AWS 云安全性

责任共担模式

概述

我们在安全性与合规性上采取 AWS 与客户共担责任的模式。这种共担模式可以减轻客户的运营负担，因为从主机操作系统和虚拟层到服务运营所在设施的物理安全性，各种组件都由 AWS 负责运行、管理和控制。客户负责管理来宾操作系统（包括更新和安全补丁）、其他相关应用程序软件以及 AWS 提供的安全组防火墙的配置。客户应该仔细考虑自己选择的服务，因为他们的责任取决于所使用的服务、，这些服务与其 IT 环境的集成以及适用的法律法规。责任共担还为客户提供了部署需要的灵活性和控制力。如下图所示，这种责任区分通常涉及云“本身”的安全和云“内部”的安全。

Diagram illustrating the AWS shared responsibility model for security and compliance. The chart describes the division of security responsibilities between the customer (security 'in' the cloud: customer data, platform, applications, OS and firewall configuration, encryption, and traffic protection) and AWS (security 'of' the cloud: software, compute, storage, database, networking, hardware/infrastructure, regions, availability zones, edge locations).

了解 AWS 责任共担模式

AWS 负责“云本身的安全性”

对于 AWS 云中提供的所有服务，AWS 负责保护运行这些服务的全球基础设施。该基础设施由运行 AWS 云服务的硬件、软件、网络和设备组成。

客户负责“云内部的安全性”

客户责任由客户所选的 AWS 云服务确定。这决定了客户在履行安全责任时需要承担的配置工作量。例如，Amazon Elastic Compute Cloud (Amazon EC2) 等服务被归类为基础设施即服务 (IaaS)，因此要求客户执行所有必要的安全配置和管理任务。部署 Amazon EC2 实例的客户需要负责来宾操作系统（包括更新和安全补丁）的管理、客户在实例上安装的任何应用程序软件或实用工具，以及每个实例上 AWS 提供的防火墙（称为安全组）的配置。对于抽象化服务，例如 Amazon S3 和 Amazon DynamoDB，AWS 运营基础设施层、操作系统和平台，而客户通过访问终端节点存储和检索数据。客户负责管理其数据（包括加密选项），对其资产进行分类，以及使用 IAM 工具分配适当的权限。

客户/AWS 责任共担模式还涵盖 IT 控制体系。正如 AWS 与客户共担 IT 环境的运行责任一样，IT 控制体系的管理、运行和验证也由二者共担。AWS 可以管理与 AWS 环境中部署的物理基础架构相关联的控制体系（以前可能由客户管理），从而帮助客户减轻运行控制体系的负担。每个客户在 AWS 中的部署方式都不相同，因此将某些 IT 控制体系的管理工作转移给 AWS 之后会形成（新的）分布式控制环境，为客户带来优势。然后，客户可以使用可用的 AWS 控制和合规性文档，根据需要执行控制体系评估和验证流程。以下是由 AWS、AWS 客户和/或两者共同管理的控制机制示例。