủ là trách nhiệm chung giữa AWS và khách hàng. Mô hình chung này có thể giúp giảm bớt gánh nặng vận hành cho khách hàng vì AWS vận hành, quản lý và kiểm soát các thành phần từ hệ điều hành máy chủ và lớp ảo hóa, tới tính bảo mật thực tế tại các cơ sở đang vận hành dịch vụ. Khách hàng chịu trách nhiệm và quản lý hệ điều hành máy khách (bao gồm cập nhật và bản vá bảo mật), các phần mềm ứng dụng liên kết khác cũng như việc đặt cấu hình cho tường lửa nhóm bảo mật do AWS cung cấp. Khách hàng cần phải cẩn trọng cân nhắc các dịch vụ mà mình chọn vì trách nhiệm của khách hàng sẽ thay đổi tùy theo dịch vụ sử dụng, tùy theo việc tích hợp các dịch vụ đó vào môi trường CNTT của khách hàng cũng như pháp luật và quy định hiện hành. Bản chất của trách nhiệm chung này cũng tạo ra sự linh hoạt và cung cấp quyền kiểm soát cho khách hàng để cho phép triển khai. Như thể hiện ở biểu đồ bên dưới, sự phân biệt trách nhiệm thường được nhắc đến là Tính bảo mật "của" đám mây so với Tính bảo mật "trong" đám mây.

Trách nhiệm của AWS về "Tính bảo mật của đám mây" - AWS chịu trách nhiệm bảo vệ cơ sở hạ tầng vận hành tất cả các dịch vụ được cung cấp trong Đám mây AWS. Cơ sở hạ tầng này bao gồm phần cứng, phần mềm, mạng lưới và cơ sở vận hành Dịch vụ đám mây AWS.

Trách nhiệm của khách hàng về "Tính bảo mật trong đám mây" – Trách nhiệm của khách hàng sẽ tùy thuộc vào dịch vụ đám mây AWS mà khách hàng lựa chọn. Việc này sẽ xác định lượng công việc cấu hình mà khách hàng phải thực hiện trong khuôn khổ trách nhiệm bảo mật của mình. Ví dụ: các dịch vụ như Amazon Elastic Compute Cloud (Amazon EC2), Amazon Virtual Private Cloud (Amazon VPC) và Amazon S3 thuộc danh mục Dịch vụ cơ sở hạ tầng (IaaS), và như vậy đòi hỏi khách hàng phải thực hiện tất cả các tác vụ cấu hình và quản lý bảo mật cần thiết. Nếu khách hàng triển khai phiên bản Amazon EC2, khách hàng chịu trách nhiệm quản lý hệ điều hành khách (bao gồm các bản cập nhật và bản vá bảo mật), bất kỳ phần mềm ứng dụng hay tiện ích nào mà khách hàng cài đặt trên phiên bản và cấu hình tường lửa do AWS cung cấp (gọi là nhóm bảo mật) trên từng phiên bản.

Shared_Responsibility_Model_V2

Mô hình trách nhiệm chung của khách hàng/AWS này cũng mở rộng tới kiểm soát CNTT. Khi AWS và khách hàng của mình chia sẻ trách nhiệm vận hành môi trường CNTT với nhau thì cũng chia sẻ việc quản lý, vận hành và xác thực kiểm soát CNTT. AWS có thể giúp khách hàng giảm bớt gánh nặng vận hành kiểm soát bằng cách quản lý những kiểm soát liên kết với cơ sở hạ tầng thực tế đã được triển khai trong môi trường AWS mà trước đây có thể do khách hàng quản lý. Vì mỗi khách hàng triển khai khác nhau trong AWS nên khách hàng có thể tận dụng việc chuyển giao quyền quản lý những kiểm soát CNTT nhất định cho AWS, từ đó tạo ra môi trường kiểm soát phân bổ (mới). Khi đó, khách hàng có thể tận dụng tài liệu tuân thủ và kiểm soát AWS sẵn có để thực hiện các quy trình đánh giá và xác thực kiểm soát của mình theo yêu cầu. Dưới đây là ví dụ về kiểm soát do AWS, Khách hàng của AWS và/hoặc cả hai quản lý.

Kiểm soát kế thừa – Những kiểm soát mà khách hàng kế thừa hoàn toàn từ AWS.

  • Kiểm soát vật lý và môi trường

Kiểm soát chung – Những kiểm soát áp dụng cho cả lớp cơ sở hạ tầng và lớp khách hàng, nhưng trong bối cảnh hoặc phối cảnh hoàn toàn riêng biệt. Trong kiểm soát chung, AWS cung cấp yêu cầu cho cơ sở hạ tầng và khách hàng phải cung cấp các biện pháp kiểm soát riêng của mình trong việc sử dụng dịch vụ AWS. Ví dụ bao gồm:

  • Quản lý bản vá – AWS chịu trách nhiệm đối với việc vá và sửa lỗi trong cơ sở hạ tầng còn khách hàng chịu trách nhiệm đối với việc vá HĐH khách và ứng dụng của mình.
  • Quản lý cấu hình – AWS duy trì cấu hình của thiết bị cơ sở hạ tầng còn khách hàng chịu trách nhiệm cấu hình hệ điều hành khách, cơ sở dữ liệu và ứng dụng của riêng mình.
  • Nhận thức & đào tạo - AWS đào tạo nhân viên của AWS còn khách hàng phải đào tạo nhân viên của riêng mình.

Tùy theo khách hàng – Kiểm soát mà khách hàng hoàn toàn chịu trách nhiệm tùy theo ứng dụng mà khách hàng đang triển khai trong dịch vụ AWS. Ví dụ bao gồm:

  • Bảo vệ thông tin liên lạc và dịch vụ hoặc bảo mật khu vực có thể đòi hỏi khách hàng phải định tuyến hoặc khoanh vùng dữ liệu trong môi trường bảo mật cụ thể.
compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »