AWS共享責任模型,aws大數據方案

AWS共同責任模型

本章涵蓋以下主題:

理解連帶責任模式:本章的這一部分將向你介紹連帶責任模式的一般定義。

Amazon責任:本節提供了Amazon在aws實現中的安全責任的一個例子。

責任:本節提供了客戶在AWS中保護資源的責任示例。

盡管一些組織對遷移到云猶豫不決，因為他們有時會錯誤地擔心他們的安全性會受到影響，但其他組織抓住機會大大增強了他們的安全性。造成這種現實的主要原因之一是AWS共擔責任模式的存在。這個模型可以幫助我們全面了解在AWS中運行時的安全環境。本章使這個主題變得簡單，并提供了模型各個部分的優秀例子。

了解共同責任模式

AWS共享責任模型非常簡單。它把安全責任劃分在兩個方面——AWS客戶(你！)和亞馬遜(AWS)。事實上，您不再負責可擴展數據中心所需的大量安全性，這是一個巨大的優勢。你可以利用亞馬遜的巨額預算和他們精深的專業知識。

本章接下來的兩個部分提供了模型中每個部分的職責示例。但目前，實現Amazon的責任包括主機操作系統和虛擬化層，包括服務運行的設施的物理安全。保護客戶操作系統(包括更新和安全補丁)、應用軟件和AWS網絡安全組防火墻的安全是您(客戶)的責任。請注意，根據客戶選擇使用的服務，客戶的責任會有所不同。根據使用的AWS服務及其IT基礎架構的集成程度，客戶的職責會有所不同。必須遵守的法律法規也會有所不同。

如圖5所示，AWS被視為“云中安全”，客戶責任被視為“云中安全”。

除了在AWS客戶和AWS本身之間劃分操作安全問題之外，共享責任模型也適用于正在使用的IT控制。亞馬遜將這些控件分為三類:

繼承控件:這些是客戶從AWS完全繼承的安全控件。亞馬遜使用的物理和環境安全控制就是一個完美的例子。

共享控件:這些控件同時適用于Amazon的基礎結構層和客戶責任。請注意，這些共享控件應用于完全不同的上下文或視角中的每個域。AWS提供基礎結構的需求，然后客戶端必須在其使用的服務范圍內提供自己的控件實現。身份和訪問管理(IAM)就是一個很好的例子。IAM服務必須安全、合規并按預期運行，客戶應該制定完善的策略。

特定于客戶的控制:這些是客戶自己負責的安全控制。當然，它們根據客戶選擇的服務而有所不同。一個很好的例子是在EC2實例上對操作系統應用特定的補丁。

驚人的責任感

請記住，亞馬遜被認為是負責云的安全。AWS負責保護運行所選服務的基礎架構。這包括AWS服務所需的硬件和軟件，以及所使用的網絡和設施。

亞馬遜的具體職責包括:

1.云軟件，包括計算、存儲、網絡和數據庫軟件。

2.五金器具

3.AWS全球基礎架構，包括地區、可用區域和邊緣位置

客戶責任

請記住，客戶端被認為是負責云中的安全性。所選擇的特定服務將導致客戶責任的改變。例如，如果您非常依賴簡單存儲服務(S3)進行存儲，您將負責了解并正確配置資源的安全權限。再比如客戶端選擇使用EC2，運行Windows Server 2016之類的操作系統。客戶需要保持操作系統的更新和修補，并對他們在這個客戶操作系統上需要的應用軟件負責。客戶端還負責EC2實例的相應安全組配置。

客戶責任的具體例子包括:

1.客戶數據

2.平臺、應用、IAM

3.客戶操作系統

4.網絡和防火墻配置

5.客戶端數據加密

6.服務器端加密(文件系統和/或數據)

7.網絡流量保護(加密、完整性和識別)

圖52顯示了一個客戶檢查將應用于EC2實例的安全組設置的例子。這是一個客戶責任的完美例子。AWS負責確保安全組按預期運行，但正確配置安全組是客戶的責任。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。