AWS 共享責任模型(Shared Responsibility Model)

AWS 採用 共享責任模型 來明確劃分 AWS 與客戶 在安全性與合規性上的責任範圍。理解這個模型是雲端安全的核心基礎。

1. 模型概念

  • AWS 負責「雲端的安全」(Security of the Cloud)

    • AWS 負責保護執行所有雲端服務的基礎設施,包括:

      • 硬體:伺服器、儲存、網路設備

      • 軟體:虛擬化層、基礎服務平台

      • 網路:AWS 全球基礎設施、區域、可用區、邊緣節點

      • 實體與環境控制:機房、電力、冷卻與物理安全

  • 客戶負責「雲中安全」(Security in the Cloud)

    • 依據所選 AWS 服務類型(IaaS、PaaS、SaaS)決定責任範圍:

      • 平台與應用程式:部署、更新與漏洞修補

      • 作業系統、網路與防火牆設定

      • 身分與存取管理(IAM)

      • 資料保護

        • 客戶端加密與資料完整性驗證

        • 伺服器端加密、檔案系統與資料管理

      • 網路流量保護:加密、驗證與存取控制

2. 客戶責任重點

  1. 平台、應用程式與 IAM 管理

  2. 作業系統與網路防火牆設定

  3. 客戶端與伺服器端資料加密

  4. 資料完整性驗證與檔案系統管理

  5. 網路流量的加密與身分驗證

3. AWS 安全與合規工具

AWS 提供多種安全、身分與合規服務,協助客戶在共享責任模型下建構安全系統:

  • IAM(Identity and Access Management)

    • 控制使用者與服務對 AWS 資源的存取權限

  • AWS Artifact

    • 產生隨需合規報告,滿足審計需求

  • AWS KMS(Key Management Service)

    • 產生、管理與輪替加密金鑰,並控制金鑰存取

  • AWS Shield

    • 防護常見的 DDoS 攻擊

  • AWS Trusted Advisor

    • 提供最佳實務建議,包括成本優化、安全性、效能、容錯與服務配額檢查

4. AWS Trusted Advisor

  • 分析帳戶並提供五大面向的最佳實務建議:

    1. 成本優化(Cost Optimization)

    2. 效能(Performance)

    3. 安全性(Security)

    4. 容錯能力(Fault Tolerance)

    5. 服務限制(Service Limits)

  • 幫助持續優化 AWS 環境並符合共享責任模型下的最佳安全做法。

這份筆記整理了 AWS 共享責任模型、責任劃分與核心安全服務,適合作為雲端安全與合規的學習指南。

PreviousAWS 網路核心服務概覽NextMedical_Database

Last updated