โมเดลความรับผิดชอบร่วมกัน

ภาพรวม

ความปลอดภัยและการปฏิบัติตามข้อกำหนดเป็นความรับผิดชอบร่วมกันระหว่าง AWS และลูกค้า โมเดลที่ใช้ร่วมกันนี้ช่วยลดภาระด้านการดำเนินการของลูกค้าได้โดยที่ AWS จะเป็นผู้ดำเนินการ จัดการ และควบคุมคอมโพเนนต์จากระบบการปฏิบัติการโฮสต์และการแสดงข้อมูลที่ในระดับที่ลึกถึงระบบรักษาความปลอดภัยทางกายภาพของสิ่งอำนวยความสะดวกที่มีการใช้บริการนี้อยู่ ลูกค้ามีความรับผิดชอบและต้องจัดการระบบปฏิบัติการของผู้เข้าร่วม (ซึ่งประกอบด้วยการอัปเดตและแพตช์การรักษาความปลอดภัย) ซอฟต์แวร์แอปพลิเคชันอื่นๆ ที่เกี่ยวข้อง รวมทั้งการกำหนดค่าไฟร์วอลล์กลุ่มการรักษาความปลอดภัยจาก AWS ลูกค้าควรพิจารณาอย่างรอบคอบเกี่ยวกับบริการที่เลือกใช้เนื่องจากความรับผิดชอบของลูกค้าจะแตกต่างกันไปตามบริการที่ใช้งาน การผสานการทำงานบริการดังกล่าวกับระบบ IT รวมถึงกฎหมายและข้อบังคับที่เกี่ยวข้อง ลักษณะของความรับผิดชอบร่วมกันนี้ยังให้ความยืดหยุ่นและการควบคุมของลูกค้าที่สามารถปรับใช้ได้ ความรับผิดชอบที่แตกต่างกันออกไปนี้จะหมายถึงการรักษาความปลอดภัย “ของ” ระบบคลาวด์ เทียบกับการรักษาความปลอดภัย “ใน” ระบบคลาวด์ ตามแผนภูมิที่แสดงด้านล่าง

รูปแบบความรับผิดชอบร่วมกันของ AWS

การทำความเข้าใจรูปแบบความรับผิดชอบร่วมกันของ AWS

AWS รับผิดชอบในการปกป้องโครงสร้างพื้นฐานที่เรียกใช้บริการทั้งหมดที่มีให้ใน AWS Cloud โครงสร้างพื้นฐานนี้ประกอบด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่ดำเนิน AWS Cloud services

ความรับผิดชอบของลูกค้าจะกำหนดตาม AWS Cloud services ที่ลูกค้าเลือกใช้ โดยบริการจะเป็นตัวกำหนดการดำเนินการกำหนดค่าที่ลูกค้าต้องทำเพื่อเป็นส่วนหนึ่งของความรับผิดชอบด้านการรักษาความปลอดภัย ตัวอย่างเช่น บริการอย่าง Amazon Elastic Compute Cloud (Amazon EC2) จะจัดอยู่ในหมวดหมู่ Infrastructure as a Service (IaaS) ซึ่งกำหนดให้ลูกค้าดำเนินการกำหนดค่าการรักษาความปลอดภัยที่จำเป็นทั้งหมดและทำหน้าที่จัดการด้วยตัวเอง ลูกค้าที่ปรับใช้ Amazon EC2 instance จะต้องรับผิดชอบเกี่ยวกับการจัดการระบบปฏิบัติการเยือน (ซึ่งประกอบด้วยการอัปเดตและแพตช์รักษาความปลอดภัย) และซอฟต์แวร์แอปพลิเคชันหรือยูทิลิตีใดๆ ที่ลูกค้าติดตั้งบนอินสแตนซ์ดังกล่าว และการกำหนดค่าไฟล์วอลล์จาก AWS (เรียกว่ากลุ่มการรักษาความปลอดภัย) ของแต่ละอินสแตนซ์ สำหรับบริการแยกอิสระอย่าง Amazon S3 และ Amazon DynamoDB นั้น AWS จะจัดการเลเยอร์โครงสร้างพื้นฐาน ระบบปฏิบัติการ และแพลตฟอร์ม โดยลูกค้าเป็นฝ่ายเข้าถึงตำแหน่งข้อมูลเพื่อจัดเก็บและเรียกใช้ข้อมูล ลูกค้าต้องรับผิดชอบการจัดการข้อมูลของตน (รวมถึงตัวเลือกการเข้ารหัส), การจัดประเภทแอสเซท และการใช้เครื่องมือ IAM เพื่อบังคับใช้สิทธิ์ที่เหมาะสม

รูปแบบความรับผิดชอบร่วมกันของ AWS/ลูกค้า นี้ยังครอบคลุมถึงการควบคุมด้าน IT อีกด้วย การจัดการ การดำเนินการ และการรับรองของการควบคุมด้าน IT เป็นดำเนินการร่วมกันระหว่าง AWS และลูกค้าเช่นเดียวกับความรับผิดชอบในการดำเนินการบนระบบ IT AWS สามารถช่วยลดภาระของลูกค้าในการดำเนินการควบคุมได้โดยจัดการการควบคุมดังกล่าวที่เชื่อมโยงกับโครงสร้างพื้นฐานทางกายภาพที่ใช้งานใน AWS ซึ่งลูกค้าอาจทำการจัดการมาก่อนแล้ว เนื่องจากลูกค้าใช้งาน AWS ในวิธีที่ต่างกัน ลูกค้าจึงสามารถใช้ประโยชน์จากการเปลี่ยนระบบการจัดการของการควบคุมด้าน IT มาเป็น AWS ซึ่งเป็นระบบการควบคุมแบบกระจาย (รูปแบบใหม่) จากนั้นลูกค้าสามารถใช้เอกสารประกอบด้านการควบคุมและการปฏิบัติตามข้อกำหนดของ AWS ในการประเมินและการควบคุมและทำการตรวจสอบตามที่กำหนดได้ ด้านล่างนี้เป็นตัวอย่างการควบคุมที่ได้รับการจัดการโดย AWS, ลูกค้าของ AWS หรือทั้งสองฝ่าย

การควบคุมที่ลูกค้าได้รับมาจาก AWS อย่างเต็มรูปแบบ

  • การควบคุมทางกายภาพและทางระบบ

การควบคุมที่ใช้กับทั้งระดับโครงสร้างพื้นฐานและระดับลูกค้า แต่เป็นบริบทหรือมุมมองที่แยกกันโดยสิ้นเชิง ในการควบคุมร่วมกัน AWS จะมีข้อบังคับสำหรับโครงสร้างพื้นฐาน และลูกค้าจะต้องนำการควบคุมของตนเองมาใช้ร่วมกับการใช้บริการของ AWS ตัวอย่าง

  • การจัดการแพตช์ – AWS มีความรับผิดชอบในการแพตช์และแก้ไขข้อบกพร่องภายในโครงสร้างพื้นฐาน แต่ลูกค้ามีความรับผิดชอบในการแพตช์ระบบปฏิบัติการผู้เข้าร่วมและแอปพลิเคชันของตนเอง
  • การจัดการการกำหนดค่า – AWS จะดูแลการกำหนดค่าของอุปกรณ์โครงสร้างพื้นฐาน แต่ลูกค้าจะต้องรับผิดชอบในการกำหนดค่าระบบปฏิบัติการผู้เข้าร่วม ฐานข้อมูล และแอปพลิเคชั่นของตนเอง
  • การรับรู้และการฝึกอบรม – AWS จะฝึกอบรมพนักงานของ AWS แต่ลูกค้าจะต้องฝึกอบรมพนักงานของตนเอง

การควบคุมที่เป็นความรับผิดชอบของลูกค้าแต่เพียงผู้เดียว อิงตามแอปพลิเคชันที่ตนนำมาใช้งานกับบริการของ AWS ตัวอย่าง

  • บริการและการปกป้องการสื่อสารหรือความปลอดภัยของโซนอาจกำหนดให้ลูกค้ากำหนดเส้นทางหรือจัดโซนข้อมูลภายในสภาพแวดล้อมการรักษาความปลอดภัยที่กำหนด

การใช้โมเดลความรับผิดชอบร่วมกันของ AWS ในทางปฏิบัติ

เมื่อลูกค้าเข้าใจรูปแบบความรับผิดชอบร่วมกันของ AWS รวมถึงวิธีที่จะนำไปใช้กับการดำเนินงานในระบบคลาวด์โดยทั่วไปแล้ว ลูกค้าจะต้องกำหนดว่าจะนำไปใช้กับกรณีการใช้งานของตนอย่างไร ความรับผิดชอบของลูกค้าจะแตกต่างกันไปตามปัจจัยหลายอย่าง รวมถึงบริการของ AWS และรีเจี้ยนที่ลูกค้าเลือก การผสานรวมบริการเหล่านั้นเข้ากับสภาพแวดล้อมด้านไอทีของตน รวมทั้งกฎหมายและข้อบังคับที่เกี่ยวข้องกับองค์กรและปริมาณงานของลูกค้า

แบบฝึกหัดต่อไปนี้สามารถช่วยลูกค้าในการกำหนดการกระจายความรับผิดชอบตามกรณีการใช้งานที่เฉพาะเจาะจง:

Determine

กำหนดความปลอดภัยภายนอกและภายในและข้อกำหนดและวัตถุประสงค์ในการปฏิบัติตามข้อกำหนดที่เกี่ยวข้อง และพิจารณาเฟรมเวิร์กของอุตสาหกรรมอย่างเช่น NIST Cybersecurity Framework (CSF) และ ISO

พิจารณา

พิจารณาการปรับใช้ AWS Cloud Adoption Framework (CAF) และ แนวทางปฏิบัติที่ดีที่สุดของ Well-Architected เพื่อวางแผนและดำเนินการเปลี่ยนผ่านสู่ระบบดิจิทัลในทุกขนาด

ตรวจสอบ

ตรวจสอบฟังก์ชันความปลอดภัยและตัวเลือกการกำหนดค่าแต่ละบริการของ AWS ในบทความปลอดภัยของเอกสารประกอบบริการของ AWS

ประเมิน

ประเมินบริการด้านความปลอดภัย ข้อมูลประจำตัว และการปฏิบัติตามข้อกำหนดของ AWS เพื่อทำความเข้าใจว่าจะสามารถใช้บริการเหล่านี้เพื่อช่วยให้บรรลุวัตถุประสงค์ด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดของคุณได้อย่างไร

ตรวจสอบ

ตรวจสอบเอกสารการรับรองการตรวจสอบของบุคคลภายนอกเพื่อกำหนดการควบคุมแบบสืบทอดและกำหนดว่าการควบคุมที่จำเป็นอะไรบ้างที่อาจเหลือไว้เพื่อให้คุณใช้งานในสภาพแวดล้อมของคุณ

ให้

เปิดโอกาสให้ทีมตรวจสอบภายในและภายนอกของคุณได้ศึกษาหาความรู้ที่เฉพาะเจาะจงเกี่ยวกับระบบคลาวด์ โดยการใช้ประโยชน์จากโปรแกรมการฝึกอบรมของ Cloud Audit Academy

ดำเนินการ

ดำเนินการตรวจสอบ Well-Architected ของเวิร์กโหลด AWS ของคุณเพื่อประเมินการนำแนวทางปฏิบัติที่ดีที่สุดไปใช้ในด้านความปลอดภัย ความน่าเชื่อถือ และประสิทธิภาพ

สำรวจ

สำรวจโซลูชันที่มีอยู่ใน AWS Marketplace ซึ่งเป็นแค็ตตาล็อกดิจิทัลที่มีรายการซอฟต์แวร์จากผู้จำหน่ายซอฟต์แวร์อิสระนับพันรายการที่ช่วยให้คุณค้นหา ทดสอบ ซื้อ และติดตั้งใช้งานซอฟต์แวร์ที่ทำงานบน AWS

สำรวจ

สำรวจพาร์ทเนอร์ด้านความสามารถด้านความปลอดภัยของ AWS ที่มอบความเชี่ยวชาญและความสำเร็จของลูกค้าที่ได้รับการพิสูจน์แล้วในการรักษาความปลอดภัยของการเริ่มนำระบบคลาวด์ไปใช้ในทุกขั้นตอน ตั้งแต่เริ่มต้นย้ายข้อมูลไปจนถึงการจัดการประจำวันอย่างต่อเนื่อง
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »