Hướng dẫn giải pháp tuân thủ AWS


Nguồn lưu trữ các tài nguyên và quy trình được sử dụng thường xuyên cần thiết để thực hiện các trách nhiệm tuân thủ trên AWS.

Chào mừng bạn đến với Hướng dẫn giải pháp tuân thủ AWS Hướng dẫn này được thiết kế để cung cấp cho bạn một nguồn lưu trữ các tài nguyên và quy trình được sử dụng thường xuyên cần thiết để thực hiện các trách nhiệm tuân thủ trên AWS.

Tính bảo mật tại AWS là ưu tiên hàng đầu của chúng tôi. Ngày nay, AWS bảo vệ hàng triệu khách hàng đang hoạt động trên toàn thế giới, từ các doanh nghiệp lớn và các tổ chức chính phủ, đến các công ty khởi nghiệp và phi lợi nhuận. Thông qua các mối quan hệ này, chúng tôi đã phát triển các tài nguyên tốt nhất để cho phép khách hàng từ bất kỳ ngành nào có thể nhanh chóng hiểu cách đạt được sự tuân thủ trong Đám mây AWS. Một khách hàng của AWS được thừa hưởng tất cả lợi ích từ kinh nghiệm bao gồm phương pháp thực hành tốt nhành cho chính sách tuân thủ, kiến trúc, và các quy trình hoạt động được xác nhận đối với các khung bảo đảm bên ngoài.

AWS truyền đạt môi trường an ninh và kiểm soát của mình có liên quan đến khách hàng bằng cách thực hiện như sau:

  • Chứng nhận ngành và xác nhận của bên thứ ba độc lập được liệt kê bên dưới
  • Thông tin về các biện pháp bảo mật và kiểm soát AWS trong các báo cáo nghiên cứu chuyên sâu và nội dung trang web
  • Chứng chỉ, báo cáo và các tài liệu khác trực tiếp cho khách hàng AWS theo NDA

Giải pháp tuân thủ


Phương pháp thực hành tốt nhất để truy cập các báo cáo tuân thủ của AWS là thông qua bảng điều khiển qua AWS Artifact. AWS Artifact cung cấp cho khách hàng quyền truy cập vào dịch vụ tự phục vụ theo yêu cầu để xem các báo cáo tuân thủ AWS mới nhất. Khi các báo cáo mới được phát hành bởi AWS, chúng sẽ có sẵn ngay lập tức để tải xuống trong AWS Artifact. Ngoài truy cập theo yêu cầu, dưới đây là ba ưu điểm khi sử dụng AWS Artifact:

  1. Không yêu cầu nhập thẻ tín dụng. Không mất phí tạo tài khoản hoặc sử dụng cổng thông tin AWS Artifact.
  2. Có khả năng thiết lập tài khoản cho người dùng khác thông qua IAD.
  3. Có thể nhấp vào Thỏa thuận bảo mật thông tin (NDA) một cách thuận tiện.

Vui lòng lưu ý rằng tất cả chứng thực, chứng nhận, báo cáo Kiểm soát tổ chức dịch vụ (SOC) của bên thứ ba và các báo cáo tuân thủ khác có liên quan đều yêu cầu NDA. Các trường hợp ngoại lệ là chứng nhận AWS ISO 27001 và các báo cáo AWS SOC 3 có sẵn công khai.

Nếu bạn có tài khoản AWS và sẵn sàng bắt đầu sử dụng AWS Artifact, bạn có thể sử dụng các tài nguyên dưới đây để tự làm quen với tính năng này trong bảng điều khiển. Nếu bạn chưa có tài khoản AWS, bạn có thể tạo một tài khoản theo các bước này.

Trang web của AWS Artifact - Trang web này sẽ cung cấp cho bạn thông tin cơ bản về Artifact bao gồm Hướng dẫn Bắt đầu nhanhvới hướng dẫn từng bước về cách đăng nhập vào bảng điều khiển và tải xuống báo cáo, cũng như trang Câu hỏi thường gặp về AWS Artifact với danh sách đầy đủ tất cả các câu hỏi thường gặp.

Dưới đây là một số kịch bản phổ biến nhất phát sinh các câu hỏi:

Trong trường hợp bạn cần hỗ trợ để hoàn thành Bảng câu hỏi Bảo mật để ghi lại các vị trí tuân thủ và bảo mật của AWS, AWS có một cách tiếp cận được đề xuất, được thiết kế để cung cấp cho bạn các tài nguyên thích hợp giải quyết các câu hỏi của bạn về bảo mật và tuân thủ trong bối cảnh đám mây và mô hình kinh doanh của AWS Quy trình này đảm bảo rằng tất cả khách hàng của chúng tôi đều nhận được câu trả lời nhất quán đã được xác nhận bởi các đánh giá viên bên thứ ba của chúng tôi.

AWS Artifact là nơi đầu tiên bạn cần truy cập vì ở đó có tất cả các báo cáo tuân thủ. AWS trải qua nhiều lần đánh giá trong năm bởi các đánh giá viên bên thứ ba, hầu hết được thực hiện theo các tiêu chuẩn bảo mật quốc tế, như ISO 27001, PCI và SOC. Bạn có thể sử dụng các báo cáo này để trả lời các câu hỏi về bất kỳ bảng câu hỏi bảo mật nào mà bạn có thể nhận được.

Ngoài ra, có một số loại tài nguyên có sẵn trực tuyến để cung cấp câu trả lời cho một số câu hỏi thường gặp nhất. Hai tài liệu được sử dụng thường xuyên nhất cho bảng câu hỏi là:

Bảng câu hỏi về Sáng kiến đánh giá đồng thuận - Liên minh Bảo mật Đám mây (CSA) là một tổ chức phi lợi nhuận có nhiệm vụ quảng bá việc sử dụng các phương pháp hay nhất để cung cấp bảo đảm an ninh trong điện toán đám mây. Bảng câu hỏi về Sáng kiến đánh giá đồng thuận CSA đưa ra một bộ câu hỏi mà CSA dự đoán là khách hàng dịch vụ đám mây và/hoặc đánh giá viên sẽ hỏi nhà cung cấp dịch vụ đám mây. Nó cung cấp một loạt các câu hỏi về bảo mật, kiểm soát và xử lý mà sau đó có thể được sử dụng cho một loạt các ứng dụng, bao gồm lựa chọn nhà cung cấp đám mây và đánh giá bảo mật. Tài liệu này chứa các câu trả lời của AWS cho bảng câu hỏi CSA.

Báo cáo nghiên cứu chuyên sâu Rủi ro và Tuân thủ - Tài liệu này nhằm cung cấp thông tin để hỗ trợ khách hàng AWS tích hợp AWS vào khung kiểm soát hiện có hỗ trợ môi trường CNTT của họ. Nó bao gồm cách tiếp cận cơ bản để đánh giá các kiểm soát AWS và cung cấp thông tin để hỗ trợ khách hàng với các môi trường kiểm soát tích hợp. Tài liệu này cũng đề cập đến thông tin cụ thể về AWS xung quanh các câu hỏi tuân thủ điện toán đám mây nói chung. Có các mô tả chi tiết về tất cả Chứng nhận AWS, Chương trình, Báo cáo và các Chứng thực của Bên thứ ba. Bảng câu hỏi CSA có trong phần Phụ lục của tài liệu này.

Nếu bạn vẫn cần trợ giúp trả lời câu hỏi, hãy liên hệ với người Quản lý Tài khoản Bán hàng AWS của bạn và họ có thể giúp hướng dẫn bạn đến các tài nguyên thích hợp.

Ví dụ về Bảng câu hỏi bảo mật

Kiểm soát Câu hỏi Trả lời Các tài liệu tham khảo AWS
Mã hóa Các dịch vụ được cung cấp có hỗ trợ mã hóa không?

Có. AWS cho phép khách hàng sử dụng các cơ chế mã hóa riêng của họ cho gần như tất cả các dịch vụ, bao gồm S3, EBS, SimpleDB và EC2. Các đường hầm IPSec đến VPC cũng được mã hóa. Amazon S3 cũng cung cấp Mã hóa phía máy chủ như một tùy chọn cho khách hàng. Khách hàng cũng có thể sử dụng công nghệ mã hóa của bên thứ ba.

Báo cáo nghiên cứu chuyên sâu về bảo mật AWS
Kiểm soát vật lý và môi trường

Các kiểm soát vật lý và môi trường có được điều hành bởi nhà cung cấp đám mây được chỉ định không?

Đúng. Những điều này được nêu cụ thể trong báo cáo SOC 1 Loại II. Ngoài ra, các chứng chỉ khác mà AWS hỗ trợ như ISO 27001 và FedRAMPsm yêu cầu các kiểm soát vật lý và môi trường tốt nhất.

Gói FedRAMP, Báo cáo ISO 27001, SOC 1
Đào tạo / Nhận thức nguồn nhân lực

Có phải chương trình đào tạo nâng cao nhận thức về bảo mật, dựa trên vai trò, được cung cấp cho truy cập liên quan đến đám mây và các vấn đề về quản lý dữ liệu (ví dụ: nhiều người dùng, quốc tịch, sự tách biệt mô hình phân phối đám mây về sự mật thiết của nhiệm vụ và các xung đột lợi ích) là dành cho tất cả những người có quyền truy cập vào dữ liệu người dùng?

Có. Theo tiêu chuẩn ISO 27001, tất cả nhân viên của AWS hoàn thành khóa đào tạo Bảo mật Thông tin định kỳ và có yêu cầu xác nhận hoàn thành. Đánh giá tuân thủ được thực hiện định kỳ để xác nhận rằng nhân viên hiểu và tuân thủ các chính sách đã được thiết lập.

Tham khảo các báo cáo tuân thủ SOC, PCI DSS, ISO 27001 và FedRAMP

Đây là một số trong những thách thức phổ biến nhất gặp phải với HIPAA BAA. Để có quyền truy cập vào các tài nguyên khác liên quan đến BAA bao gồm toàn bộ danh sách các Câu hỏi thường gặp về HIPAA, video hướng dẫn BAA, các báo cáo nghiên cứu chuyên sâu, v.v. vui lòng truy cập trang Tuân thủ HIPAA của AWS chính.

Hỏi: Tôi có thể lấy bản sao cứng của BAA hiện tại của tôi không?

Đáp: Các phiên bản BAA trong Artifact và bản cứng không khác nhau. Và khi sử dụng Artifact, bạn sẽ luôn có thể tải xuống bản sao BAA trước và sau khi chấp nhận các điều khoản. Nếu bạn đã có BAA ngoại tuyến, bạn có thể liên hệ với đại diện bán hàng của mình để nhận bản sao.

Hỏi: Tôi cần một Phụ lục A để xác nhận (các) tài khoản đã được thêm vào BAA hiện có hoặc tôi cần bằng chứng rằng một (các) tài khoản đã cho được bảo hiểm theo BAA.

Đáp: AWS không phát hành Phụ lục A được cập nhật các tài khoản bổ sung sau đây có trong BAA hiện tại. Bằng cách sử dụng Artifact, bạn sẽ có thể ngay lập tức chỉ định các tài khoản mới tự phục vụ trong bảng điều khiển. Sau khi BAA được chấp nhận trong Artifact, bạn có thể đăng nhập vào bảng điều khiển bằng ID tài khoản và xác nhận trạng thái đang hoạt động. Nếu bạn muốn thêm tài khoản mới, bạn có thể tự làm như vậy.  Để xác nhận tình trạng bao quát và chia sẻ BAA với đánh giá viên hoặc nhà quản lý, bản pdf có sẵn để tải xuống. Ngoài ra tình trạng đó cũng được coi là bằng chứng về độ bao quát.

Hỏi: Tôi không thể vào được BAA hoặc tôi không thể chọn các hộp cho NDA.

Đáp: Vấn đề này phát sinh từ một lỗi về cấp phép. Cá nhân hoặc nhóm xử lý yêu cầu IAM cho tài khoản AWS của bạn có thể giải quyết vấn đề này bằng cách điều chỉnh cấp phép. Bạn có thể tìm thêm thông tin về thiết lập tài khoản IAM tại đây.

Các Tài nguyên Tuân thủ AWS khác


header-icon_apn-partner-programs-orange

Trang Dịch vụ trong Phạm vi sẽ liệt kê chi tiết dịch vụ nào hiện đang trong phạm vi, và dịch vụ nào đang trong tiến trình. Bạn cũng có thể liên hệ với Người Quản lý Tài khoản Bán hàng AWS và SA về bất kỳ nhu cầu cụ thể nào đối với một dịch vụ nhất định.

header-icon_apn-partner-programs-orange

Blog bảo mật AWS là một cách tuyệt vời để theo dõi tất cả các bản cập nhật mới nhất cho các chương trình bảo mật AWS.

header-icon_apn-partner-programs-orange

Để biết thông tin về một số trải nghiệm của khách hàng hiện tại của AWS, vui lòng truy cập trang chứng thực của khách hàng liệt kê các nghiên cứu điển hình từ khách hàng của chúng tôi ở tất cả các ngành.

header-icon_apn-partner-programs-orange

Nếu bạn cần thêm thông tin về chế độ tuân thủ cụ thể, vui lòng tham khảo các trang sau để biết các Câu hỏi thường gặp:

header-icon_apn-partner-programs-orange

Đường dẫn học tập đánh giá AWS là tài nguyên được thiết kế đặc biệt cho những đánh giá viên, tuân thủ và có vai trò pháp lý, những người muốn tìm hiểu hoạt động nội bộ của họ có thể chứng minh sự tuân thủ bằng nền tảng của AWS như thế nào.

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »