Модель общей ответственности

Обзор

Ответственность за обеспечение безопасности и соответствия требованиям совместно несут AWS и клиент. Такая модель общей ответственности помогает снизить операционную нагрузку на клиента, поскольку AWS берет на себя вопросы эксплуатации, контроля и управления компонентами от уровня виртуализации и операционной системы узла до уровня физической безопасности объектов, где работает сервис. Клиент берет на себя ответственность за гостевую операционную систему и управление ею (включая обновления и исправления безопасности) и прочим прикладным программным обеспечением, а также настройку брандмауэра группы безопасности, предоставляемого платформой AWS. Клиенты должны тщательно оценивать сервисы, которые они выбирают, так как их обязанности меняются в зависимости от используемых сервисов, их интеграции в собственные ИТ‑среды и применимых законов и нормативных актов. Система такой общей ответственности также обеспечивает гибкость и контроль клиента за выполнением развертываний. Как показано на схеме ниже, такое разделение ответственности обычно определяют как «безопасность облака» и «безопасность в облаке».

Модель общей ответственности AWS

Понимание Модели общей ответственности AWS

AWS несет ответственность за защиту инфраструктуры, которая обеспечивает работу всех сервисов в облаке AWS. Эта инфраструктура состоит из аппаратного и программного обеспечения, сетей и объектов, на базе которых работают облачные сервисы AWS.

Ответственность клиента будет определяться выбранными для использования облачными сервисами AWS. Выбор сервисов определяет объем работ по настройке, которые должен выполнить клиент в рамках своих обязанностей по обеспечению безопасности. Например, такой сервис, как Amazon Elastic Compute Cloud (Amazon EC2), относится к модели «инфраструктура как услуга» (IaaS), а потому требует от клиента выполнения всех необходимых настроек безопасности и задач управления. Клиенты, которые развертывают инстанс Amazon EC2, отвечают за управление гостевой операционной системой (включая обновления и исправления безопасности), любым прикладным программным обеспечением или сервисными компонентами, установленными на инстансах, и за настройку брандмауэра (группы безопасности), предоставляемого AWS, для каждого инстанса. В случае абстрактных сервисов, таких как Amazon S3 и Amazon DynamoDB, AWS управляет уровнем инфраструктуры, операционной системой и платформой, а клиенты получают доступ к конечным точкам для хранения и извлечения данных. Клиенты отвечают за управление своими данными (включая параметры шифрования), классификацию своих ресурсов и использование инструментов IAM для применения соответствующих разрешений.

Эта модель общей ответственности клиента и AWS также распространяется на системы управления ИТ‑ресурсами. Подобно тому как ответственность за управление ИТ‑средой распределяется между AWS и клиентами, распределяются и задачи по использованию и проверке систем контроля ИТ‑ресурсов, а также по управлению таковыми. AWS помогает снизить нагрузку на клиента при управлении настройками безопасности, взяв на себя настройки, которые связаны с физической инфраструктурой в среде AWS, и освободив клиента от необходимости управлять ими. Поскольку каждый клиент выполняет развертывание в AWS по‑своему, клиенты могут воспользоваться преимуществом и передать управление некоторыми ИТ‑ресурсами в AWS, что приведет к созданию (новой) среды распределенного управления. Клиенты также могут использовать доступную документацию AWS по вопросам управления и соответствия требованиям для выполнения необходимых процедур оценки и проверки настроек управления. Ниже приведены примеры настроек, находящихся под управлением AWS, клиента AWS и/или обеих сторон.

Настройки, которые клиент полностью наследует от AWS.

  • Физические настройки и настройки среды

Настройки безопасности, которые применяются как на уровне инфраструктуры, так и на уровне клиента, но в различных контекстах или перспективах. При использовании общих настроек AWS предоставляет требования к инфраструктуре, а клиент должен обеспечить свою собственную реализацию настроек безопасности в рамках использования сервисов AWS. Примеры перечислены ниже.

  • Управление исправлениями: AWS отвечает за исправление и устранение недостатков в инфраструктуре, а клиенты несут ответственность за исправления гостевой ОС и приложений.
  • Управление конфигурацией: AWS обслуживает конфигурацию своих инфраструктурных устройств, а клиент отвечает за настройку своих гостевых операционных систем, баз данных и приложений.
  • Осведомленность и обучение: AWS обучает сотрудников AWS, а клиент должен самостоятельно обучать своих сотрудников.

Настройки, за которые несет ответственность только клиент, поскольку они зависят от приложения, которое клиент развертывает на AWS. Примеры перечислены ниже.

  • Защита сервисов и коммуникаций или зональная безопасность, когда от клиента может потребоваться маршрутизация или зонирование данных в определенных средах безопасности.

Применение модели общей ответственности AWS на практике

Как только покупатель понимает модель общей ответственности AWS и ее применение к работе в облаке, он обязан определить, каким образом модель относится к его примеру использования. Ответственность потребителя зависит от множества факторов, включая выбор сервисов и регионов AWS, интеграцию данных сервисов в IT-систему, законы и нормы, касающиеся организации и рабочей нагрузки.

Приведенные ниже упражнения могут помочь клиентам распределить ответственность исходя из конкретного примера использования.

Определить

Определить внешнюю и внутреннюю системы безопасности и связанные с ней требования и задачи, а также изучить отраслевые платформы, такие как NIST Cybersecurity Framework (CSF) и ISO.

Рассмотрение возможности

Рассмотрите возможность использования Платформы внедрения облака AWS (AWS CAF) и рекомендаций Well-Architected по планированию и осуществлению цифровой трансформации в большом масштабе.

Проверка

Ознакомьтесь с функциями безопасности и параметрами настройки отдельных сервисов AWS в главах о безопасности из документации о сервисе AWS.

Проведите оценку

Оцените сервисы AWS по безопасности, идентификации и соответствию требованиям, чтобы понять, каким образом задействовать их для выполнения ваших задач в области безопасности и соответствия требованиям.

Проверка

Просмотрите документальное подтверждение аудита третьей стороной, чтобы выяснить наследуемые элементы управления безопасностью и понять, какие элементы должны быть реализованы в вашей среде.

Предоставление

Предоставьте внутренним и внешним аудиторским командам возможность обучения в облаке с помощью программ Cloud Audit Academy.

Выполнение

Выполните оценку Well-Architected для ваших рабочих нагрузок AWS, чтобы оценить внедрение передовых методов обеспечения безопасности, надежности и производительности.

Знакомство

Ознакомьтесь с решениями цифрового каталога AWS Marketplace, в котором содержатся тысячи программных продуктов от независимых поставщиков, позволяющие вам находить, тестировать, покупать и развертывать программное обеспечение, работающее на AWS.

Знакомство

Познакомьтесь с Партнерами AWS Competency в сфере безопасности, предлагающими глубокие технические знания и стабильно успешные результаты клиентов. Они обеспечивают безопасность на всех этапах внедрения облачных технологий, от начальной миграции до повседневного управления.
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »