AWS共享責(zé)任模型

本章涵蓋以下主題：

了解共同責(zé)任模型：本章的這一部分將向您介紹共同責(zé)任模型的總體定義。

亞馬遜責(zé)任：本節(jié)提供Amazon在aws實施中的安全責(zé)任示例。

客戶責(zé)任：本節(jié)提供了客戶在AWS中保護資源的責(zé)任示例。

雖然由于有時錯誤地擔(dān)心其安全性會受到影響，一些組織對遷移到云猶豫不決，但其他組織則抓住了大大增強安全性的機會。這是一個現(xiàn)實的一個主要原因是AWS共享責(zé)任模型的存在。此模型可幫助我們在AWS中運行時充分了解安全環(huán)境。本章使這一主題變得簡單，并提供了模型各個部分的優(yōu)秀示例。

理解共享責(zé)任模型

AWS共享責(zé)任模型非常簡單。它在兩個方面劃分安全責(zé)任-aws客戶(您!)和亞馬遜(AWS)。事實上，您不再負責(zé)可擴展數(shù)據(jù)中心所需的大量安全性，這是一個巨大的優(yōu)勢。您可以利用亞馬遜的巨額預(yù)算和他們密集的專業(yè)知識。

本章的下兩節(jié)提供了模型每個部分中的責(zé)任示例。但就目前而言，實現(xiàn)Amazon的責(zé)任包括主機操作系統(tǒng)和虛擬化層，包括服務(wù)運行的設(shè)施的物理安全性。保護來賓操作系統(tǒng)(包括更新和安全修補程序)、應(yīng)用軟件和AWS網(wǎng)絡(luò)安全組防火墻的安全是您(客戶)的責(zé)任。請注意，根據(jù)客戶端選擇使用的服務(wù)，客戶端的責(zé)任會有所不同。根據(jù)所使用的AWS服務(wù)及其IT基礎(chǔ)架構(gòu)的集成級別，客戶的責(zé)任也會有所不同。必須遵守的法律和條例也將有所不同。

如圖5-1所示，AWS被視為“云的安全性”，客戶的責(zé)任被視為“云中的安全性”。

除了在AWS客戶端和AWS本身之間劃分操作安全問題外，共享責(zé)任模型還適用于正在使用的IT控件。Amazon將這些控件分為三類:

繼承的控件：這些是客戶從AWS完全繼承的安全控制。亞馬遜使用的物理和環(huán)境安全控制就是完美的例子。

共享控件：這些控件既適用于Amazon的基礎(chǔ)結(jié)構(gòu)層，也適用于客戶責(zé)任。請注意，這些共享控件適用于完全不同的上下文或透視中的每個域。AWS提供了基礎(chǔ)結(jié)構(gòu)的要求，然后客戶端必須在其使用服務(wù)的范圍內(nèi)提供自己的控制實現(xiàn)。一個很好的例子是身份和訪問管理(IAM)。IAM服務(wù)必須安全、符合法規(guī)遵從性并按預(yù)期運行，而客戶應(yīng)創(chuàng)建精心制定的策略。

客戶特定的控制：這些都是客戶自行負責(zé)的安全控制，當(dāng)然，它們因客戶選擇的服務(wù)而異。一個很好的例子是，當(dāng)您將特定的修補程序應(yīng)用于EC2實例上的某個操作系統(tǒng)時。

令人驚嘆的責(zé)任

請記住，Amazon被認為負責(zé)云的安全。AWS負責(zé)保護運行所選服務(wù)的基礎(chǔ)架構(gòu)。這包括為AWS服務(wù)供電所需的硬件和軟件，以及所使用的網(wǎng)絡(luò)和設(shè)施。

亞馬遜的具體職責(zé)包括:

1.云軟件,包括計算、存儲、網(wǎng)絡(luò)和數(shù)據(jù)庫軟件

2.硬件

3.AWS全球基礎(chǔ)架構(gòu),包括區(qū)域、可用區(qū)和邊緣位置

客戶責(zé)任

請記住，客戶端被認為負責(zé)云中的安全性。所選的特定服務(wù)將導(dǎo)致客戶端責(zé)任的變化。例如，如果您在很大程度上依賴于簡單存儲服務(wù)(S3)進行存儲，則您將負責(zé)了解和正確配置資源的安全權(quán)限。另一個例子是，如果客戶端選擇使用EC2并運行像Windows Server 2016這樣的操作系統(tǒng)?？蛻舳诵枰３植僮飨到y(tǒng)的更新和修補，并負責(zé)他們在此來賓操作系統(tǒng)上所需的應(yīng)用軟件?？蛻舳诉€負責(zé)EC2實例的相應(yīng)安全組配置。

客戶責(zé)任的具體例子包括:

1.客戶數(shù)據(jù)

2.平臺、應(yīng)用、IAM

3.來賓操作系統(tǒng)

4.網(wǎng)絡(luò)和防火墻配置

5.客戶端數(shù)據(jù)加密

6.服務(wù)器端加密(文件系統(tǒng)和/或數(shù)據(jù))

7.網(wǎng)絡(luò)流量保護(加密、完整性和標識)

圖5-2顯示了客戶檢查將應(yīng)用于EC2實例的安全組設(shè)置的示例。這是客戶責(zé)任的一個完美例子。AWS負責(zé)確保安全組按預(yù)期運行，但正確配置安全組是客戶的責(zé)任。