AWS共享責(zé)任模型,aws大數(shù)據(jù)方案

AWS共同責(zé)任模型

本章涵蓋以下主題:

理解連帶責(zé)任模式:本章的這一部分將向你介紹連帶責(zé)任模式的一般定義。

Amazon責(zé)任:本節(jié)提供了Amazon在aws實(shí)現(xiàn)中的安全責(zé)任的一個(gè)例子。

責(zé)任:本節(jié)提供了客戶在AWS中保護(hù)資源的責(zé)任示例。

盡管一些組織對(duì)遷移到云猶豫不決，因?yàn)樗麄冇袝r(shí)會(huì)錯(cuò)誤地?fù)?dān)心他們的安全性會(huì)受到影響，但其他組織抓住機(jī)會(huì)大大增強(qiáng)了他們的安全性。造成這種現(xiàn)實(shí)的主要原因之一是AWS共擔(dān)責(zé)任模式的存在。這個(gè)模型可以幫助我們?nèi)媪私庠贏WS中運(yùn)行時(shí)的安全環(huán)境。本章使這個(gè)主題變得簡(jiǎn)單，并提供了模型各個(gè)部分的優(yōu)秀例子。

了解共同責(zé)任模式

AWS共享責(zé)任模型非常簡(jiǎn)單。它把安全責(zé)任劃分在兩個(gè)方面——AWS客戶(你！)和亞馬遜(AWS)。事實(shí)上，您不再負(fù)責(zé)可擴(kuò)展數(shù)據(jù)中心所需的大量安全性，這是一個(gè)巨大的優(yōu)勢(shì)。你可以利用亞馬遜的巨額預(yù)算和他們精深的專業(yè)知識(shí)。

本章接下來(lái)的兩個(gè)部分提供了模型中每個(gè)部分的職責(zé)示例。但目前，實(shí)現(xiàn)Amazon的責(zé)任包括主機(jī)操作系統(tǒng)和虛擬化層，包括服務(wù)運(yùn)行的設(shè)施的物理安全。保護(hù)客戶操作系統(tǒng)(包括更新和安全補(bǔ)丁)、應(yīng)用軟件和AWS網(wǎng)絡(luò)安全組防火墻的安全是您(客戶)的責(zé)任。請(qǐng)注意，根據(jù)客戶選擇使用的服務(wù)，客戶的責(zé)任會(huì)有所不同。根據(jù)使用的AWS服務(wù)及其IT基礎(chǔ)架構(gòu)的集成程度，客戶的職責(zé)會(huì)有所不同。必須遵守的法律法規(guī)也會(huì)有所不同。

如圖5所示，AWS被視為“云中安全”，客戶責(zé)任被視為“云中安全”。

除了在AWS客戶和AWS本身之間劃分操作安全問(wèn)題之外，共享責(zé)任模型也適用于正在使用的IT控制。亞馬遜將這些控件分為三類:

繼承控件:這些是客戶從AWS完全繼承的安全控件。亞馬遜使用的物理和環(huán)境安全控制就是一個(gè)完美的例子。

共享控件:這些控件同時(shí)適用于Amazon的基礎(chǔ)結(jié)構(gòu)層和客戶責(zé)任。請(qǐng)注意，這些共享控件應(yīng)用于完全不同的上下文或視角中的每個(gè)域。AWS提供基礎(chǔ)結(jié)構(gòu)的需求，然后客戶端必須在其使用的服務(wù)范圍內(nèi)提供自己的控件實(shí)現(xiàn)。身份和訪問(wèn)管理(IAM)就是一個(gè)很好的例子。IAM服務(wù)必須安全、合規(guī)并按預(yù)期運(yùn)行，客戶應(yīng)該制定完善的策略。

特定于客戶的控制:這些是客戶自己負(fù)責(zé)的安全控制。當(dāng)然，它們根據(jù)客戶選擇的服務(wù)而有所不同。一個(gè)很好的例子是在EC2實(shí)例上對(duì)操作系統(tǒng)應(yīng)用特定的補(bǔ)丁。

驚人的責(zé)任感

請(qǐng)記住，亞馬遜被認(rèn)為是負(fù)責(zé)云的安全。AWS負(fù)責(zé)保護(hù)運(yùn)行所選服務(wù)的基礎(chǔ)架構(gòu)。這包括AWS服務(wù)所需的硬件和軟件，以及所使用的網(wǎng)絡(luò)和設(shè)施。

亞馬遜的具體職責(zé)包括:

1.云軟件，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)軟件。

2.五金器具

3.AWS全球基礎(chǔ)架構(gòu)，包括地區(qū)、可用區(qū)域和邊緣位置

客戶責(zé)任

請(qǐng)記住，客戶端被認(rèn)為是負(fù)責(zé)云中的安全性。所選擇的特定服務(wù)將導(dǎo)致客戶責(zé)任的改變。例如，如果您非常依賴簡(jiǎn)單存儲(chǔ)服務(wù)(S3)進(jìn)行存儲(chǔ)，您將負(fù)責(zé)了解并正確配置資源的安全權(quán)限。再比如客戶端選擇使用EC2，運(yùn)行Windows Server 2016之類的操作系統(tǒng)。客戶需要保持操作系統(tǒng)的更新和修補(bǔ)，并對(duì)他們?cè)谶@個(gè)客戶操作系統(tǒng)上需要的應(yīng)用軟件負(fù)責(zé)。客戶端還負(fù)責(zé)EC2實(shí)例的相應(yīng)安全組配置。

客戶責(zé)任的具體例子包括:

1.客戶數(shù)據(jù)

2.平臺(tái)、應(yīng)用、IAM

3.客戶操作系統(tǒng)

4.網(wǎng)絡(luò)和防火墻配置

5.客戶端數(shù)據(jù)加密

6.服務(wù)器端加密(文件系統(tǒng)和/或數(shù)據(jù))

7.網(wǎng)絡(luò)流量保護(hù)(加密、完整性和識(shí)別)

圖52顯示了一個(gè)客戶檢查將應(yīng)用于EC2實(shí)例的安全組設(shè)置的例子。這是一個(gè)客戶責(zé)任的完美例子。AWS負(fù)責(zé)確保安全組按預(yù)期運(yùn)行，但正確配置安全組是客戶的責(zé)任。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。