許多人的迷思,以為產品或服務上了雲端就大無敵了!這真的是很多人的誤解,AWS會與用戶共同負責保護 AWS 中資料的安全,AWS 負責保護運行 AWS 雲中提供的所有服務的全球基礎設施,其中包括地區、可用區和邊緣網站等;除了保護此全球基礎設施以外,AWS 還負責其基礎產品 (包括計算、存儲、資料庫和聯網) 的安全配置,這些類型的服務示例包括 Amazon DynamoDB、Amazon RDS、Amazon Redshift、Amazon Elastic MapReduce、Amazon WorkSpaces 以及其他多種服務,對於這些服務,AWS 將負責處理訪客作業系統 (OS) 和資料庫修補、防火牆配置以及災難恢復等基本安全任務,這對用戶來說很重要,能讓用戶無需擔心修補、維護或安裝殺毒軟體等等,這些工作將由 Amazon 負責,用戶便能夠更專注於實際遷移到平臺的內容,所以很重要的一個簡單結論:「AWS 負責保護和維護雲基礎設施,而用戶負責遷移到雲中的所有內容的安全性。」這便是最核心的責任共享模型(Shared Responsibility Model)
使用AWS時,用戶完全控制產品內容,並且負責管理關鍵內容安全要求,包括:
-選擇在 AWS 上存儲的內容。
-與內容配合使用的 AWS 產品。
-內容存儲的國家/地區。
-內容的格式和結構以及是否進行遮蔽、匿名或加密處理。
-有權訪問該內容的人員。
-以及授予、管理和撤銷這些存取權限的方式。
用戶有權控制用以保護其資料、平臺、應用程式、身份和訪問管理以及作業系統的安全措施。這意味著責任共擔模型(Shared Responsibility Model)本質上基於用戶使用的 AWS 產品而變化。舉例來說:以EC2為例,用戶負責管理訪客作業系統 (包括更新和安全補丁),以及用戶在EC2中安裝的應用程式軟體或實用工具及防火牆的配置。基本上來說,無論用戶的伺服器位於何處,都需要執行這些安全任務,而非誤以為AWS會自動負責這些安全任務。
實務上常見,IaaS類別的AWS產品 (例如 Amazon EC2 和 Amazon VPC) 完全由用戶控制,並且用戶需要執行所有必要的安全配置和管理任務。這對於用戶而言,其實是能夠對於資料的控制權更準確、更詳細的掌握狀態描述,以達到產品與服務能確保資訊安全。
撰文者-TibaMe雲端技術課程總監 小白
延伸課程
實作課程 -【政府補助個人40%】AWS雲端技術與安全實務班@台北商業大學
四天的課程:從完全不懂到能獨立搞定AWS
- 能夠公司內設計一個利於業務拓展的AWS帳號規劃。
- 能夠透過AWS提供的安全機制,為資料安全做加值。
- 懂得如何設計一個穩健的AWS開發及移轉流程。
- 能夠透過安全有效的雲服務處理方式,在公司內部或公司之間進行資料交換 。