AWS, безопасность на основе модели общей ответственности (часть 1)
Четкое понимание разграничения обязанностей необходимо для достижения наилучшего результата в плане безопасности и обслуживания при использовании общедоступного облачного сервиса. Использование AWS не является исключением.
В первой части будет рассмотрена доля ответственности AWS.
Введение
AWS гордится своей инфраструктурой и тем, как она обеспечивает работу своей очень эффективной и постоянно растущей базы облачных сервисов. Еще одна функция — это возможность, предоставляемая клиентам для максимального контроля над своими данными при использовании инфраструктуры и сервисов AWS. Однако, сохраняя контроль над данными на этом уровне, клиенты также должны нести ответственность за выполнение многих критических требований безопасности своих данных при использовании этих услуг. Эти обязанности варьируются от одного сервиса AWS к другому в широком спектре предлагаемых сервисов, что может сбивать с толку клиента.
Amazon соответствует строгому набору стандартов, политик и практик безопасности, чтобы гарантировать, что облачная среда всегда обеспечивает наилучшую возможную безопасность, и чтобы их доля ответственности была должным образом покрыта. Они также предлагают клиентам рекомендации, которым они должны следовать, чтобы убедиться, что у них также есть наилучшие возможности для выполнения своей части общей ответственности за безопасность, а также для совместного решения любых проблем безопасности и повышения безопасности без ущерба для гибкости и масштабируемости услуг.
Определены обязанности —
Amazon Web Services отвечают за защиту базовой глобальной инфраструктуры и основных сервисов, поддерживающих облако AWS.
Инфраструктура AWS обширна и расширяет границы земного шара. У них есть центры обработки данных по всей Америке, на севере и юге, в Азии, Европе, Австралии, и они повсюду. AWS несет исключительную ответственность за обеспечение надлежащей защиты этой глобальной инфраструктуры и основных сервисов.
В сферу ответственности AWS входят:
Защита глобальной инфраструктуры
- Зоны доступности
- Регионы
- Пограничные местоположения
Обеспечение услуг Фонда
- Сетевые службы
- Вычислительные услуги
- Услуги базы данных
- Услуги хранения
Развертывание AWS и управление непрерывностью бизнеса
AWS Управление идентификацией и доступом
Amazon Web Services гарантирует клиентам, что их обязанности выполняются надлежащим образом, в соответствии с рядом строгих стандартов безопасности, правил и передовых практик, соблюдение которых подтверждено рядом независимых аудиторов.
Сертификаты соответствия включают:
- · SOC 1/SSAE 16/ISAE 3402 (ранее SAS 70)
- · СОЦ 2
- · СОЦ 3
- · FISMA, DIACAP и FedRAMP
- · DOD CSM уровни 1-5
- · PCI DSS Уровень 1
- · ИСО 27001
- · ИТАР
- · ФИПС 140-2
- · МТСС Уровень 3
Платформа является гибкой в том смысле, что она позволяет клиентам дополнительно внедрять решения или стандарты, которые могут быть специфичными для конкретной отрасли или требоваться заказчиком для поддержки стандарта или сертификации.
Инфраструктура спроектирована и построена в превосходном стиле, что стало возможным благодаря многолетнему опыту, непревзойденному опыту и имеющимся ресурсам. Достигнутая инфраструктура и платформы не могут сравниться с клиентским подходом.
Объекты и центры обработки данных строго контролируются во всех зонах доступа с использованием различных средств аутентификации, электронного контроля и обнаружения. Они скрыты, конфиденциальны и охраняются круглосуточно.
Доступ к объектам ограничен с использованием подхода наименьших привилегий, все доступы регистрируются, а отдельные лица регулярно проверяются. Доступ к объектам не предоставляется легкомысленно.
Объекты должным образом защищены от потенциального физического ущерба от пожаров с помощью систем обнаружения повсюду и для покрытия всех возможных сценариев.
Электроснабжение центров обработки данных хорошее и жизнеспособное с резервным источником питания, если это необходимо.
Климат и температура в центрах обработки данных эффективно отслеживаются и поддерживаются на необходимом уровне для правильного и безопасного функционирования оборудования и серверов.
Электрические, механические и важные системы и оборудование регулярно обслуживаются (для профилактических мер) и контролируются, кроме того, эффективно управляются.
Устройства хранения, которые больше не нужны или больше не используются, утилизируются в соответствии с установленными и общепринятыми методами защиты данных клиентов от несанкционированного раскрытия.
Экземпляры изолированы от других виртуальных машин, работающих на том же сервере.
Инфраструктура обеспечивает высокую доступность и отказоустойчивость. Клиент может использовать несколько независимых зон доступности (все питаются независимо от разных сетей и коммунальных услуг) в нескольких географических точках. Это также служит отличной функцией аварийного переключения и балансировки нагрузки.
Стратегическое распределение данных по нескольким зонам доступности дает возможность поддерживать устойчивость при столкновении с различными сценариями сбоев (стихийными бедствиями или системными сбоями).
AWS предоставляет актуальные, работоспособные системы и процедуры (круглосуточно, в течение недели и года) для использования в ответ на инцидент и для помощи в эффективном разрешении инцидента, если это необходимо. Эти системы и процедуры регулярно пересматриваются и поддерживаются.
У AWS есть превосходная сеть, которая тщательно контролируется как внутренними, так и внешними границами и управляется. Архитектура обеспечивает комплексный мониторинг связи и трафика, а сеть и передача защищены (протокол SSL). Он разработан с учетом отказоустойчивости, с минимальным влиянием на клиента в случае сбоя.
AWS использует автоматизированные средства мониторинга для обнаружения множества несанкционированных действий, атак типа «отказ в обслуживании» или необычных событий в сетях. Все проблемы документируются для целей решения, и персонал доступен для быстрого решения.
AWS также защищает от традиционных проблем сетевой безопасности (распределенных атак типа «отказ в обслуживании», атак «человек посередине», спуфинга IP-адресов, сканирования портов и перехвата пакетов другими клиентами).
Заказчик может внедрить дополнительные функции или решения для сетевой безопасности и использовать технологию шифрования для дополнительной защиты конфиденциальных данных. (Это желательно)
AWS также остается в курсе возможных уязвимостей благодаря регулярному сканированию среды AWS, а также упреждающему мониторингу каналов на наличие новых доступных исправлений.
AWS отделяет корпоративную сеть от производственной сети, предлагая разные и уникальные требования к доступу и аутентификации.
AWS применяет строгие политики доступа и учетных данных для контроля доступа к инфраструктуре и основным сервисам, а также для поддержания уровня безопасности.
Все элементы безопасности продуктов, управляемых AWS (управляемые сервисы), также остаются в ведении AWS. Эти услуги предоставляются заказчику по соглашению, что AWS также будет управлять ими. Клиент не несет небольшой ответственности при выборе этого типа услуг, в основном это касается конфигураций управления доступом к ресурсам и защиты учетных данных.
Что касается сервисов, подпадающих под эту категорию, AWS также несет ответственность за следующее:
- Обслуживание экземпляра
- Защитите гостевую ОС
- Исправление базы данных
- Конфигурация брандмауэра
- Аварийное восстановление
Вывод
Инфраструктура и среда AWS — это первоклассная и безопасная среда, а также прочная основа для дальнейшего развития клиента.
Разделение обязанностей и совместная работа клиента и надежного партнера AWS для защиты сложной среды действительно снижает нагрузку и при правильном подходе должна принести отличные результаты, однако важно помнить, что окончательная ответственность лежит на вас, клиенте AWS.
Обратите внимание на вторую часть этой серии статей, в которой мы обсудим роль клиента в модели общей ответственности AWS.