AWS共享責(zé)任模型

本章涵蓋以下主題：

了解共同責(zé)任模型：本章的這一部分將向您介紹共同責(zé)任模型的總體定義。

亞馬遜責(zé)任：本節(jié)提供Amazon在aws實(shí)施中的安全責(zé)任示例。

客戶責(zé)任：本節(jié)提供了客戶在AWS中保護(hù)資源的責(zé)任示例。

雖然由于有時(shí)錯(cuò)誤地?fù)?dān)心其安全性會(huì)受到影響，一些組織對(duì)遷移到云猶豫不決，但其他組織則抓住了大大增強(qiáng)安全性的機(jī)會(huì)。這是一個(gè)現(xiàn)實(shí)的一個(gè)主要原因是AWS共享責(zé)任模型的存在。此模型可幫助我們?cè)贏WS中運(yùn)行時(shí)充分了解安全環(huán)境。本章使這一主題變得簡(jiǎn)單，并提供了模型各個(gè)部分的優(yōu)秀示例。

理解共享責(zé)任模型

AWS共享責(zé)任模型非常簡(jiǎn)單。它在兩個(gè)方面劃分安全責(zé)任-aws客戶(您!)和亞馬遜(AWS)。事實(shí)上，您不再負(fù)責(zé)可擴(kuò)展數(shù)據(jù)中心所需的大量安全性，這是一個(gè)巨大的優(yōu)勢(shì)。您可以利用亞馬遜的巨額預(yù)算和他們密集的專業(yè)知識(shí)。

本章的下兩節(jié)提供了模型每個(gè)部分中的責(zé)任示例。但就目前而言，實(shí)現(xiàn)Amazon的責(zé)任包括主機(jī)操作系統(tǒng)和虛擬化層，包括服務(wù)運(yùn)行的設(shè)施的物理安全性。保護(hù)來賓操作系統(tǒng)(包括更新和安全修補(bǔ)程序)、應(yīng)用軟件和AWS網(wǎng)絡(luò)安全組防火墻的安全是您(客戶)的責(zé)任。請(qǐng)注意，根據(jù)客戶端選擇使用的服務(wù)，客戶端的責(zé)任會(huì)有所不同。根據(jù)所使用的AWS服務(wù)及其IT基礎(chǔ)架構(gòu)的集成級(jí)別，客戶的責(zé)任也會(huì)有所不同。必須遵守的法律和條例也將有所不同。

如圖5-1所示，AWS被視為“云的安全性”，客戶的責(zé)任被視為“云中的安全性”。

除了在AWS客戶端和AWS本身之間劃分操作安全問題外，共享責(zé)任模型還適用于正在使用的IT控件。Amazon將這些控件分為三類:

繼承的控件：這些是客戶從AWS完全繼承的安全控制。亞馬遜使用的物理和環(huán)境安全控制就是完美的例子。

共享控件：這些控件既適用于Amazon的基礎(chǔ)結(jié)構(gòu)層，也適用于客戶責(zé)任。請(qǐng)注意，這些共享控件適用于完全不同的上下文或透視中的每個(gè)域。AWS提供了基礎(chǔ)結(jié)構(gòu)的要求，然后客戶端必須在其使用服務(wù)的范圍內(nèi)提供自己的控制實(shí)現(xiàn)。一個(gè)很好的例子是身份和訪問管理(IAM)。IAM服務(wù)必須安全、符合法規(guī)遵從性并按預(yù)期運(yùn)行，而客戶應(yīng)創(chuàng)建精心制定的策略。

客戶特定的控制：這些都是客戶自行負(fù)責(zé)的安全控制，當(dāng)然，它們因客戶選擇的服務(wù)而異。一個(gè)很好的例子是，當(dāng)您將特定的修補(bǔ)程序應(yīng)用于EC2實(shí)例上的某個(gè)操作系統(tǒng)時(shí)。

令人驚嘆的責(zé)任

請(qǐng)記住，Amazon被認(rèn)為負(fù)責(zé)云的安全。AWS負(fù)責(zé)保護(hù)運(yùn)行所選服務(wù)的基礎(chǔ)架構(gòu)。這包括為AWS服務(wù)供電所需的硬件和軟件，以及所使用的網(wǎng)絡(luò)和設(shè)施。

亞馬遜的具體職責(zé)包括:

1.云軟件,包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)軟件

2.硬件

3.AWS全球基礎(chǔ)架構(gòu),包括區(qū)域、可用區(qū)和邊緣位置

客戶責(zé)任

請(qǐng)記住，客戶端被認(rèn)為負(fù)責(zé)云中的安全性。所選的特定服務(wù)將導(dǎo)致客戶端責(zé)任的變化。例如，如果您在很大程度上依賴于簡(jiǎn)單存儲(chǔ)服務(wù)(S3)進(jìn)行存儲(chǔ)，則您將負(fù)責(zé)了解和正確配置資源的安全權(quán)限。另一個(gè)例子是，如果客戶端選擇使用EC2并運(yùn)行像Windows Server 2016這樣的操作系統(tǒng)?？蛻舳诵枰３植僮飨到y(tǒng)的更新和修補(bǔ)，并負(fù)責(zé)他們?cè)诖藖碣e操作系統(tǒng)上所需的應(yīng)用軟件。客戶端還負(fù)責(zé)EC2實(shí)例的相應(yīng)安全組配置。

客戶責(zé)任的具體例子包括:

1.客戶數(shù)據(jù)

2.平臺(tái)、應(yīng)用、IAM

3.來賓操作系統(tǒng)

4.網(wǎng)絡(luò)和防火墻配置

5.客戶端數(shù)據(jù)加密

6.服務(wù)器端加密(文件系統(tǒng)和/或數(shù)據(jù))

7.網(wǎng)絡(luò)流量保護(hù)(加密、完整性和標(biāo)識(shí))

圖5-2顯示了客戶檢查將應(yīng)用于EC2實(shí)例的安全組設(shè)置的示例。這是客戶責(zé)任的一個(gè)完美例子。AWS負(fù)責(zé)確保安全組按預(yù)期運(yùn)行，但正確配置安全組是客戶的責(zé)任。