AWS共享責任模型,aws大數(shù)據(jù)方案-ESG跨境

AWS共享責任模型,aws大數(shù)據(jù)方案

AWS共同責任模型

本章涵蓋以下主題:

理解連帶責任模式:本章的這一部分將向你介紹連帶責任模式的一般定義。

Amazon責任:本節(jié)提供了Amazon在aws實現(xiàn)中的安全責任的一個例子。

責任:本節(jié)提供了客戶在AWS中保護資源的責任示例。

盡管一些組織對遷移到云猶豫不決，因為他們有時會錯誤地擔心他們的安全性會受到影響，但其他組織抓住機會大大增強了他們的安全性。造成這種現(xiàn)實的主要原因之一是AWS共擔責任模式的存在。這個模型可以幫助我們?nèi)媪私庠贏WS中運行時的安全環(huán)境。本章使這個主題變得簡單，并提供了模型各個部分的優(yōu)秀例子。

了解共同責任模式

AWS共享責任模型非常簡單。它把安全責任劃分在兩個方面——AWS客戶(你！)和亞馬遜(AWS)。事實上，您不再負責可擴展數(shù)據(jù)中心所需的大量安全性，這是一個巨大的優(yōu)勢。你可以利用亞馬遜的巨額預算和他們精深的專業(yè)知識。

本章接下來的兩個部分提供了模型中每個部分的職責示例。但目前，實現(xiàn)Amazon的責任包括主機操作系統(tǒng)和虛擬化層，包括服務運行的設施的物理安全。保護客戶操作系統(tǒng)(包括更新和安全補丁)、應用軟件和AWS網(wǎng)絡安全組防火墻的安全是您(客戶)的責任。請注意，根據(jù)客戶選擇使用的服務，客戶的責任會有所不同。根據(jù)使用的AWS服務及其IT基礎架構的集成程度，客戶的職責會有所不同。必須遵守的法律法規(guī)也會有所不同。

如圖5所示，AWS被視為“云中安全”，客戶責任被視為“云中安全”。

除了在AWS客戶和AWS本身之間劃分操作安全問題之外，共享責任模型也適用于正在使用的IT控制。亞馬遜將這些控件分為三類:

繼承控件:這些是客戶從AWS完全繼承的安全控件。亞馬遜使用的物理和環(huán)境安全控制就是一個完美的例子。

共享控件:這些控件同時適用于Amazon的基礎結構層和客戶責任。請注意，這些共享控件應用于完全不同的上下文或視角中的每個域。AWS提供基礎結構的需求，然后客戶端必須在其使用的服務范圍內(nèi)提供自己的控件實現(xiàn)。身份和訪問管理(IAM)就是一個很好的例子。IAM服務必須安全、合規(guī)并按預期運行，客戶應該制定完善的策略。

特定于客戶的控制:這些是客戶自己負責的安全控制。當然，它們根據(jù)客戶選擇的服務而有所不同。一個很好的例子是在EC2實例上對操作系統(tǒng)應用特定的補丁。

驚人的責任感

請記住，亞馬遜被認為是負責云的安全。AWS負責保護運行所選服務的基礎架構。這包括AWS服務所需的硬件和軟件，以及所使用的網(wǎng)絡和設施。

亞馬遜的具體職責包括:

1.云軟件，包括計算、存儲、網(wǎng)絡和數(shù)據(jù)庫軟件。

2.五金器具

3.AWS全球基礎架構，包括地區(qū)、可用區(qū)域和邊緣位置

客戶責任

請記住，客戶端被認為是負責云中的安全性。所選擇的特定服務將導致客戶責任的改變。例如，如果您非常依賴簡單存儲服務(S3)進行存儲，您將負責了解并正確配置資源的安全權限。再比如客戶端選擇使用EC2，運行Windows Server 2016之類的操作系統(tǒng)。客戶需要保持操作系統(tǒng)的更新和修補，并對他們在這個客戶操作系統(tǒng)上需要的應用軟件負責?？蛻舳诉€負責EC2實例的相應安全組配置。

客戶責任的具體例子包括:

1.客戶數(shù)據(jù)

2.平臺、應用、IAM

3.客戶操作系統(tǒng)

4.網(wǎng)絡和防火墻配置

5.客戶端數(shù)據(jù)加密

6.服務器端加密(文件系統(tǒng)和/或數(shù)據(jù))

7.網(wǎng)絡流量保護(加密、完整性和識別)

圖52顯示了一個客戶檢查將應用于EC2實例的安全組設置的例子。這是一個客戶責任的完美例子。AWS負責確保安全組按預期運行，但正確配置安全組是客戶的責任。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內(nèi)容、版權或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。