AWS共享責任模型

本章涵蓋以下主題：

了解共同責任模型：本章的這一部分將向您介紹共同責任模型的總體定義。

亞馬遜責任：本節(jié)提供Amazon在aws實施中的安全責任示例。

客戶責任：本節(jié)提供了客戶在AWS中保護資源的責任示例。

雖然由于有時錯誤地擔心其安全性會受到影響，一些組織對遷移到云猶豫不決，但其他組織則抓住了大大增強安全性的機會。這是一個現(xiàn)實的一個主要原因是AWS共享責任模型的存在。此模型可幫助我們在AWS中運行時充分了解安全環(huán)境。本章使這一主題變得簡單，并提供了模型各個部分的優(yōu)秀示例。

理解共享責任模型

AWS共享責任模型非常簡單。它在兩個方面劃分安全責任-aws客戶(您!)和亞馬遜(AWS)。事實上，您不再負責可擴展數(shù)據(jù)中心所需的大量安全性，這是一個巨大的優(yōu)勢。您可以利用亞馬遜的巨額預算和他們密集的專業(yè)知識。

本章的下兩節(jié)提供了模型每個部分中的責任示例。但就目前而言，實現(xiàn)Amazon的責任包括主機操作系統(tǒng)和虛擬化層，包括服務運行的設施的物理安全性。保護來賓操作系統(tǒng)(包括更新和安全修補程序)、應用軟件和AWS網(wǎng)絡安全組防火墻的安全是您(客戶)的責任。請注意，根據(jù)客戶端選擇使用的服務，客戶端的責任會有所不同。根據(jù)所使用的AWS服務及其IT基礎架構的集成級別，客戶的責任也會有所不同。必須遵守的法律和條例也將有所不同。

如圖5-1所示，AWS被視為“云的安全性”，客戶的責任被視為“云中的安全性”。

除了在AWS客戶端和AWS本身之間劃分操作安全問題外，共享責任模型還適用于正在使用的IT控件。Amazon將這些控件分為三類:

繼承的控件：這些是客戶從AWS完全繼承的安全控制。亞馬遜使用的物理和環(huán)境安全控制就是完美的例子。

共享控件：這些控件既適用于Amazon的基礎結構層，也適用于客戶責任。請注意，這些共享控件適用于完全不同的上下文或透視中的每個域。AWS提供了基礎結構的要求，然后客戶端必須在其使用服務的范圍內(nèi)提供自己的控制實現(xiàn)。一個很好的例子是身份和訪問管理(IAM)。IAM服務必須安全、符合法規(guī)遵從性并按預期運行，而客戶應創(chuàng)建精心制定的策略。

客戶特定的控制：這些都是客戶自行負責的安全控制，當然，它們因客戶選擇的服務而異。一個很好的例子是，當您將特定的修補程序應用于EC2實例上的某個操作系統(tǒng)時。

令人驚嘆的責任

請記住，Amazon被認為負責云的安全。AWS負責保護運行所選服務的基礎架構。這包括為AWS服務供電所需的硬件和軟件，以及所使用的網(wǎng)絡和設施。

亞馬遜的具體職責包括:

1.云軟件,包括計算、存儲、網(wǎng)絡和數(shù)據(jù)庫軟件

2.硬件

3.AWS全球基礎架構,包括區(qū)域、可用區(qū)和邊緣位置

客戶責任

請記住，客戶端被認為負責云中的安全性。所選的特定服務將導致客戶端責任的變化。例如，如果您在很大程度上依賴于簡單存儲服務(S3)進行存儲，則您將負責了解和正確配置資源的安全權限。另一個例子是，如果客戶端選擇使用EC2并運行像Windows Server 2016這樣的操作系統(tǒng)?？蛻舳诵枰３植僮飨到y(tǒng)的更新和修補，并負責他們在此來賓操作系統(tǒng)上所需的應用軟件?？蛻舳诉€負責EC2實例的相應安全組配置。

客戶責任的具體例子包括:

1.客戶數(shù)據(jù)

2.平臺、應用、IAM

3.來賓操作系統(tǒng)

4.網(wǎng)絡和防火墻配置

5.客戶端數(shù)據(jù)加密

6.服務器端加密(文件系統(tǒng)和/或數(shù)據(jù))

7.網(wǎng)絡流量保護(加密、完整性和標識)

圖5-2顯示了客戶檢查將應用于EC2實例的安全組設置的示例。這是客戶責任的一個完美例子。AWS負責確保安全組按預期運行，但正確配置安全組是客戶的責任。