Mô hình trách nhiệm chung
Bảo mật và tuân thủ là trách nhiệm chung giữa AWS và khách hàng. Mô hình chia sẻ này có thể giúp giảm bớt gánh nặng vận hành cho khách hàng vì AWS sẽ vận hành, quản lý và kiểm soát các thành phần từ hệ điều hành máy chủ và lớp ảo hóa cho tới bảo mật vật lý của các cơ sở đang vận hành dịch vụ. Khách hàng sẽ phụ trách và quản lý hệ điều hành máy khách (bao gồm bản cập nhật và bản vá bảo mật), các phần mềm ứng dụng liên kết khác cũng như việc cấu hình tường lửa nhóm bảo mật do AWS cung cấp. Khách hàng cần phải cẩn trọng cân nhắc các dịch vụ mà mình chọn vì trách nhiệm của khách hàng sẽ thay đổi tùy theo dịch vụ sử dụng, tùy theo việc tích hợp các dịch vụ đó vào môi trường CNTT của khách hàng cũng như pháp luật và quy định hiện hành. Bản chất của trách nhiệm chung này cũng tạo ra sự linh hoạt và cung cấp quyền kiểm soát cho khách hàng để cho phép triển khai. Như thể hiện ở biểu đồ bên dưới, sự phân biệt trách nhiệm thường được nhắc đến là Tính bảo mật "của" đám mây so với Tính bảo mật "trong" đám mây.
Trách nhiệm của AWS về "Tính bảo mật của đám mây" – AWS chịu trách nhiệm bảo vệ cơ sở hạ tầng vận hành tất cả các dịch vụ được cung cấp trong Đám mây AWS. Cơ sở hạ tầng này bao gồm phần cứng, phần mềm, mạng lưới và cơ sở vận hành Dịch vụ đám mây AWS.
Trách nhiệm của khách hàng về "Tính bảo mật trong đám mây" – Trách nhiệm của khách hàng sẽ tùy thuộc vào dịch vụ đám mây AWS mà khách hàng lựa chọn. Việc này sẽ xác định khối lượng công việc đặt cấu hình mà khách hàng phải thực hiện trong khuôn khổ trách nhiệm bảo mật của họ. Ví dụ: một dịch vụ chẳng hạn như Amazon Elastic Compute Cloud (Amazon EC2) được xếp vào danh mục Dịch vụ cơ sở hạ tầng (IaaS), do đó, đòi hỏi khách hàng phải thực hiện tất cả các tác vụ đặt cấu hình và quản lý bảo mật cần thiết. Khách hàng nào triển khai phiên bản Amazon EC2 sẽ phải chịu trách nhiệm quản lý hệ điều hành khách (bao gồm các bản cập nhật và bản vá bảo mật), mọi phần mềm ứng dụng hay tiện ích mà khách hàng cài đặt trên phiên bản và cấu hình tường lửa do AWS cung cấp (gọi là nhóm bảo mật) trên từng phiên bản. Đối với các dịch vụ trừu tượng, chẳng hạn như Amazon S3 và Amazon DynamoDB, AWS sẽ vận hành lớp cơ sở hạ tầng, hệ điều hành và nền tảng, còn khách hàng sẽ truy cập vào điểm cuối để lưu trữ và truy xuất dữ liệu. Khách hàng có trách nhiệm quản lý dữ liệu của họ (kể cả các tùy chọn mã hóa), phân loại tài sản và sử dụng công cụ IAM để áp dụng các quyền phù hợp.
Mô hình trách nhiệm chung của khách hàng/AWS này cũng áp dụng với kiểm soát CNTT. Khi AWS và khách hàng của mình chia sẻ trách nhiệm vận hành môi trường CNTT với nhau thì cũng chia sẻ việc quản lý, vận hành và xác thực kiểm soát CNTT. AWS có thể giúp khách hàng giảm bớt gánh nặng vận hành kiểm soát bằng cách quản lý những kiểm soát liên kết với cơ sở hạ tầng thực tế đã được triển khai trong môi trường AWS mà trước đây có thể do khách hàng quản lý. Vì mỗi khách hàng triển khai khác nhau trong AWS nên khách hàng có thể tận dụng việc chuyển giao quyền quản lý những kiểm soát CNTT nhất định cho AWS, từ đó tạo ra môi trường kiểm soát phân bổ (mới). Khi đó, khách hàng có thể tận dụng tài liệu tuân thủ và kiểm soát AWS sẵn có để thực hiện các quy trình đánh giá và xác thực kiểm soát của mình theo yêu cầu. Dưới đây là ví dụ về kiểm soát do AWS, Khách hàng của AWS và/hoặc cả hai quản lý.
Kiểm soát kế thừa – Những kiểm soát mà khách hàng kế thừa hoàn toàn từ AWS.
- Kiểm soát vật lý và môi trường
Kiểm soát chung – Những kiểm soát áp dụng cho cả lớp cơ sở hạ tầng và lớp khách hàng, nhưng trong bối cảnh hoặc phối cảnh hoàn toàn riêng biệt. Trong kiểm soát chung, AWS cung cấp yêu cầu cho cơ sở hạ tầng và khách hàng phải cung cấp các biện pháp kiểm soát riêng của mình trong việc sử dụng dịch vụ AWS. Ví dụ bao gồm:
- Quản lý bản vá – AWS chịu trách nhiệm đối với việc vá và sửa lỗi trong cơ sở hạ tầng còn khách hàng chịu trách nhiệm đối với việc vá HĐH khách và ứng dụng của mình.
- Quản lý cấu hình – AWS duy trì cấu hình của thiết bị cơ sở hạ tầng còn khách hàng chịu trách nhiệm cấu hình hệ điều hành khách, cơ sở dữ liệu và ứng dụng của riêng mình.
- Nhận thức & đào tạo – AWS đào tạo nhân viên của AWS còn khách hàng phải đào tạo nhân viên của riêng mình.
Tùy theo khách hàng – Kiểm soát mà khách hàng hoàn toàn chịu trách nhiệm tùy theo ứng dụng mà khách hàng đang triển khai trong dịch vụ AWS. Ví dụ bao gồm:
- Bảo vệ thông tin liên lạc và dịch vụ hoặc bảo mật khu vực có thể đòi hỏi khách hàng phải định tuyến hoặc khoanh vùng dữ liệu trong môi trường bảo mật cụ thể.
Áp dụng Mô hình chia sẻ trách nhiệm của AWS vào thực tế
Sau khi khách hàng hiểu được Mô hình chia sẻ trách nhiệm của AWS và cách mô hình này thường được áp dụng để vận hành trên đám mây, họ phải xác định cách mô hình áp dụng vào trường hợp sử dụng của họ. Trách nhiệm của khách hàng khác nhau tùy thuộc vào nhiều yếu tố, bao gồm dịch vụ và Khu vực AWS mà họ chọn, quá trình tích hợp các dịch vụ này vào môi trường CNTT, cũng như luật và quy định áp dụng cho tổ chức và khối lượng công việc của họ.
Những bài tập sau đây có thể giúp khách hàng quyết định việc chia sẻ trách nhiệm dựa trên trường hợp sử dụng cụ thể:
Xác định yêu cầu và mục tiêu về bảo mật nội bộ và tuân thủ có liên quan, cũng như cân nhắc về các khung trong ngành như Khung an ninh mạng (CSF) NIST và ISO.
Cân nhắc dùng AWS Cloud Adoption Framework (CAF) và biện pháp thực hành tốt nhất về Kiến trúc tối ưu để lên kế hoạch và thực hiện quá trình chuyển đổi số trên quy mô lớn.
Xem lại các chức năng bảo mật và tùy chọn cấu hình của từng dịch vụ AWS trong chương về bảo mật trong tài liệu về dịch vụ AWS.
Đánh giá các dịch vụ Bảo mật, định danh và tuân thủ của AWS để hiểu rõ cách sử dụng các dịch vụ này nhằm đạt được mục tiêu bảo mật và tuân thủ của bạn.
Xem lại các tài liệu chứng thực kiểm tra của bên thứ ba để xác định các biện pháp kiểm soát kế thừa và những biện pháp kiểm soát bắt buộc nào có thể còn lại để bạn triển khai trong môi trường của mình.
Cung cấp cho các nhóm kiểm tra nội bộ và bên ngoài của bạn các cơ hội học tập riêng cho đám mây bằng cách tận dụng các chương trình đào tạo của Cloud Audit Academy.
Thực hiện Đánh giá kiến trúc tối ưu cho khối lượng công việc AWS của bạn để đánh giá quá trình triển khai các biện pháp thực hành tốt nhất cho bảo mật, độ ổn định và hiệu năng.
Khám phá các giải pháp có sẵn trên AWS Marketplace, một danh mục kỹ thuật số với danh sách hàng nghìn phần mềm từ các nhà cung cấp phần mềm độc lập giúp bạn tìm kiếm, thử nghiệm, mua sắm và triển khai phần mềm chạy trên AWS.
Khám phá các Đối tác năng lực bảo mật AWS cung cấp chuyên môn kỹ thuật sâu rộng và đã được kiểm chứng bởi khách hàng trong quá trình bảo mật cho mọi giai đoạn ứng dụng đám mây, từ giai đoạn di chuyển ban đầu cho đến giai đoạn quản lý hàng ngày.