Quyền truy cập của nhà điều hành trên AWS

Nhiều hệ thống và dịch vụ cốt lõi của AWS được thiết kế không có quyền truy cập của người vận hành, bao gồm Dịch vụ quản lý khóa của AWS (AWS KMS), Amazon EC2 (thông qua AWS Nitro System), AWS Lambda, Dịch vụ Kubernetes linh hoạt Amazon (Amazon EKS) và AWS Wickr. Các dịch vụ này không có bất kỳ phương tiện kỹ thuật nào để người vận hành của AWS truy cập dữ liệu khách hàng. Thay vào đó, các hệ thống và dịch vụ được quản lý thông qua tự động hóa và các API bảo mật để bảo vệ dữ liệu khách hàng khỏi việc vô tình tiết lộ hoặc thậm chí bị ép buộc.

AWS luôn sử dụng mô hình đặc quyền tối thiểu để giảm thiểu số lượng người có quyền truy cập vào các hệ thống xử lý dữ liệu khách hàng. Điều này có nghĩa là chúng tôi đảm bảo mỗi nhân viên Amazon chỉ có quyền truy cập vào các hệ thống tối thiểu cần thiết để thực hiện nhiệm vụ được giao hoặc trách nhiệm công việc của họ, giới hạn trong thời gian cần đặc quyền đó. Bất kỳ quyền truy cập nào vào các hệ thống lưu trữ hoặc xử lý dữ liệu khách hàng hoặc siêu dữ liệu đều được tạo bản ghi, giám sát để phát hiện sự bất thường và được kiểm tra. AWS bảo vệ chống lại bất kỳ hành động nào có thể vô hiệu hóa hoặc bỏ qua các biện pháp kiểm soát này.

Chúng tôi cũng áp dụng nguyên tắc đặc quyền tối thiểu cho cấu trúc của các hệ thống và dịch vụ AWS. AWS vượt trên tiêu chuẩn ngành trong lĩnh vực này. Quản lý danh tính và truy cập (IAM) trong AWS cho phép khách hàng xác định rõ các quyền chi tiết bằng cách sử dụng Vai trò IAM – giúp khách hàng kiểm soát cẩn thận ai có quyền truy cập vào nội dung gì. Chúng tôi cũng thêm một lớp bảo mật bổ sung, duy nhất được gọi là Phiên truy cập chuyển tiếp (FAS) đảm bảo rằng các quyền nhạy cảm sẽ phụ thuộc vào sự ủy quyền của khách hàng thông qua mật mã. Các dịch vụ AWS như Amazon EC2 và Amazon Simple Storage Service (Amazon S3) cũng cho phép khách hàng mã hóa dữ liệu của họ để ngay cả AWS cũng không thể sử dụng khóa mã hóa của khách hàng khi không có sự ủy quyền trực tiếp của khách hàng. Điều này được thực thi bởi FAS chứng minh rằng khách hàng đã cho phép hoạt động này. Ngoài ra, các hành động này, được gọi là hoạt động dịch vụ "thay mặt cho", được tạo bản ghi và hiển thị cho khách hàng trong AWS CloudTrail. Theo thiết kế, không có khóa siêu người dùng nào cho phép các dịch vụ AWS truy cập tài nguyên của khách hàng trong một dịch vụ khác mà không có sự ủy quyền ngầm của khách hàng.

Để ngăn chặn quyền truy cập không được giám sát của người vận hành vào các hệ thống chứa dữ liệu khách hàng, AWS đã thiết kế các hệ thống của chúng tôi để đảm bảo tất cả các hoạt động quản trị được tạo bản ghi và giám sát tập trung. Tất cả các hành động của người vận hành đều có thể truy dấu với chi tiết pháp y rõ ràng đến từng cá nhân thực hiện hành động; không có tài khoản nhóm chung nào cung cấp tính ẩn danh. Quyền truy cập được giám sát để phát hiện hoạt động bất thường trong thời gian thực, bao gồm các sai sót tiềm ẩn hoặc hoạt động đáng ngờ. Đồng thời, các nhà quản lý và nhóm lãnh đạo của người vận hành AWS, cũng như tổ chức Bảo mật AWS độc lập, được cung cấp bản tóm tắt định kỳ về tất cả các hoạt động đó. Việc giám sát này có nhiều cấp độ, bao gồm các nhân viên tạo bản ghi tại chỗ nhanh chóng đẩy các sự kiện cục bộ ra khỏi máy chủ sang hệ thống tổng hợp bản ghi tập trung do nhóm bảo mật AWS vận hành, cùng với các cảnh báo theo thời gian thực nếu vì lý do nào đó tác nhân viên tại chỗ ngừng hoạt động. Điều này được bổ sung bằng việc giám sát ở cấp độ mạng, giám sát dịch vụ pháo đài và các biện pháp kiểm soát khác.

Nhân viên AWS thực hiện tất cả các hoạt động thông qua các giao diện bảo mật, đảm bảo rằng người vận hành có các máy trạm cập nhật và bảo mật, các token bảo mật phần cứng đã được chứng nhận FIPS, cũng như được xác thực đúng cách. Các giao diện này cung cấp cho người vận hành AWS thông tin chứng thực ngắn hạn tạm thời và cũng giám sát tất cả các hoạt động bằng các cơ chế không thể bị ghi đè hoặc vượt qua. Các giao diện bảo mật cho người vận hành này chỉ cho phép các hoạt động hạn chế không tiết lộ dữ liệu khách hàng và yêu cầu sự phê duyệt của nhiều người cho các hoạt động nhạy cảm.

Nếu cần truy cập các tài nguyên nội bộ có thể lưu trữ hoặc xử lý dữ liệu khách hàng, chẳng hạn như khắc phục sự cố hoặc sửa lỗi liên quan đến dịch vụ, chúng tôi sẽ thêm một lớp kiểm soát bổ sung để hạn chế, đánh giá và giám sát quyền truy cập của người vận hành.

Nhân viên hỗ trợ AWS có vai trò trợ giúp khách hàng với các yêu cầu hỗ trợ của họ, sẽ không có quyền truy cập vào dữ liệu khách hàng. Tất cả các quyền AWS IAM được sử dụng cho mục đích hỗ trợ đều được ghi lại đầy đủ và được truy cập từ các vai trò chuyên dụng mà mỗi khách hàng AWS có thể vô hiệu hóa. Mọi hoạt động sử dụng các vai trò chuyên dụng này cũng được tạo bản ghi vào AWS CloudTrail.

AWS vận hành các trung tâm dữ liệu bảo mật để giảm nguy cơ khai thác mạng, trộm cắp hoặc các cuộc tấn công vật lý khác. Chúng tôi sử dụng nguyên tắc đặc quyền tối thiểu để kiểm tra các yêu cầu truy cập. Các yêu cầu truy cập đó phải chỉ rõ lớp nào của trung tâm dữ liệu mà cá nhân đó cần truy cập và có ràng buộc thời gian. Không có phương tiện lưu trữ điện tử nào được phép rời khỏi trung tâm dữ liệu AWS mà không bị tiêu hủy vật lý hoặc xóa theo cách mật mã bằng cách sử dụng các kỹ thuật được nêu chi tiết trong NIST 800-88. Các dịch vụ và hệ thống AWS hỗ trợ mã hóa luôn bật cho mạng, bộ nhớ và kho lưu trữ. Trong nhiều trường hợp, có hai hoặc nhiều lớp mã hóa luôn bật, đảm bảo rằng chỉ có các hệ thống chịu trách nhiệm xử lý dữ liệu cho khách hàng mới có quyền truy cập vào dữ liệu.

AWS áp dụng các biện pháp kiểm tra và cân bằng về mặt tổ chức và kỹ thuật để đảm bảo rằng mọi sự kiện bảo mật đều có thể phát hiện được và không cá nhân hoặc nhóm nào có thể phá vỡ các biện pháp kiểm soát bảo mật quan trọng. Hệ thống kiểm soát truy cập và hệ thống giám sát truy cập của AWS được thiết kế độc lập và được vận hành bởi các đội ngũ riêng biệt.

Chúng tôi đã thiết kế AWS với các biện pháp bảo mật chuyên sâu bao gồm kiểm soát thay đổi, khả năng tạo bản ghi bất biến, phân tách nhiệm vụ, phê duyệt từ nhiều bên, cơ chế ủy quyền có điều kiện và công cụ vận hành tự động. Các biện pháp bảo mật này vượt trên các phương pháp bảo mật tiêu chuẩn để các hành động do người vận hành AWS thực hiện là an toàn, minh bạch, được ghi lại và xem xét.

Chúng tôi đã triển khai các nhóm quyền để phân bổ quyền truy cập vào tài nguyên, một công cụ quyền để quản trị tư cách thành viên nhóm quyền và công cụ bảo mật cho phép người vận hành được ủy quyền thực hiện bảo trì và khắc phục sự cố hệ thống mà không cần truy cập trực tiếp vào tài nguyên dịch vụ. Chúng tôi cũng tự động cập nhật tư cách thành viên khi nhân viên thay đổi vai trò hoặc rời khỏi công ty.