共同責任模式如何運作
共享責任模型描述了雲端提供者和雲端客戶的安全責任。一般來說,雲端供應商負責他們租給客戶的底層基礎設施的安全,而客戶則負責他們控制的雲端基礎設施區域的安全。
雲端資安責任的具體細目取決於客戶正在使用的雲端服務的詳細資訊。例如,雲端客戶在基礎設施即服務(基礎架構式服務)模型中比在軟體即服務(SaaS)模型。
AWS 基礎設施責任共擔模型
Amazon 的基礎架構服務包括運算、儲存、網路和相關功能。 舉例來說,對於 亞馬遜 EC2,客戶可以安裝自己的作業系統,對其進行配置,並在其上運行他們想要的任何應用程式。
由於 EC2 為客戶提供了高階的存取和控制(即直至作業系統層級),因此他們也讓客戶承擔了大量的安全責任。在這些部署場景中,客戶負責正確保護其作業系統及其控制下的任何相關服務,例如彈性塊儲存 (EBS)、自動擴展和其內部的網路基礎架構。 虛擬私有雲(VPC)。
另一方面,AWS 負責保護其實體基礎設施的安全。這包括實體伺服器和網路以及其虛擬化技術。
容器的共同責任模式
容器化服務使用 EC2,但添加了額外的抽象層。 在這種情況下,客戶不會管理其作業系統或平台。
使用此模型,雲端客戶的安全責任等級比以前的模型低。他們不再對其作業系統具有可見性或控制權,因此責任轉移給 AWS。在此模型下,客戶主要負責防火牆配置和正確保護其資料(即使用加密和存取管理)。
抽象服務的共享責任模型
對於抽象的服務,例如 亞馬遜 S3 和亞馬遜動態 DB,客戶主要負責正確配置所提供服務的安全性。 例如,如果客戶將 DynamoDB 設定為具有易於猜測的使用者憑證,那麼他們就會對任何造成的資料洩露負責。
雲端資安 超越 CSP 提供的控制
雲端服務供應商為其客戶提供多種工具來幫助管理他們的雲端資安。然而,這些工具僅旨在為組織的雲端資安部署提供基礎。
保護基於雲端的基礎架構需要部署許多與組織在本地資料中心使用的相同類型的安全解決方案。這些必要的解決方案和功能包括:
- 身分與存取管理: 基於雲端的基礎設施可直接從公共互聯網訪問,因此很容易成為網路犯罪分子的目標。身分識別與存取管理 (IAM) 解決方案對於限制授權使用者的存取權限至關重要。
- 雲端網路安全: 雲端服務不是一個整體,應用程式在雲端中進行通訊。 雲端網路安全防護 解決方案對於分割雲端資產以減少任何雲端洩漏的影響、監控流量並保護資料平面免受利用和橫向移動是必要的。
- 雲端資安姿勢管理: 這些解決方案會自動持續檢查是否有可能導致數據洩露和洩漏的錯誤配置。 這種持續且自動化的偵測可讓組織能夠持續、持續地進行必要的變更。
- 雲端工作負載保護: 雲端工作負載是與任何其他應用程式一樣的應用程式。需要保護它們免受未打補丁的脆弱性、配置錯誤和其他弱點的利用。
- 資料保護: 組織越來越多地將敏感資料儲存在雲端。必須根據適用的法律和法規保護這些資料免遭洩露(包括傳輸和靜態加密)。
- 威脅情報: 網路威脅情勢瞬息萬變,對雲端的威脅也不例外。雲端資安解決方案需要訪問 威脅情資 識別並防範最新的網路威脅。
使用 Check Point 保護雲端
AWS 等雲端供應商減少了組織在 IT 基礎架構方面的許多安全責任。雲端提供者抽像出組織基礎設施堆疊的多個級別,並負責保護其控制下的級別。然而,雲端客戶確實對他們的服務保留一些責任 雲端資安。雖然雲端供應商提供了許多工具來幫助客戶管理此問題,但它們不足以有效保護企業雲端環境。
Check Point 為組織提供了履行其雲端安全職責所需的工具。這包括保護資料、應用程式和工作負載,並最大限度地減少雲端中的錯誤配置、未經授權的存取、威脅和異常。此外,這些雲端資安解決方案提供完全自動化,使組織能夠充分利用雲端的可擴展性、敏捷性和動態性。
有效保護雲端環境需要了解組織的安全責任以及滿足這些責任的最佳實踐。如需協助了解改善雲端資安的最佳實踐,請閱讀 Check Point雲端資安藍圖 以及 Check Point 提供的解決方案 實施它。
要了解有關保護 AWS 部署的更多信息,請閱讀此內容 共同責任模式介紹。也歡迎您到 Check Point AWS 解決方案頁面 了解 Check Point 如何簡化和改善您的 AWS 安全狀況。
反映意見