Trách nhiệm ?
Bảo mật và tuân thủ là trách nhiệm chung giữa AWS và khách hàng. Mô hình chia sẻ này có thể giúp giảm bớt gánh nặng vận hành cho khách hàng vì AWS sẽ vận hành, quản lý và kiểm soát các thành phần từ hệ điều hành máy chủ và lớp ảo hóa cho tới bảo mật vật lý của các cơ sở đang vận hành dịch vụ. Khách hàng sẽ phụ trách và quản lý hệ điều hành máy khách (bao gồm bản cập nhật và bản vá bảo mật), các phần mềm ứng dụng liên kết khác cũng như việc cấu hình tường lửa nhóm bảo mật do AWS cung cấp. Khách hàng cần phải cẩn trọng cân nhắc các dịch vụ mà mình chọn vì trách nhiệm của khách hàng sẽ thay đổi tùy theo dịch vụ sử dụng, tùy theo việc tích hợp các dịch vụ đó vào môi trường CNTT của khách hàng cũng như pháp luật và quy định hiện hành. Bản chất của trách nhiệm chung này cũng tạo ra sự linh hoạt và cung cấp quyền kiểm soát cho khách hàng để cho phép triển khai. Như thể hiện ở biểu đồ bên dưới, sự phân biệt trách nhiệm thường được nhắc đến là Tính bảo mật “của” đám mây so với Tính bảo mật “trong” đám mây.
Trách nhiệm của AWS về “Tính bảo mật của đám mây” – AWS chịu trách nhiệm bảo vệ cơ sở hạ tầng vận hành tất cả các dịch vụ được cung cấp trong Đám mây AWS. Cơ sở hạ tầng này bao gồm phần cứng, phần mềm, mạng lưới và cơ sở vận hành Dịch vụ đám mây AWS.
Trách nhiệm của khách hàng về “Tính bảo mật trong đám mây” – Trách nhiệm của khách hàng sẽ tùy thuộc vào dịch vụ đám mây AWS mà khách hàng lựa chọn. Việc này sẽ xác định khối lượng công việc đặt cấu hình mà khách hàng phải thực hiện trong khuôn khổ trách nhiệm bảo mật của họ. Ví dụ: một dịch vụ chẳng hạn như Amazon Elastic Compute Cloud (Amazon EC2) được xếp vào danh mục Dịch vụ cơ sở hạ tầng (IaaS), do đó, đòi hỏi khách hàng phải thực hiện tất cả các tác vụ đặt cấu hình và quản lý bảo mật cần thiết. Khách hàng nào triển khai phiên bản Amazon EC2 sẽ phải chịu trách nhiệm quản lý hệ điều hành khách (bao gồm các bản cập nhật và bản vá bảo mật), mọi phần mềm ứng dụng hay tiện ích mà khách hàng cài đặt trên phiên bản và cấu hình tường lửa do AWS cung cấp (gọi là nhóm bảo mật) trên từng phiên bản. Đối với các dịch vụ trừu tượng, chẳng hạn như Amazon S3 và Amazon DynamoDB, AWS sẽ vận hành lớp cơ sở hạ tầng, hệ điều hành và nền tảng, còn khách hàng sẽ truy cập vào điểm cuối để lưu trữ và truy xuất dữ liệu. Khách hàng có trách nhiệm quản lý dữ liệu của họ (kể cả các tùy chọn mã hóa), phân loại tài sản và sử dụng công cụ IAM để áp dụng các quyền phù hợp.
Mô hình trách nhiệm chung của khách hàng/AWS này cũng áp dụng với kiểm soát CNTT. Khi AWS và khách hàng của mình chia sẻ trách nhiệm vận hành môi trường CNTT với nhau thì cũng chia sẻ việc quản lý, vận hành và xác thực kiểm soát CNTT. AWS có thể giúp khách hàng giảm bớt gánh nặng vận hành kiểm soát bằng cách quản lý những kiểm soát liên kết với cơ sở hạ tầng thực tế đã được triển khai trong môi trường AWS mà trước đây có thể do khách hàng quản lý. Vì mỗi khách hàng triển khai khác nhau trong AWS nên khách hàng có thể tận dụng việc chuyển giao quyền quản lý những kiểm soát CNTT nhất định cho AWS, từ đó tạo ra môi trường kiểm soát phân bổ (mới). Khi đó, khách hàng có thể tận dụng tài liệu tuân thủ và kiểm soát AWS sẵn có để thực hiện các quy trình đánh giá và xác thực kiểm soát của mình theo yêu cầu. Dưới đây là ví dụ về kiểm soát do AWS, Khách hàng của AWS và/hoặc cả hai quản lý.
Kiểm soát ?
Kiểm soát kế thừa – Những kiểm soát mà khách hàng kế thừa hoàn toàn từ AWS.
- Kiểm soát vật lý và môi trường
Kiểm soát chung – Những kiểm soát áp dụng cho cả lớp cơ sở hạ tầng và lớp khách hàng, nhưng trong bối cảnh hoặc phối cảnh hoàn toàn riêng biệt. Trong kiểm soát chung, AWS cung cấp yêu cầu cho cơ sở hạ tầng và khách hàng phải cung cấp các biện pháp kiểm soát riêng của mình trong việc sử dụng dịch vụ AWS. Ví dụ bao gồm:
- Quản lý bản vá – AWS chịu trách nhiệm đối với việc vá và sửa lỗi trong cơ sở hạ tầng còn khách hàng chịu trách nhiệm đối với việc vá HĐH khách và ứng dụng của mình.
- Quản lý cấu hình – AWS duy trì cấu hình của thiết bị cơ sở hạ tầng còn khách hàng chịu trách nhiệm cấu hình hệ điều hành khách, cơ sở dữ liệu và ứng dụng của riêng mình.
- Nhận thức & đào tạo – AWS đào tạo nhân viên của AWS còn khách hàng phải đào tạo nhân viên của riêng mình.
Tùy theo khách hàng – Kiểm soát mà khách hàng hoàn toàn chịu trách nhiệm tùy theo ứng dụng mà khách hàng đang triển khai trong dịch vụ AWS. Ví dụ bao gồm:
- Bảo vệ thông tin liên lạc và dịch vụ hoặc bảo mật khu vực có thể đòi hỏi khách hàng phải định tuyến hoặc khoanh vùng dữ liệu trong môi trường bảo mật cụ thể.
Áp dụng Mô hình chia sẻ trách nhiệm của AWS vào thực tế
Sau khi khách hàng hiểu được Mô hình chia sẻ trách nhiệm của AWS và cách mô hình này thường được áp dụng để vận hành trên đám mây, họ phải xác định cách mô hình áp dụng vào trường hợp sử dụng của họ. Trách nhiệm của khách hàng khác nhau tùy thuộc vào nhiều yếu tố, bao gồm dịch vụ và Khu vực AWS mà họ chọn, quá trình tích hợp các dịch vụ này vào môi trường CNTT, cũng như luật và quy định áp dụng cho tổ chức và khối lượng công việc của họ.
Những bài tập sau đây có thể giúp khách hàng quyết định việc chia sẻ trách nhiệm dựa trên trường hợp sử dụng cụ thể:
