Modello di Sicurezza Condivisa AWS

Amazon offre una complessa gamma di servizi per garantire la sicurezza di specifiche implementazioni. Per aiutare gli utenti a comprendere concettualmente questi servizi, il Modello di Sicurezza Condivisa di AWS stabilisce quali controlli di sicurezza sono responsabilità di AWS e quali sono dei clienti.

Poiché le imprese cercano una maggiore efficienza operativa per garantire un vantaggio competitivo, si rivolgono a fornitori di servizi cloud come Amazon Web Services per gestire la loro infrastruttura IT.

Questa mossa può essere percepita come rischiosa: il valore aggiunto di AWS è che gli utenti rinunciano a un certo controllo sull'infrastruttura sottostante. Ma i fornitori di servizi cloud come AWS continuano a investire significativamente nella sicurezza dei loro servizi, con l'obiettivo di rendere i servizi cloud più sicuri rispetto a un'infrastruttura on-premises.

Responsabilità di sicurezza di AWS

In generale, AWS si considera responsabile della sicurezza del cloud nel suo insieme, mentre i clienti devono mantenere la responsabilità per la sicurezza delle loro istanze specifiche.

• Infrastruttura hardware/globale AWS: ciò include zone regionali, disponibili e edge dell'infrastruttura cloud di Amazon. Questo viene fatto attraverso protezioni di sicurezza fisica e manutenzione IT costante.
• Software AWS (calcolo, archiviazione, database, rete): Amazon garantisce una piattaforma software sicura per tutti i suoi servizi. Questo aspetto della responsabilità di Amazon si riferisce anche ai servizi di sicurezza AWS costruiti da Amazon per l'uso da parte dei clienti. Questo può includere chiavi di crittografia, strumenti di monitoraggio della rete, protezione del database e altro ancora.

Responsabilità di sicurezza del cliente

La responsabilità del controllo della sicurezza da parte del cliente è determinata dal servizio AWS Cloud che scelgono. Quando un cliente sceglie uno dei servizi di Amazon "Infrastructure as a Service" (EC2, VPC, S3), il cliente deve eseguire tutte le configurazioni di sicurezza e le attività di gestione necessarie. Questo include:

• Dati del cliente: protezione dei dati aziendali sul lato rete, mentre entrano ed escono dal servizio cloud.
• Piattaforma, applicazioni, gestione dell'identità e degli accessi: il cliente è responsabile della manutenzione e della protezione della piattaforma che gira sul cloud, e di tutti gli aspetti sottostanti.
• Crittografia dei dati lato client: sia tramite una chiave di crittografia gestita da AWS, sia tramite una chiave personale non fornita da AWS.
• Crittografia del file system: Quando proteggono i loro dati a riposo, il cliente può utilizzare un sistema di protezione indipendente, oppure utilizzare una protezione del file system fornita da AWS.
• Protezioni del traffico di rete: i clienti devono garantire la sicurezza di tutto il traffico in entrata e in uscita dal server.
• Protezione dei servizi e delle comunicazioni: un cliente è responsabile per il routing e la zonizzazione dei dati all'interno di specifici ambienti di sicurezza.

Responsabilità condivise per la sicurezza

AWS fornisce i requisiti per l'infrastruttura e il cliente deve fornire la propria implementazione dei controlli nell'uso dei servizi AWS:

• Controlli IT: non solo le operazioni IT sono condivise tra AWS e i suoi clienti, ma anche la gestione e le operazioni di detti controlli. AWS può aiutare a moderare il carico del cliente riguardo ai metodi di sicurezza come la manutenzione del firewall, la crittografia a livello di rete, supervisionando anche l'implementazione dei controlli IT per garantire la corretta aderenza alle normative di sicurezza di AWS.
• Gestione delle patch: AWS è responsabile della correzione e della riparazione delle vulnerabilità all'interno dell'infrastruttura, ma i clienti sono responsabili della correzione del loro sistema operativo guest e delle applicazioni.
• Gestione della configurazione: AWS mantiene la configurazione dei suoi dispositivi infrastrutturali, ma un cliente è responsabile della configurazione dei propri sistemi operativi guest, database e applicazioni.
• Consapevolezza e formazione: AWS forma i dipendenti AWS, ma un cliente deve formare i propri dipendenti.
• Specifico per il cliente: controlli che sono esclusivamente responsabilità del cliente in base all'applicazione che stanno implementando all'interno dei servizi AWS.
• Protezione dei servizi e delle comunicazioni: o Sicurezza della Zona che può richiedere a un cliente di instradare o zonare i dati all'interno di specifici ambienti di sicurezza.

Il modello di responsabilità condivisa di AWS è progettato per aumentare il livello totale di sicurezza dell'infrastruttura cloud di Amazon. Educando i propri clienti su come possono gestire e mantenere forti protezioni operative, sia Amazon che i clienti dei servizi Web possono sentirsi meglio protetti. Il beneficio reciproco della sicurezza condivisa offre garanzie ad Amazon che non devono mantenere direttamente ogni aspetto della loro sicurezza e aiuta i clienti a sentirsi come se Amazon potesse adattarsi alle loro specifiche esigenze di sicurezza. Per garantire un modello di sicurezza di successo quando la responsabilità è condivisa, la consapevolezza del cliente è fondamentale, insieme a una forte comprensione dei rischi associati alla fiducia in una terza parte.

La libertà dalla responsabilità totale può essere un grande vantaggio per ridurre i costi e aumentare la qualità della sicurezza.