โมเดลความรับผิดชอบร่วมกัน
ความปลอดภัยและการปฏิบัติตามข้อกำหนดเป็นความรับผิดชอบร่วมกันระหว่าง AWS และลูกค้า โมเดลที่ใช้ร่วมกันนี้ช่วยลดภาระด้านการดำเนินการของลูกค้าได้โดยที่ AWS จะเป็นผู้ดำเนินการ จัดการ และควบคุมคอมโพเนนต์จากระบบการปฏิบัติการโฮสต์และการแสดงข้อมูลที่ในระดับที่ลึกถึงระบบรักษาความปลอดภัยทางกายภาพของสิ่งอำนวยความสะดวกที่มีการใช้บริการนี้อยู่ ลูกค้ามีความรับผิดชอบและต้องจัดการระบบปฏิบัติการของผู้เข้าร่วม (ซึ่งประกอบด้วยการอัปเดตและแพตช์การรักษาความปลอดภัย) ซอฟต์แวร์แอปพลิเคชันอื่นๆ ที่เกี่ยวข้อง รวมทั้งการกำหนดค่าไฟร์วอลล์กลุ่มการรักษาความปลอดภัยจาก AWS ลูกค้าควรพิจารณาอย่างรอบคอบเกี่ยวกับบริการที่เลือกใช้เนื่องจากความรับผิดชอบของลูกค้าจะแตกต่างกันไปตามบริการที่ใช้งาน การผสานการทำงานบริการดังกล่าวกับระบบ IT รวมถึงกฎหมายและข้อบังคับที่เกี่ยวข้อง ลักษณะของความรับผิดชอบร่วมกันนี้ยังให้ความยืดหยุ่นและการควบคุมของลูกค้าที่สามารถปรับใช้ได้ ความรับผิดชอบที่แตกต่างกันออกไปนี้จะหมายถึงการรักษาความปลอดภัย “ของ” ระบบคลาวด์ เทียบกับการรักษาความปลอดภัย “ใน” ระบบคลาวด์ ตามแผนภูมิที่แสดงด้านล่าง
ความรับผิดชอบของ AWS “การรักษาความปลอดภัยของระบบคลาวด์” – AWS รับผิดชอบในการปกป้องโครงสร้างพื้นฐานในการให้บริการทั้งหมดใน AWS Cloud โครงสร้างพื้นฐานนี้ประกอบด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่ดำเนิน AWS Cloud services
ความรับผิดชอบของลูกค้า “การรักษาความปลอดภัยในระบบคลาวด์” – ความรับผิดชอบของลูกค้าจะกำหนดตาม AWS Cloud services ที่ลูกค้าเลือกใช้ โดยบริการจะเป็นตัวกำหนดการดำเนินการกำหนดค่าที่ลูกค้าต้องทำเพื่อเป็นส่วนหนึ่งของความรับผิดชอบด้านการรักษาความปลอดภัย ตัวอย่างเช่น บริการอย่าง Amazon Elastic Compute Cloud (Amazon EC2) จะจัดอยู่ในหมวดหมู่การให้บริการโครงสร้างพื้นฐาน (IaaS) ซึ่งกำหนดให้ลูกค้าดำเนินการกำหนดค่าการรักษาความปลอดภัยที่จำเป็นทั้งหมดและทำหน้าที่จัดการด้วยตัวเอง ลูกค้าที่ปรับใช้ Amazon EC2 instance จะต้องรับผิดชอบเกี่ยวกับการจัดการระบบปฏิบัติการเยือน (ซึ่งประกอบด้วยการอัปเดตและแพตช์รักษาความปลอดภัย) และซอฟต์แวร์แอปพลิเคชันหรือยูทิลิตีใดๆ ที่ลูกค้าติดตั้งบนอินสแตนซ์ดังกล่าว และการกำหนดค่าไฟล์วอลล์จาก AWS (เรียกว่ากลุ่มการรักษาความปลอดภัย) ของแต่ละอินสแตนซ์ สำหรับบริการแยกอิสระอย่าง Amazon S3 และ Amazon DynamoDB นั้น AWS จะจัดการเลเยอร์โครงสร้างพื้นฐาน ระบบปฏิบัติการ และแพลตฟอร์ม โดยลูกค้าเป็นฝ่ายเข้าถึงตำแหน่งข้อมูลเพื่อจัดเก็บและเรียกใช้ข้อมูล ลูกค้าต้องรับผิดชอบการจัดการข้อมูลของตน (รวมถึงตัวเลือกการเข้ารหัส), การจัดประเภทแอสเซท และการใช้เครื่องมือ IAM เพื่อบังคับใช้สิทธิ์ที่เหมาะสม
โมเดลความรับผิดชอบร่วมกันของลูกค้า/AWS นี้ยังครอบคลุมถึงการควบคุมด้าน IT อีกด้วย การจัดการ การดำเนินการ และการรับรองของการควบคุมด้าน IT เป็นดำเนินการร่วมกันระหว่าง AWS และลูกค้าเช่นเดียวกับความรับผิดชอบในการดำเนินการบนระบบ IT AWS สามารถช่วยลดภาระของลูกค้าในการดำเนินการควบคุมได้โดยจัดการการควบคุมดังกล่าวที่เชื่อมโยงกับโครงสร้างพื้นฐานทางกายภาพที่ใช้งานใน AWS ซึ่งลูกค้าอาจทำการจัดการมาก่อนแล้ว เนื่องจากลูกค้าใช้งาน AWS ในวิธีที่ต่างกัน ลูกค้าจึงสามารถใช้ประโยชน์จากการเปลี่ยนระบบการจัดการของการควบคุมด้าน IT มาเป็น AWS ซึ่งเป็นระบบการควบคุมแบบกระจาย (รูปแบบใหม่) จากนั้นลูกค้าสามารถใช้เอกสารประกอบด้านการควบคุมและการปฏิบัติตามข้อกำหนดของ AWS ในการประเมินและการควบคุมและทำการตรวจสอบตามที่กำหนดได้ ด้านล่างนี้เป็นตัวอย่างการควบคุมที่ได้รับการจัดการโดย AWS, ลูกค้าของ AWS หรือทั้งสองฝ่าย
การควบคุมที่รับมา – การควบคุมที่ลูกค้าได้รับมาจาก AWS อย่างเต็มรูปแบบ
- การควบคุมทางกายภาพและทางระบบ
การควบคุมร่วมกัน – การควบคุมที่ใช้กับทั้งระดับโครงสร้างพื้นฐานและระดับลูกค้า แต่เป็นบริบทหรือมุมมองที่แยกกันโดยสิ้นเชิง ในการควบคุมร่วมกัน AWS จะมีข้อบังคับสำหรับโครงสร้างพื้นฐาน และลูกค้าจะต้องนำการควบคุมของตนเองมาใช้ร่วมกับการใช้บริการของ AWS ตัวอย่าง
- การจัดการแพตช์ – AWS มีความรับผิดชอบในการแพตช์และแก้ไขข้อบกพร่องภายในโครงสร้างพื้นฐาน แต่ลูกค้ามีความรับผิดชอบในการแพตช์ระบบปฏิบัติการผู้เข้าร่วมและแอปพลิเคชันของตนเอง
- การจัดการการกำหนดค่า – AWS จะดูแลการกำหนดค่าของอุปกรณ์โครงสร้างพื้นฐาน แต่ลูกค้าจะต้องรับผิดชอบในการกำหนดค่าระบบปฏิบัติการผู้เข้าร่วม ฐานข้อมูล และแอปพลิเคชั่นของตนเอง
- การรับรู้และการฝึกอบรม – AWS จะฝึกอบรมพนักงานของ AWS แต่ลูกค้าจะต้องฝึกอบรมพนักงานของตนเอง
เฉพาะลูกค้า – การควบคุมที่เป็นความรับผิดชอบของลูกค้าแต่เพียงผู้เดียว อิงตามแอปพลิเคชันที่ตนนำมาใช้งานกับบริการของ AWS ตัวอย่าง
- บริการและการปกป้องการสื่อสารหรือความปลอดภัยของโซนอาจกำหนดให้ลูกค้ากำหนดเส้นทางหรือจัดโซนข้อมูลภายในสภาพแวดล้อมการรักษาความปลอดภัยที่กำหนด
การใช้โมเดลความรับผิดชอบร่วมกันของ AWS ในทางปฏิบัติ
เมื่อลูกค้าเข้าใจโมเดลความรับผิดชอบร่วมกันของ AWS รวมถึงวิธีที่จะนำไปใช้กับการดำเนินงานในระบบคลาวด์โดยทั่วไปแล้ว ลูกค้าจะต้องกำหนดว่าจะนำไปใช้กับกรณีการใช้งานของตนอย่างไร ความรับผิดชอบของลูกค้าจะแตกต่างกันไปตามปัจจัยหลายอย่าง รวมถึงบริการของ AWS และรีเจี้ยนที่ลูกค้าเลือก การผสานรวมบริการเหล่านั้นเข้ากับสภาพแวดล้อมด้านไอทีของตน รวมทั้งกฎหมายและข้อบังคับที่เกี่ยวข้องกับองค์กรและปริมาณงานของลูกค้า
แบบฝึกหัดต่อไปนี้สามารถช่วยลูกค้าในการกำหนดการกระจายความรับผิดชอบตามกรณีการใช้งานที่เฉพาะเจาะจง:
กำหนดความปลอดภัยภายนอกและภายในและข้อกำหนดและวัตถุประสงค์ในการปฏิบัติตามข้อกำหนดที่เกี่ยวข้อง และพิจารณาเฟรมเวิร์กของอุตสาหกรรมอย่างเช่น NIST Cybersecurity Framework (CSF) และ ISO
พิจารณาการปรับใช้ AWS Cloud Adoption Framework (CAF) และ แนวทางปฏิบัติที่ดีที่สุดของ Well-Architected เพื่อวางแผนและดำเนินการเปลี่ยนแปลงไปสู่ระบบดิจิทัลในทุกขนาด
ตรวจสอบฟังก์ชันความปลอดภัยและตัวเลือกการกำหนดค่าแต่ละบริการของ AWS ในบทความปลอดภัยของเอกสารประกอบบริการของ AWS
ประเมินบริการด้านความปลอดภัย ข้อมูลประจำตัว และการปฏิบัติตามข้อกำหนดของ AWS เพื่อทำความเข้าใจว่าจะสามารถใช้บริการเหล่านี้เพื่อช่วยให้บรรลุวัตถุประสงค์ด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดของคุณได้อย่างไร
ตรวจสอบเอกสารการรับรองการตรวจสอบของบุคคลภายนอกเพื่อกำหนดการควบคุมแบบสืบทอดและกำหนดว่าการควบคุมที่จำเป็นอะไรบ้างที่อาจเหลือไว้เพื่อให้คุณใช้งานในสภาพแวดล้อมของคุณ
เปิดโอกาสให้ทีมตรวจสอบภายในและภายนอกของคุณได้ศึกษาหาความรู้ที่เฉพาะเจาะจงเกี่ยวกับระบบคลาวด์ โดยการใช้ประโยชน์จากโปรแกรมการฝึกอบรมของ Cloud Audit Academy
ดำเนินการตรวจสอบ Well-Architected ของปริมาณงาน AWS ของคุณเพื่อประเมินการนำแนวทางปฏิบัติที่ดีที่สุดไปใช้ในด้านความปลอดภัย ความน่าเชื่อถือ และประสิทธิภาพ
สำรวจโซลูชันที่มีอยู่ใน AWS Marketplace ซึ่งเป็นแค็ตตาล็อกดิจิทัลที่มีรายการซอฟต์แวร์จากผู้จำหน่ายซอฟต์แวร์อิสระนับพันรายการที่ช่วยให้คุณค้นหา ทดสอบ ซื้อ และติดตั้งใช้งานซอฟต์แวร์ที่ทำงานบน AWS
สำรวจคู่ค้าด้านความสามารถด้านความปลอดภัยของ AWS ที่มอบความเชี่ยวชาญและความสำเร็จของลูกค้าที่ได้รับการพิสูจน์แล้วในการรักษาความปลอดภัยของการเริ่มนำระบบคลาวด์ไปใช้ในทุกขั้นตอน ตั้งแต่เริ่มต้นย้ายข้อมูลไปจนถึงการจัดการประจำวันอย่างต่อเนื่อง